以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > FTT > Info

BXH被盜,損失約1.39億美元 ,兩個第三方機槍池連環關停充提_OIN:IND

Author:

Time:1900/1/1 0:00:00

原標題:《DEX「笨小孩」被盜殃及兩機槍池應用》

10月30日,多鏈部署的去中心化交易應用BXH被盜,損失了價值約1.39億美元的加密資產,此次安全事故發生在BSC鏈上的BXH協議,據該應用官方聲明顯示,以太坊、OEC鏈、Heco鏈上的BXH協議及資產未受影響,但出于安全考量,關閉了所有鏈上的對外服務。

事故發生后,根據區塊鏈安全機構慢霧科技的分析,被盜前,BXH管理錢包地址出現過「賦予攻擊合約管理權限」的操作,導致攻擊合約通過管理權限從BXH策略池資金庫將其管理的資產轉出,被盜的部分資金已跨鏈轉移。

失竊原因一出,輿論嘩然,BXH不幸地以安全事故的方式反應了它的中文花名「笨小孩」。

有人想不通為何BXH能將資金管理權限「拱手讓黑客」,也有人質疑該應用監守自盜,該應用的王姓主導人此前的負面信息再次被扒出。BXH其官方未就輿情進行過多回應,僅表示「私鑰泄露」,并發布100萬美元懸賞金招攬白帽子團隊追回資金。

慢霧:BXH 第一次被盜資金再次轉移,BTC 網絡余額超 2700 BTC:金色財經報道,10月8日凌晨(UTC+8),慢霧監控到 BXH 第一次被盜資金再次出現異動,經慢霧 MistTrack 分析,異動詳情如下:

黑客地址 0x48c9...7d79 將部分資金(213.77 BTCB,5 BNB 和 1 ETH)轉移至新地址 0xc01f...2aef,接著將資金兌換為 renBTC 跨鏈到 BTC 網絡,跨鏈后地址為 1JwQ...u9oU。1JwQ...u9oU 在此次轉移中接收到的總資金為 204.12 BTC。截止目前,BXH 第一次被盜事件在 BTC 網絡共有 4 個黑客地址,總計余額為 2701.3 BTC,暫未進一步轉移。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/10/8 12:49:28]

由于BXH已經關閉了應用的充提功能,依賴該交易所流動性的機槍池應用Coinwind也因安全排查而關閉了其在多條鏈上的充提功能,而另一個機槍池應用EarnDeFi則因Coinwind的充提暫停而關了充提。

DeFi收益能「套娃」,安全事故出現時也會產生「套娃」反應。截至發稿,上述三個應用均未開放充提功能。

安全團隊:疑似BXH 9月21日被盜資金出現異動,1865 ETH轉移到Tornado Cash:金色財經消息,據慢霧安全團隊,根據BXH笨小孩團隊9月23日的通告,前天(9月21日)晚被盜共計價值250萬美元的資產以及3800萬BXH代幣。

慢霧MistTrack分析評估,BXH VaultPool合約原owner的私鑰疑似被盜,調用inCaseTokensGetStuck函數轉移合約中資金到黑客地址,黑客地址為0x158f...e345。

截止目前,黑客已將被盜資金跨鏈兌換到ETH鏈,并進一步將全部被盜資金轉移到Tornado Cash,轉移額共計1865 ETH。慢霧MistTrack將持續跟進被盜資金的轉移。[2022/9/24 7:18:31]

BXH管理權限「被黑」遭質疑

價值1.39億美元的加密資產被盜走一天后,北京時間10月31日,BXH在官方社交媒體上公示了其在BSC鏈上的資金池剩余資產,包括USDT、USDC、BTC、ETH、BUSD、MDX在內,資產殘值約余1.84億美元左右。

DeFi平臺BXH笨小孩即將重啟HECO鏈服務:據官方消息,DeFi平臺BXH笨小孩已經在各方的配合下恢復了OEC及ETH鏈的服務。目前正在加急處理HECO及BSC的相關恢復工作。

BXH平臺公告:HECO鏈將在合約安全升級完成后,于北京時間11月17日20:00恢復正常運營。

BSC鏈被盜資產的處理方案將于11月18日給出初稿處理公示,等處理方案確認后另行安排并公布。[2021/11/17 21:58:41]

當前BXH在BSC鏈上的殘值剩1.84億美元

BXH官方表示,剩余資產的提幣方案將在第三方安全聯合團隊確認事故原因和合約安全以及調查初步問題以后,出具資產提幣公告和其他補償方案。

此前的公開信息顯示,去中心化交易應用BXH于今年3月初始部署于火幣Heco鏈,曾以「短短10天內吸引了數萬用戶以及12億美金的TVL」的成績風靡DeFi火爆期;今年7月30日正式部署在BSC鏈上,此后又在以太坊和OEC鏈上「建站」。

