mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

补不完的漏洞!借贷平台 bZx 再度遭受攻击,初估损失约 800 万美金

收藏
分享
bZx

自从今年二月遭骇客攻击,前后损失近 64 万美元后,去中心化借贷协议 bZx 的表现一直不理想,用户数也因为流动性挖矿机制在去中心化金融(DeFi)领域广泛采用而不断减少,就在人们几乎快遗忘这个平台时,bZx 又再度占据了新闻版面。

iToken 复制漏洞

bZx 于昨日(13日)再度遭到骇客攻击,这次 攻击 所导致的损失高达 800 万美元,将当于 bZx 总锁定资产的 30%。根据 Bitcoin.com 首席开发者 Marc Thelan 的说法,他是第一个发现合约漏洞,并提醒团队立即停止合约功能的人。

Marc Thelan 在推文中指出,他发现了 bZx 平台在链上的可疑交易,因此他照着攻击者的步骤,将 100 USDC 打进平台作为抵押品,铸造出 100 iUSDC,并将这 100 iUSDC 打到自己的地址,按理来说转出地址与转入地址一致的话余额是不会产生任何变化的,但由于合约存在漏洞,导致地址余额从 100 iUSDC 变成 200 iUSDC,最终 Marc Thelan 用 200 iUSDC 成功换回 200 USDC。换句话说,合约漏洞导致 iToken 可以被复制。

Marc Thelan 立即向 bZx 团队发出警告,并表示攻击者已借由这个漏洞耗尽了资金池中大量的 Dai 和 USDC,Marc Thelan 补充表示,如果攻击者有更多时间,可能整个资金池的资金都会被耗尽。

平台风险不容忽视

这次攻击事件中损失的资产包括以太币(ETH)、Chainlink(LINK)、USDC 与 DAI 等,总损失估计 800 万美元。尽管该平台背后的保险基金会全额赔偿这笔损失,而 bZx 团队在暂停合约后,紧急修复并再度将合约重启的做法,让 Compound 创办人难以认同,其表示:

「请先暂停所有合约功能直到所有审计和分析彻底完成,不要用一句「没什么大不了的」带过。这不是你应对骇客的方式。」

这起事件再次点出了 DeFi 协议中用户资产安全的重要性,用户自身也不应该忽略平台的合约风险。正如 Aave 协议创办人 Stani Kulechov 所说

「@bZxHQ 事件表明,分叉计有项目比从头打造一个新的容易。这些代码进行过多次审计与验证,并且花了相当长的时间才上到主网。但尽管如此仍然不能保证绝对的安全,这是每个 DeFi 用户都应该了解的。」

衍伸阅读


立即加入 Telegram 获得最完整的金融科技资讯、区块链新知、业界实例!

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。
相关阅读