以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

bZx 年內上演安全問題「 帽子戲法」,DeFi 安全「危」與「機」并存_USD:USDT

Author:

Time:1900/1/1 0:00:00

bZx協議再次遭到攻擊,共計損失價值逾800萬資產。另一方面,去中心化保險NexusMutual的有效保額突破了2億美元,較昨日翻倍。

撰文:張改娟

昨日,DeFi借貸協議bZx年內第三次遭到攻擊,由于代碼重復事故導致共計損失價值超800萬的資產,這距離BZx新版本部署僅不到兩周。受此影響,bZx代幣BZRX過去24小時跌近30%,從0.6679USDT一度跌至0.4USDT,發文時暫報0.44USDT。

BZRX30分鐘K線圖,來源:幣安

與此同時,bZx鎖倉量較昨日暴跌99.71%,幾乎歸零,目前僅為176美元。

北京時間9月14日下午3點半左右,bZx發現其協議總鎖定價值出現顯著下降。大約3小時后bZx確認多個iToken發生了重復事故,即iToken合約中的_internalTransferFrom()函數出現異常行為,攻擊者利用了相同的_from和_to地址調用了傳輸函數。確認問題后bZx隨即暫停了放貸操作。

bZx將保證金交易從Kyber轉移到SushiSwap,可節約30%-50%的gas成本:去中心化借貸平臺bZx近期宣布進行品牌重塑。其中,bZx在Fulcrum的ETH部署下,通過將所有保證金交易從Kyber轉移到SushiSwap,進一步降低了gas成本。在一筆典型交易中,從Kyber轉向SushiSwap可以節省大約30%-50%的gas成本。這意味著以前需要20美元的交易現在僅需要12美元。[2021/7/25 1:14:42]

bZx表示,目前該函數異常行為已被修復,協議也已恢復正常運行。借款和交易未受到影響,用戶不會受到資金風險。bZx也已部署了新版本的iToken合約,并針對重復事故重設了余額。修復后的代碼已發送給區塊鏈安全公司Peckshield和Certik進行審查。目前iToken的鑄造和銷毀已恢復。

以太坊開發人員:bZx協議使用后門銷毀資金以解決資金被盜一事:針對昨天bZx協議被攻擊一事,1inch聯合創始人Anton Bukov剛剛發推表示,我們發現有人在兩天前就發現了這個漏洞,將自己的余額增加到1.536億枚iUSDT,并開始從USDT池中抽走,直到1.519億枚iUSDT被銷毀。bZx協議管理員似乎有170萬美元被盜了。以太坊開發人員Roman Semenov對此評論稱,所以bZx協議管理員使用后門將其代幣更新為未經驗證狀態,從而使他們可以銷毀任何用戶的資金。然后,在銷毀一些參與黑客活動的用戶的資金后,他們更新為帶有bug修復的正常狀態。[2020/9/14]

bZx披露的信息顯示,此次重復事故發生后已將以下債務添加至其保險基金中,包括近22萬LINK、4502ETH、175.64萬USDT、141.20萬USDC、以及66.80萬DAI,按當前價格計算,總價值逾800萬美元,具體如下:

新交易對BZRX (bZx) 突破1.626美元,最高漲幅43.05%:據Gate.io行情顯示,新交易對BZRX/ USDT幣價持續上漲,24H內突破1.68美元,截至今日17:20,24H漲幅最高達43.05%,當前漲幅31.00%,24H最高價1.688美元,當前報價1.626美元。據悉,BZRX/ USDT交易于昨日在Gate.io正式上線。[2020/8/31]

219,199.66LINK4,502.70ETH1,756,351.27USDT1,412,048.48USDC667,988.62DAI去中心化借貸協議Compound創始人RobertLeshner表示,這意味著bZx損失了價值800多萬的資產,并建議bZx重新審計合約,而不是僅向用戶表示「nobigdeal」。

