損失1.39億美元，BXH 管理權限何以拱手讓黑客？_OIN:BXH幣

10月30日，多鏈部署的去中心化交易應用BXH被盜，損失了價值約1.39億美元的加密資產，此次安全事故發生在BSC鏈上的BXH協議，據該應用官方聲明顯示，以太坊、OEC鏈、Heco鏈上的BXH協議及資產未受影響，但出于安全考量，關閉了所有鏈上的對外服務。事故發生后，根據區塊鏈安全機構慢霧科技的分析，被盜前，BXH管理錢包地址出現過「賦予攻擊合約管理權限」的操作，導致攻擊合約通過管理權限從BXH策略池資金庫將其管理的資產轉出，被盜的部分資金已跨鏈轉移。失竊原因一出，輿論嘩然，BXH不幸地以安全事故的方式反應了它的中文花名「笨小孩」。有人想不通為何BXH能將資金管理權限「拱手讓黑客」，也有人質疑該應用監守自盜，該應用的王姓主導人此前的負面信息再次被扒出。BXH其官方未就輿情進行過多回應，僅表示「私鑰泄露」，并發布100萬美元懸賞金招攬白帽子團隊追回資金。由于BXH已經關閉了應用的充提功能，依賴該交易所流動性的機槍池應用Coinwind也因安全排查而關閉了其在多條鏈上的充提功能，而另一個機槍池應用EarnDeFi則因Coinwind的充提暫停而關了充提。DeFi收益能「套娃」，安全事故出現時也會產生「套娃」反應。截至發稿，上述三個應用均未開放充提功能。BXH管理權限「被黑」遭質疑

安全團隊：FEG項目在以太坊和BNB Chain上遭遇閃電貸攻擊，損失130萬美元:5月16日消息，據CertiK監測，FEG項目在以太坊和BNB Chain上遭遇閃電貸攻擊，其代幣價格下跌超80%，大約130萬美元被轉移。代幣地址為：bsc:0xacfc95585d80ab62f67a14c566c1b7a49fe91167。[2022/5/16 3:19:19]

價值1.39億美元的加密資產被盜走一天后，北京時間10月31日，BXH在官方社交媒體上公示了其在BSC鏈上的資金池剩余資產，包括USDT、USDC、BTC、ETH、BUSD、MDX在內，資產殘值約余1.84億美元左右。

當前BXH在BSC鏈上的殘值剩1.84億美元BXH官方表示，剩余資產的提幣方案將在第三方安全聯合團隊確認事故原因和合約安全以及調查初步問題以后，出具資產提幣公告和其他補償方案。此前的公開信息顯示，去中心化交易應用BXH于今年3月初始部署于火幣Heco鏈，曾以「短短10天內吸引了數萬用戶以及12億美金的TVL」的成績風靡DeFi火爆期；今年7月30日正式部署在BSC鏈上，此后又在以太坊和OEC鏈上「建站」。事發前的10月25日，BXH剛在BSC鏈上啟動了借貸池挖礦功能，結果5天后就出了事兒。區塊鏈安全機構、BXH的審計方之一慢霧科技已在事發后給出了初步分析，據該機構情報，黑客于27日13時部署了攻擊合約0x8877；接著在29日08時，BXH項目管理錢包地址0x5614通過grantRole賦予攻擊合約0x8877管理權限；30日03時，攻擊者通過攻擊合約0x8877的權限從BXH策略池資金庫中將其管理的資產轉出；30日04時0x5614暫停了資金庫。「因此，BXH本次被盜是由于其管理權限被惡意的修改，導致攻擊者利用此權限轉移了項目資產。」追蹤也在事發后的10月30日開始了，慢霧科技于當日的北京時間16時24分公告，黑客在BSC鏈上的初始獲利地址已將4000ETH從BSC鏈轉移到ETH鏈，接著將300BTCB兌換為renBTC，跨鏈到了兩個地址上。如按照BXH事發后的公告，被盜資金的轉移鏈條已經在多個安全機構的追蹤中，該應用也已經發布了100萬美元的懸賞公告，計劃招攬白帽子團隊進行資金追回。慢霧科技的「初診」一出，網上輿論及BXH的用戶紛紛表示不解，有人疑惑，BXH的錢包管理權限為何會拱手讓予黑客，也有人將此質疑為項目方的監守自盜。BXH目前沒有應對這些輿情，僅表示「私鑰泄露」。官方「私鑰泄露」說暴露了該交易應用在私鑰管理上的漏洞。DeFi領域的KOL神魚就有疑問，私鑰「為啥不多簽，為啥不加時間鎖」。對于這類疑惑，BXH也尚未對外給出答復，有待事后的更詳細的安全分析復盤。媒體《巴比特》援引加密資產存管服務商安全鷺說法稱，加密資產的管理者需要更加重視單私鑰管理中帶來的安全風險，應盡快把Owner私鑰升級為多簽管理的方式，避免私鑰單點風險。而通過鏈上合約多簽或者MPC多簽，均可以實現對Owner私鑰的多簽管理。可見，私鑰安全風險雖有，但也有技可施，掌管著用戶上億美元資產的BXH在私鑰管理上失職了。兩個第三方機槍池連環關停充提