事發前的10月25日,BXH剛在BSC鏈上啟動了借貸池挖礦功能,結果5天后就出了事兒。

DeFi平臺BXH笨小孩即將重啟ETH鏈服務:據官方消息,DeFi平臺BXH笨小孩10.30被盜事件后已于11.8日重啟OEC鏈服務。現經多方測試,確認BXH平臺ETH鏈安全隱患已完全排除,同時完成了私鑰驗證的多簽升級。

BXH平臺正式宣布:在能夠確保用戶資產安全的前提下,BXH平臺將于北京時間2021年11月13日14:00,恢復ETH鏈的服務。[2021/11/12 21:46:35]

區塊鏈安全機構、BXH的審計方之一慢霧科技已在事發后給出了初步分析,據該機構情報,黑客于27日13時部署了攻擊合約?0x8877;接著在29日08時,BXH項目管理錢包地址?0x5614通過grantRole賦予攻擊合約?0x8877管理權限;30日03時,攻擊者通過攻擊合約?0x8877的權限從BXH策略池資金庫中將其管理的資產轉出;30日04時0x5614暫停了資金庫。「因此,BXH本次被盜是由于其管理權限被惡意的修改,導致攻擊者利用此權限轉移了項目資產。」

追蹤也在事發后的10月30日開始了,慢霧科技于當日的北京時間16時24分公告,黑客在BSC鏈上的初始獲利地址已將4000ETH從BSC鏈轉移到ETH鏈,接著將300BTCB兌換為renBTC,跨鏈到了兩個地址上。

BXH笨小孩TVL突破5000萬美元:據官方數據顯示,7月30日20:00,BXH笨小孩登陸BSC ,鏈上流動性質押TVL突破5000萬美元。[2021/7/30 1:25:25]

如按照BXH事發后的公告,被盜資金的轉移鏈條已經在多個安全機構的追蹤中,該應用也已經發布了100萬美元的懸賞公告,計劃招攬白帽子團隊進行資金追回。

慢霧科技的「初診」一出,網上輿論及BXH的用戶紛紛表示不解,有人疑惑,BXH的錢包管理權限為何會拱手讓予黑客,也有人將此質疑為項目方的監守自盜。BXH目前沒有應對這些輿情,僅表示「私鑰泄露」。

官方「私鑰泄露」說暴露了該交易應用在私鑰管理上的漏洞。DeFi領域的KOL神魚就有疑問,私鑰「為啥不多簽,為啥不加時間鎖」。對于這類疑惑,BXH也尚未對外給出答復,有待事后的更詳細的安全分析復盤。

媒體《巴比特》援引加密資產存管服務商安全鷺說法稱,加密資產的管理者需要更加重視單私鑰管理中帶來的安全風險,應盡快把Owner私鑰升級為多簽管理的方式,避免私鑰單點風險。而通過鏈上合約多簽或者MPC多簽,均可以實現對Owner私鑰的多簽管理。

可見,私鑰安全風險雖有,但也有技可施,掌管著用戶上億美元資產的BXH在私鑰管理上失職了。

兩個第三方機槍池連環關停充提

盡管事故發生在BSC版的BXH中,以太坊、OEC及Heco上的資產并未受到影響,但該應用出于安全考量,還是關閉了其在各個鏈上的服務功能。

BXH暫時關停服務后,DeFi「套娃」效應的暗黑一面也出現了,依賴BXH流動性的第三方機槍池應用CoinWind也在10月30日緊急地關停了其在BSC、Heco及以太坊鏈上的部分充值和提現功能。結果,另一個機槍池應用EarnDeFi的官方公告稱,因為CoinWind暫停充提,他們也停了充提。

BXH被盜的連鎖反應導致三個應用的用戶們目前都無法取出存儲在其中的資產。

蜂巢財經登陸CoinWind應用發現,該應用確實已經暫停了充提功能,收益雖然正常計算,但本金和收益均無法正常提取。EarnDeFi同樣如此。

兩個機槍池應用接連關閉充提

10月31日,CoinWind的公告顯示,由于BXH關閉了所有主鏈的充提,目前CoinWind無法從BXH取回部分投放資金,故跟隨暫停了Heco、BSC、ETH三條主鏈的充提,且相關數據暫無法準確計算。該應用表示,BXH如在確定無風險后開放Heco、ETH充提,CoinWind也將開放。現階段,Heco、ETH主鏈的CoinWind用戶的本幣及收益未受到影響,該應用正在全力跟進BXH在BSC鏈本次被盜資產的追回情況、損失情況和開放充提的時間以及資產提取方案的處理進度。

CoinWind暫停充提后,EarnDeFi僅在用戶群中通過小助手發了一紙公告,官網及官方該公告顯示,由于CoinWind緊急關閉了三條鏈上的單幣質押及DAO充提,EarnDeFi用戶在ETH、BTC、USDT池的充提會受到影響。具體多少資金被波及,該公告同樣沒有明說。

從雙方的公告看,機槍池應用CoinWind的投入及收益來源之一是BXH,而EarnDeFi的部分收益耕種區是CoinWind,結果,城門失火,殃及池魚。池是機槍池,魚是這些應用的用戶們。