針對bZx協議被攻擊一事,Bitcoin.com首席工程師MarcThelan表示,昨晚其在bZx中發現了該漏洞,有價值超過2000萬美元的資產處于危險之中。MarcThelan稱其將該漏洞告知了bZx團隊,但該團隊反應過于緩慢。等到bZx團隊獲悉該漏洞時,攻擊者幾乎已經耗盡了Dai和USDC資產。如果攻擊者有更多時間,可能會耗盡整個池子。bZx的一位創始人在電報群中表示,團隊安全小組建議給MarcThelan1.25萬美元的賞金。

動態 | 1inch團隊:bZx拒絕停止智能合約并打算隱藏整個事件:加密貨幣兌換聚合器公司1inch.exchange官方推特今日發布詳述其與bZx團隊接觸過程的文章,文中提到,1月11日,bZx的Fulcrum平臺在以太網上發布其FlashFlash貸款功能,我們發現其中有一筆交易可能會竊取3個池中的250萬美元用戶資金。于是向Fulcrum提供了指向黑客證明交易的鏈接,希望他們能夠立即停止其智能合約。但Fulcrum方拒絕了,他們認為在構建和排隊補丁的過程中,有必要冒著用戶資金損失的風險,以避免造成負面關注。Fulcrum團隊還試圖用35000美元使我們沉默并隱藏整個事情。對此,bZx聯合創始人Kyle Joseph Kistner在推特上留言稱,1inch團隊威脅了我們。隨后1inch回應稱,我們并沒有行威脅之事,我們只是說你不應該在截圖上公開我們的照片和名字,否則我們有辦法阻止。[2020/2/21]

1inch聯合創始人AntonBukon此前也發現了該漏洞,其表示,「我們發現有人在兩天前就利用該漏洞將自己的余額增加到1.536億枚iUSDT,并開始從USDT池中轉走,直到bZx協議管理員銷毀了1.519億枚iUSDT,這表明似乎有170萬USDT被盜。」

動態 | Nexus Mutual已支付bZx事件價值3.1萬美元的索賠:金色財經報道,在利益相關者投票贊成向承保人支付保險金后,DeFi原生保險協議N??exus Mutual向在bZx漏洞首次被利用前已購買了保險的人支付了首筆索賠。Nexus Mutual宣布,關于bZx攻擊的兩項索賠的投票已經結束。評估人投票支持了第121號和第152號兩項索賠,總計約3.1萬美元。[2020/2/20]

關于bZx協議管理員銷毀iUSDT一事,以太坊開發人員RomanSemenov解釋稱,bZx協議管理員使用了一個允許其銷毀任何用戶資金的后門,然后將代幣的實現狀態更新為未經驗證。在銷毀一些涉及攻擊的用戶資金后,他們再次將其更新為漏洞修復后的正常實現。

bZx進一步解釋稱,該協議此前已經過區塊鏈安全公司Peckshield及Certik的安全審計,并進行了大量的自動化測試,但通過審計并不能確保協議100%安全。Peckshield及Certik正在分析此次事件的根本原因。

DeFi項目頻繁遭受攻擊,刺激去中心化保險需求

事實上,這并不是bZx協議首次受到攻擊。今年2月中旬,bZx協議曾兩次受到攻擊,共計損失價值逾90多萬的資產。當月中旬,bZx聯合創始人KyleKistner表示,「部分ETH已損失,此次事件是因為一個合約被利用導致的,其他資金是安全的。」業內人士估測,此次損失金額約為35萬美元。

3天后,bZx再次受到攻擊。bZx表示又發現了一次使用閃電貸進行的可疑交易,攻擊者后續使用了Synthetix交易,不過沒有影響到Synthetix系統。

除bZx之外,近期隨著DeFi熱度的大幅提升,安全問題成為了DeFi行業的最大挑戰。據PeckShield數據顯示,八月共發生安全事件28起,其中DeFi市場就發生了8起。

正因如此,去中心化保險的市場需求應運而生。NexusMutualTracker數據顯示,截至目前,去中心化保險NexusMutual的有效保額突破了2億美元,較之兩個月前,該數值已經增長逾20倍。

