Le protocole bZx perdrait environ 8 millions de dollars suite à une nouvelle exploitation de faille

Le protocole bZx a de nouveau été compromis suite à l'exploitation d'une faille dans sa méthode de duplication des iTokens, entraînant des pertes de fonds. L'équipe derrière ce protocole de prêt de finance décentralisée (DeFi) a toutefois corrigé la faille, garantissant ainsi la sécurité des fonds des utilisateurs. Il est à noter que cet incident récentdent le troisième piratage cette année. 

chute de TVL du protocole bZx

Dimanche, une faille de sécurité a été signalée dans la méthode de duplication des iTokens de bZx, permettant à un pirate d'augmenter artificiellement son solde. Anton Bukov, cofondateur de 1inch.Exchange, a publié sur Twitter un message montrant la duplication de 101 778 jetons iETH (d'une valeur d'environ 4 700 ETH) sur le protocole bZx, via une dizaine de transactions. Ces jetons valaient 1 724 900 $ au cours actuel de l'ETH, à 367 $. 

L'équipe bZx a commencé à enquêter sur l'incident de duplicationdent la valeur totale bloquée (TVL) du protocole a chuté brutalement. Ils ont constaté cet incidentdent plusieurs iTokens et ont immédiatement suspendu temporairement les activités sur le protocole, telles que les prêts et les annulations de prêts. Après un audit approfondi du protocole bZx réalisé par les sociétés de sécurité de premier plan Peckshield et Certik, la méthode de duplication défectueuse a été corrigée dans le code du contrattrac.

Au total, la valeur perdue sur le protocole bZx lors de l'incidentdent à environ 8 millions de dollars. L'équipe a assuré que les fonds volés ont été déduits du fonds d'assurance ; par conséquent, les clients n'ont pas besoin de clôturer leurs prêts, car « aucun fonds n'est actuellement à risque ». Les fonds ajoutés au fonds d'assurance comprennent : 219 199,66 LINK, 4 502,70 ETH, 1 756 351,27 USDT, 1 412 048,48 USDC et 667 988,62 DAI.

Le piratage de bZx aurait pu être évité

Un utilisateur de Twitter, @MarcThalen, a été le premier à découvrir le bug et signaler à l'équipe bZx ; cependant, celle-ci n'a pas répondu à temps. 

« Hier soir, j'ai découvert une faille dans BRZX. J'ai constaté que des utilisateurs pouvaient dupliquer des jetons « i ». Plus de 20 millions de dollars étaient en jeu. J'ai informé l'équipe, leur demandant d'arrêter le protocole, et je leur ai expliqué la faille. À ce moment-là, aucun des fondateurs n'était connecté… »

Il a ajouté:

« Au bout d'un moment, l'administrateur avec qui je discutais m'a dit qu'il avait enfin réussi à joindre l'équipe et qu'il leur transmettait les informations que je leur fournissais. À ce moment-là, j'ai remarqué que l'attaquant avait déjà dérobé d'importantes quantités de Dai et d'USDC. »