自從今年二月遭駭客攻擊,前後損失近 64 萬美元後,去中心化借貸協議 bZx 的表現一直不理想,用戶數也因為流動性挖礦機制在去中心化金融(DeFi)領域廣泛採用而不斷減少,就在人們幾乎快遺忘這個平台時,bZx 又再度佔據了新聞版面。
iToken 複製漏洞
bZx 於昨日(13日)再度遭到駭客攻擊,這次攻擊所導致的損失高達 800 萬美元,將當於 bZx 總鎖定資產的 30%。根據 Bitcoin.com 首席開發者 Marc Thelan 的說法,他是第一個發現合約漏洞,並提醒團隊立即停止合約功能的人。
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— Marc Thalen (@MarcThalen) September 14, 2020
Marc Thelan 在推文中指出,他發現了 bZx 平台在鏈上的可疑交易,因此他照著攻擊者的步驟,將 100 USDC 打進平台作為抵押品,鑄造出 100 iUSDC,並將這 100 iUSDC 打到自己的地址,按理來說轉出地址與轉入地址一致的話餘額是不會產生任何變化的,但由於合約存在漏洞,導致地址餘額從 100 iUSDC 變成 200 iUSDC,最終 Marc Thelan 用 200 iUSDC 成功換回 200 USDC。換句話說,合約漏洞導致 iToken 可以被複製。
Marc Thelan 立即向 bZx 團隊發出警告,並表示攻擊者已藉由這個漏洞耗盡了資金池中大量的 Dai 和 USDC,Marc Thelan 補充表示,如果攻擊者有更多時間,可能整個資金池的資金都會被耗盡。
平台風險不容忽視
這次攻擊事件中損失的資產包括以太幣(ETH)、Chainlink(LINK)、USDC 與 DAI 等,總損失估計 800 萬美元。儘管該平台背後的保險基金會全額賠償這筆損失,而 bZx 團隊在暫停合約後,緊急修復並再度將合約重啟的做法,讓 Compound 創辦人難以認同,其表示:
「請先暫停所有合約功能直到所有審計和分析徹底完成,不要用一句「沒什麼大不了的」帶過。這不是你應對駭客的方式。」
If I understand correctly, bZx lost:
$2.6m of $LINK
$1.6m of $ETH
$3.8m of stablecoins
——
$8.0m
Please, please pause operations until this can be re-audited and thoroughly analyzed–instead of saying “no big deal”.
This is NOT how you respond to a hack ? https://t.co/CqZltmNt1o
— ? Leshner (@rleshner) September 14, 2020
這起事件再次點出了 DeFi 協議中用戶資產安全的重要性,用戶自身也不應該忽略平台的合約風險。正如 Aave 協議創辦人 Stani Kulechov 所說:
「@bZxHQ 事件表明,分叉計有項目比從頭打造一個新的容易。這些代碼進行過多次審計與驗證,並且花了相當長的時間才上到主網。但儘管如此仍然不能保證絕對的安全,這是每個 DeFi 用戶都應該了解的。」