需要關注的是,很多值得深思的細節問題也在事故發生后浮出水面。

比如,CoinWind官方社群的管理員就表示,他們與EarnDeFi并無關系,雙方沒有合作,也從未收到過對方前來存幣的對接信息,對方自事發后也沒有給出與CoinWind交互的合約地址。有CoinWind用戶認為,EarnDeFi在「甩鍋」,仍在使用該應用的用戶「要小心了」。

EarnDeFi也沒對對方的說法給出更多回應,但從其自身公告看,EarnDeFi作為機槍池「寄生」在另一個機槍池的做法多少顯得很懶惰,一般情況下,交易應用的挖礦池才應該是機槍池們獲取高收益的主要來源,結果CoinWind關充提,EarnDeFi三個主流單幣池就受了影響。

再比如,有用戶對CoinWind將資產投入到屢受爭議的BXH感到不滿,「早知道是投入BXH,我就不再CoinWind存幣了。」用戶有此情緒皆因今年7月,BXH被多家自媒體深扒了主導成員的「不靠譜」行徑,該應用的主導者王小彬被批評連續兩年在區塊鏈領域「發幣、圈錢」、「10個項目全是空氣」,而王小彬此前在互聯網領域創業時曾出現過產品跳票不發貨、公司倒閉、欠薪成老賴被限制消費等「黑歷史」。

有CoinWind用戶認為,將用戶資產投入到團隊有爭議的應用中去賺取收益,已經是風險前兆。

CoinWind社群管理員針對「為什么選BXH機槍」作出解釋稱,他們對BXH做了盡職調研,包括對接入的所有其他池子都會做調研評估,BXH的審計報告沒有問題,且基本是實名項目。「作為機槍池,我們的義務就是選擇收益高且較為可靠的池子投入,這次BXH被攻擊是由于私鑰被盜,就CoinWind而言,這確實屬于人力不可抗因素。」

BXH被盜需要反思自身的私鑰管理問題,而對機槍池來說,至少有一些用戶建議是值得這類收益管理應用們應該考慮的,特別是一個個DeFi應用都在朝著DAO發展時——公開、透明的告知用戶資金配置的去向。

不要以「機密」為由敷衍用戶,配資策略也許是機槍池的生存和競爭的壁壘,但公布資金被分配到了哪些收益耕地中并不太影響機密策略的具體執行,讓用戶知情權和選擇權得到提前滿足,這不正是區塊鏈所倡導的精神嗎?

Tags:BXHCoinwINDOINbxh幣發行量coinw交易所下載STARCHAINDOGEBitRewards Coin

FTT
分析:五大原因解釋為什么鏈游是未來發展趨勢_AXI:比特幣匯率多少

原標題:《分析:基于區塊鏈的游戲經濟是未來的五大原因》對外面的世界一無所知的人可能都知道,游戲產業一直處于飛速發展之中。它是從新冠疫情大流行中受益的行業之一.

1900/1/1 0:00:00
融資新聞丨元宇宙游戲平臺The Sandbox完成9300萬美元融資,軟銀領投_TAL:SAND

TheSandbox是一家總部位于香港的游戲平臺,允許用戶使用不可替代的代幣(NFT)構建虛擬世界。該公司周一告訴路透社,已從軟銀愿景基金2領導的投資者那里籌集了9300萬美元.

1900/1/1 0:00:00
以太坊二層擴容解決方案Optimism完成EVM等效性升級_TIMI:ETH Shiba

巴比特訊,11月12日消息,以太坊二層擴容解決方案Optimism宣布正式上線EVM等效性。EVM等效性會與EVM規范完全一致而不是僅僅兼容,可以簡化開發者的開發過程以及降低交易費用.

1900/1/1 0:00:00
美參議員將對拜登的基礎設施法案提出加密修正案_MIS:MISSOR

據TheBlock消息,美國參議院財政委員會主席RonWyden和參議員CynthiaLummis計劃今天提出一項新法案,該法案將撤銷最近通過的兩黨基礎設施??一攬子計劃中的一些加密貨幣條款.

1900/1/1 0:00:00
Warpspeed 2021 DFINITY×IAF 黑客松杭州線下技術交流會_FIN:TER

Warpspeed2021DFINITY×IAF黑客松已經與11月15號正式啟動,活動得到眾多合作伙伴的推薦,一周以來已經有超百位小伙伴進行報名參賽.

1900/1/1 0:00:00
NFT周刊|NFT谷歌搜索量創新高;梅西百貨將發布感恩節NFT;NFT海盜灣被創建_PEN:NFT

上個月是谷歌NFT搜索量創歷史新高的一個月。NFT今年又出現了谷歌搜索量創歷史新高的另一個月。梅西百貨的感恩節大游行將推出一個NFT。Xbox的PhilSpencer分享了他對NFT的看法.

1900/1/1 0:00:00
ads