Протокол bZx снова был скомпрометирован, так как предполагаемая ошибка в методе дублирования iTokens была использована и, как сообщается, привела к потере средств. Тем не менее, команда, стоящая за протоколом кредитования децентрализованного финансирования ( DeFi ), исправила ошибку, заверив, что средства пользователей не подвергаются риску. Примечательно, что этот недавний инцидент dent собой третий случай взлома bZx в этом году.
Снижение TVL протокола bZx
В воскресенье сообщалось об ошибке в методе дублирования bZx iToken, который позволял хакеру искусственно завышать их баланс. Как соучредитель 1inch.Exchange, Антон Буков поделился в Твиттере сообщением, показывающим 101778 токенов $iETH (стоимостью около 4,7 тыс. ETH), которые были продублированы по протоколу bZx примерно в девяти различных транзакциях. Токены стоили 1 724 900 долларов после текущей цены ETH в 367 долларов.
Команда bZx начала расследование инцидента с дублированием, dent общее заблокированное значение протокола (TVL) начало внезапно падать. Они могли узнать об инциденте с дублированием dent iToken и немедленно прекратили действия по протоколу, такие как временная выдача и раздача. После серьезного аудита протокола bZx ведущими фирмами по безопасности Peckshield и Certik ошибочный метод дублирования был удален из кода контракта trac .
В целом общая стоимость, потерянная в протоколе bZx во время инцидента, dent сообщениям, составляет около 8 миллионов долларов . Команда заверила, что украденные средства были списаны со страховых фондов, поэтому клиентам не нужно закрывать свои кредиты, поскольку «в настоящее время никакие средства не находятся под угрозой». Между тем, средства, добавленные в страховой фонд, включают 219 199,66 LINK, 4 502,70 ETH, 1 756 351,27 USDT, 1 412 048,48 USDC, 667 988,62 DAI.
Взлом bZx можно было предотвратить
Пользователь Твиттера @MarcThalen первым обнаружил ошибку и сообщил о ней команде bZx; однако они не ответили вовремя.
«Прошлой ночью я обнаружил эксплойт в BRZX. Я заметил, что пользователи могут дублировать «i-токены». Под угрозой было 20+ миллионов долларов. Я сообщил команде, чтобы они остановили протокол, и объяснил им эксплойт. На данный момент ни один из основателей не встал.
Он добавил :
«Через некоторое время администратор, с которым я разговаривал, сказал мне, что он, наконец, связался с командой и передал им информацию, которую я им передал. В этот момент злоумышленник, которого я заметил, истощил значительное количество Dai и USDC».