而在過去短短的24小時左右時間里,該數據就大漲130%,今日bZx的安全事故顯然成為了去中心化保險「大躍進式」增長的重要催化劑。

去中心化保險NexusMutual的有效保額,來源:NexusMutualTracker

可以想象,隨著DeFi市場的持續發展,去中心化保險、預言機等細分市場有望繼續保持增長勢頭。

bZx協議代碼安全漏洞的技術細節與進展更新

根據bZx發布的漏洞報告,此次事件發生后的團隊所采取的進展以及技術細節如下:

團隊注意到協議總鎖定價值出現了異常變動;在iToken上識別出與_internalTransferFrom()函數相關的異常行為;團隊在確定修復方案后暫停了iToken的鑄造和銷毀,不過,借款和交易并未受到影響;部署了新版本的iToken合約,并重設了余額;修復后的代碼已發送給Peckshield和Certik進行審查;恢復iToken的鑄造和銷毀。在以太坊ERC20代幣中,TransferFrom()函數是將一定數量的代幣從一個地址轉移至另一個地址的執行操作,即從地址_from發送_value個token到地址_to。

此次iToken重復事故正是攻擊者利用了相同的_from和_to地址調用了傳輸函數。

有誤的代碼

當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。

有誤的代碼

上述問題導致再減少_balancesFrom余額的情況下增加了_balancesTo的余額,并且還保存了_balancesFromNew和_balancesToNew,這會導致用戶能夠人為地增加自己的余額。

修復后的代碼在balances余額減少后,會進行balancesTo余額的轉移,從而防止用戶人為增加自己的余額。

修復后的代碼

Tags:BZXUSDUSDTSDTBZX幣RHOUSDT泰達幣USDT發行YSDT

歐易交易所app官網下載
央行副行長范一飛:政策視角分析數字人民幣 M0 定位_數字人:BDC

數字人民幣是央行向公眾提供的公共產品,不計付利息,央行也不對兌換流通等服務收費。推薦閱讀:《鏈聞精選好文|深入解讀DCEP與各國央行數字貨幣架構與影響》原文標題:《范一飛:關于數字人民幣M0定位.

1900/1/1 0:00:00
Filecoin增加太空競賽2,主網上線延后了嗎?_LEC:COIN

9月15日,太空競賽1在全球火熱的關注下結束,經過全球礦工的共同努力,太空競賽1在三周內達到了Filecoin網絡從未達到過的高度——230PB的存儲容量.

1900/1/1 0:00:00
BigONE 關于流動性挖礦收益分發完成的公告(2020/09/15)_SDT:USDT

親愛的用戶: BigONE已發放「TRXDeFi機槍池」、「GXC流動性挖礦」、「ETHDeFi宇宙最強機槍池」、「USDTDeFi宇宙最強機槍池」、「BTCCurve流動性挖礦」和「ONE和諧.

1900/1/1 0:00:00
OKEx Jumpstart質押挖礦第二期項目Realio Network簡介_RIO:TOKEN

一句話簡介: RIO是Realio網絡的實用型代幣,可為現實資產提供Defi流動性激勵。 項目簡介: Realio為發行人、基金經理和技術提供商提供全方位的區塊鏈解決方案,專注于房地產私募工具的.

1900/1/1 0:00:00
BKEX Global 關于支持Coin919網格交易公告_GLO:有多少人被okex被騙過

親愛的BKEXer:? 為給廣大用戶帶來更好的交易體驗,滿足多樣化的交易需求,BKEXGlobal現已支持通過Coin919進行網格交易.

1900/1/1 0:00:00
Filecoin融資報道:2017年創下全球區塊鏈早期項目融資記錄_COI:coinone官網下載

2017年8月,Filecoin完成了2.57億美金的融資,創下了當時全球區塊鏈早期項目的融資記錄,獲得了包括紅杉資本、YCombinator、文克萊沃斯兄弟、聯合廣場風投等頂級投資機構的青睞.

1900/1/1 0:00:00
ads