分析：Rari Capital事件為首個跨鏈攻擊 兩次攻擊共損失1500萬美元:The Block研究分析師Igor Igamberdiev發推文稱：“Rari Capital因一個復雜的開發而損失了很多資金。然而，事情并不簡單，我們見證了第一個跨鏈攻擊。黑客通過從BSC的Value DeFi中竊取vSafe獲得攻擊Rari的資金。5346枚BNB(約合380萬美元)被盜，并被換成了1000枚ETH。攻擊者在BSC上的操作如下所示：1.在PancakeSwap上創建一個偽造的代幣和池，以便可以使用Alpaca Finance，并重復接下來的兩個步驟。2.與Alpaca Finance進行交互，其中在調用approve（）以獲取假代幣時，將調用有效負載，從而使攻擊者可以通過Codex農場使用VSafe來獲取vSafeWBNB。3.將vSafeWBNB轉換為WBNB。攻擊者對Rari的攻擊如下所示：1.在SushiSwap上創建假代幣和池，重復接下來的兩個步驟。2.與Alpha Homora的交互，其中也稱為有效負載，以便攻擊者可以在Rari ETH池合約中獲取ibETH。3.將ibETH轉換為Rari ETH池中的ETH，結果，29000枚ETH(約合1110萬美元)被盜，另外有17000枚ETH處于風險，之后Rari團隊采取行動。兩次攻擊的總利潤為1500萬美元的ETH。DeFi協議之間的互操作性變得越來越復雜，這開辟了新的攻擊媒介。這種攻擊在難度上與‘Pickle Evil Jar’相似，并且將來會變得更加頻繁。”

此前5月8日晚間消息，Rari Capital ETH池因與Alpha Finance集成存在漏洞被攻擊。[2021/5/9 21:39:27]

盡管事故發生在BSC版的BXH中，以太坊、OEC及Heco上的資產并未受到影響，但該應用出于安全考量，還是關閉了其在各個鏈上的服務功能。BXH暫時關停服務后，DeFi「套娃」效應的暗黑一面也出現了，依賴BXH流動性的第三方機槍池應用CoinWind也在10月30日緊急地關停了其在BSC、Heco及以太坊鏈上的部分充值和提現功能。結果，另一個機槍池應用EarnDeFi的官方公告稱，因為CoinWind暫停充提，他們也停了充提。BXH被盜的連鎖反應導致三個應用的用戶們目前都無法取出存儲在其中的資產。蜂巢財經登陸CoinWind應用發現，該應用確實已經暫停了充提功能，收益雖然正常計算，但本金和收益均無法正常提取。EarnDeFi同樣如此。

動態 | 觀點：印度將因加密禁令損失129億美元市場價值:據AMBCrypto消息，加密和區塊鏈分析公司CREBACO Global Inc首席執行官Sidharth Sogani在《印度時報》上發表評論稱，由于加密禁令，印度將損失約8.4萬億印度盧比，相當于129億美元的市場價值。[2019/8/9]

