Third Attack in 2020, bZx Suffers Severe Losses
Key points: 1. bZx was attacked again last night. 2. bZx co-founder Kyle Kistner: Two audit companies Peckshield and Certik are analyzing the root causes internally. In February this year, the DeFi lending protocol bZx was hit by vulnerabilities twice. The first theft amounted to approximately 350,000 USD in ETH. Three days later, a second attack occurred, causing losses about twice the first incident, with 2,388 ETH stolen, worth approximately 645,000 USD.
要点:
1、昨晚bZx再次受到攻击。
2、bZx联合创始人Kyle Kistner:两家审计公司Peckshield和Certik正分析内部根本原因。
今年2月,DeFi贷款协议bZx两次被爆漏洞。第一次被盗ETH金额约为350,000美元。三天后发生第二次攻击,第二次造成的损失大约是上次的两倍,损失2388枚ETH,价值约645000美元。
就在9月14日,bZx遭到今年第三次攻击,这次损失远远大于前两次,这次被盗4700枚ETH,原因是智能合约中的错误代码。
攻击者通过代码缺陷复制资产,或增加其iToken(bZx计息代币)的余额。注意到该错误几个小时后,bZx暂停了iToken的创建和刻录,暂停借贷。在修复代码后,恢复服务。
该漏洞使黑客铸造了219200 LINK(价值约260万美元),4503 ETH(〜160万美元),1,756,351 USDT(〜170万美元)1,412,048 USDC(〜140万美元)和667,989 DAI(〜680,000美元)。总计800万美元。 bZx表示,用户资金没有风险,因为损失由其保险基金承担。
9月14日,bZx官方发推称,在美东时间上午3:28(北京时间9月13日15:30),我们开始研究该协议TVL的下降。到美东时间上午6:18(北京时间9月13日18:30),我们确认几个iToken发生了重复事件。借贷暂时暂停。重复方法已从iToken合同代码中修补出来,并且协议已恢复正常运行。随后,1inch联合创始人Anton Bukov发推称攻击者在此次事件中盗取了约4700枚ETH,并附上被盗资金地址。
针对bZx协议被攻击一事,1inch联合创始人Anton Bukov发推表示,我们发现有人在两天前就发现了这个漏洞,将自己的余额增加到1.536亿枚iUSDT,并开始从USDT池中抽走,直到1.519亿枚iUSDT被销毁。bZx协议管理员似乎有170万美元被盗了。
以太坊开发人员Roman Semenov对此评论称,所以bZx协议管理员使用后门将其代币更新为未经验证状态,从而使他们可以销毁任何用户的资金。然后,在销毁一些参与黑客活动的用户的资金后,他们更新为带有bug修复的正常状态。
Bitcoin.com的首席工程师马克•塞伦(Marc Thalen)声称,他已经初步发现了这个漏洞。他说,超过2000万美元的bZx基金面临风险。Thalen自己尝试利用这个漏洞,用USDC(100美元)创建了一笔贷款。“从这里得到了iUSDC。然后把这个发送给自己,实际上是复制了资金。然后我提出索赔200美元。”
bZx的联合创始人Kyle Kistner表示,很难说这个关键的漏洞是如何被协议的两家审计公司Peckshield和Certik识别的。两家公司正在准备分析内部根本原因。
Peckshield表示,“一次审计并不能保证找到所有潜在问题。”但随着持续工作的进行,它正越来越接近将安全风险降到最低的目标。
一些行业专家希望bZx停止运营并重新审核其协议。然而,Kistner称,bZx安全审计人员“不建议采取这样的行动”。
这是bZx今年第三次遭到袭击。今年2月,该协议在两次攻击中损失了约99.5万美元。
周日的袭击导致bZx的总锁定价值(TVL)急剧下降了70%,仅为630万美元。Kistner告诉The Block,“在这个[DeFi]领域,事情变化得非常快”
当被问及bZx计划在受到攻击的情况下如何增强用户的信任时,Kistner:“我们希望创造出如此有吸引力的产品和激励结构,使用户无论对我们的品牌感觉如何,实质上都‘被迫’使用我们的产品。”
来源:theblockcrypto
==
和11万人同时接收最新行情资讯
搜“鸵鸟区块链”下载
和2万人一起加入鸵鸟社群
添加微信ID:tuoniao02