兩個機槍池應用接連關閉充提10月31日，CoinWind的公告顯示，由于BXH關閉了所有主鏈的充提，目前CoinWind無法從BXH取回部分投放資金，故跟隨暫停了Heco、BSC、ETH三條主鏈的充提，且相關數據暫無法準確計算。該應用表示，BXH如在確定無風險后開放Heco、ETH充提，CoinWind也將開放。現階段，Heco、ETH主鏈的CoinWind用戶的本幣及收益未受到影響，該應用正在全力跟進BXH在BSC鏈本次被盜資產的追回情況、損失情況和開放充提的時間以及資產提取方案的處理進度。CoinWind暫停充提后，EarnDeFi僅在用戶群中通過小助手發了一紙公告，官網及官方該公告顯示，由于CoinWind緊急關閉了三條鏈上的單幣質押及DAO充提，EarnDeFi用戶在ETH、BTC、USDT池的充提會受到影響。具體多少資金被波及，該公告同樣沒有明說。從雙方的公告看，機槍池應用CoinWind的投入及收益來源之一是BXH，而EarnDeFi的部分收益耕種區是CoinWind，結果，城門失火，殃及池魚。池是機槍池，魚是這些應用的用戶們。需要關注的是，很多值得深思的細節問題也在事故發生后浮出水面。比如，CoinWind官方社群的管理員就表示，他們與EarnDeFi并無關系，雙方沒有合作，也從未收到過對方前來存幣的對接信息，對方自事發后也沒有給出與CoinWind交互的合約地址。有CoinWind用戶認為，EarnDeFi在「甩鍋」，仍在使用該應用的用戶「要小心了」。EarnDeFi也沒對對方的說法給出更多回應，但從其自身公告看，EarnDeFi作為機槍池「寄生」在另一個機槍池的做法多少顯得很懶惰，一般情況下，交易應用的挖礦池才應該是機槍池們獲取高收益的主要來源，結果CoinWind關充提，EarnDeFi三個主流單幣池就受了影響。再比如，有用戶對CoinWind將資產投入到屢受爭議的BXH感到不滿，「早知道是投入BXH，我就不再CoinWind存幣了。」用戶有此情緒皆因今年7月，BXH被多家自媒體深扒了主導成員的「不靠譜」行徑，該應用的主導者王小彬被批評連續兩年在區塊鏈領域「發幣、圈錢」、「10個項目全是空氣」，而王小彬此前在互聯網領域創業時曾出現過產品跳票不發貨、公司倒閉、欠薪成老賴被限制消費等「黑歷史」。有CoinWind用戶認為，將用戶資產投入到團隊有爭議的應用中去賺取收益，已經是風險前兆。CoinWind社群管理員針對「為什么選BXH機槍」作出解釋稱，他們對BXH做了盡職調研，包括對接入的所有其他池子都會做調研評估，BXH的審計報告沒有問題，且基本是實名項目。「作為機槍池，我們的義務就是選擇收益高且較為可靠的池子投入，這次BXH被攻擊是由于私鑰被盜，就CoinWind而言，這確實屬于人力不可抗因素。」BXH被盜需要反思自身的私鑰管理問題，而對機槍池來說，至少有一些用戶建議是值得這類收益管理應用們應該考慮的，特別是一個個DeFi應用都在朝著DAO發展時——公開、透明的告知用戶資金配置的去向。不要以「機密」為由敷衍用戶，配資策略也許是機槍池的生存和競爭的壁壘，但公布資金被分配到了哪些收益耕地中并不太影響機密策略的具體執行，讓用戶知情權和選擇權得到提前滿足，這不正是區塊鏈所倡導的精神嗎？

動態 | Poloniex比特幣保證金貸款人因CLAM崩盤損失1800枚比特幣:據coindesk報道，加密貨幣交易所Poloniex在周四的一篇文章中透露，由于5月26日CLAM市場的突然崩盤，其比特幣保證金貸款池中的貸款人虧損了1800枚比特幣（目前市場價格約為1350萬美元）。5月26日，在短短45分鐘內，Poloniex平臺上的可交易CLAM保證金市場的價值下跌近77％，導致了一系列旨在減少損失的清算。然而，崩潰的速度太快、程度太嚴重，使Poloniex的自動清算系統無法在不流動的市場中正常運作，這導致1800枚BTC的損失尚未償還給貸方。Poloniex表示正在聯系違約借款人，讓他們償還欠貸方的比特幣。在Poloniex收回資金時，會將其退還給受影響的貸方。此外，Poloniex正在采取措施保護其保證金用戶，包括去掉BTS、CLAM、FCT和MAID等非流動性市場，增加流程和保護層，以監控其保證金市場的風險。[2019/6/7]

動態 | DAO損失1.2億美金的“重入漏洞” 重現江湖:近日,降維安全實驗室(johnwick.io)監測到成人娛樂系統spankchain支付通道(payment channel)關聯的智能合約LedgerChannel遭到了重入攻擊。某黑客發現了該支付通道合約的重入漏洞(Reentrancy)，并于北京時間2017年10月7日上午8時許創建了惡意攻擊合約，隨后成功從該合約竊取了165.38 ETH，約合3.8萬美元價值的以太幣。[2018/10/10]

Tags：BXHOINCOIINDBXH幣point幣如何獲取BlazerCoinOracle Top 5 Tokens Index

FTX