COI:損失1.39億美元，BXH 管理權限何以拱手讓黑客？

10月30日，多鏈部署的去中心化交易應用BXH被盜，損失了價值約1.39億美元的加密資產，此次安全事故發生在BSC鏈上的BXH協議，據該應用官方聲明顯示，以太坊、OEC鏈、Heco鏈上的BXH協議及資產未受影響，但出于安全考量，關閉了所有鏈上的對外服務。事故發生后，根據區塊鏈安全機構慢霧科技的分析，被盜前，BXH管理錢包地址出現過「賦予攻擊合約管理權限」的操作，導致攻擊合約通過管理權限從BXH策略池資金庫將其管理的資產轉出，被盜的部分資金已跨鏈轉移。失竊原因一出，輿論嘩然，BXH不幸地以安全事故的方式反應了它的中文花名「笨小孩」。有人想不通為何BXH能將資金管理權限「拱手讓黑客」，也有人質疑該應用監守自盜，該應用的王姓主導人此前的負面信息再次被扒出。BXH其官方未就輿情進行過多回應，僅表示「私鑰泄露」，并發布100萬美元懸賞金招攬白帽子團隊追回資金。由于BXH已經關閉了應用的充提功能，依賴該交易所流動性的機槍池應用Coinwind也因安全排查而關閉了其在多條鏈上的充提功能，而另一個機槍池應用EarnDeFi則因Coinwind的充提暫停而關了充提。DeFi收益能「套娃」，安全事故出現時也會產生「套娃」反應。截至發稿，上述三個應用均未開放充提功能。BXH管理權限「被黑」遭質疑

Flashbots產品負責人Bert Miller：“0xbaDc0dE”開頭地址在單筆交易中賺了 800 ETH，但一小時后被黑客盜走損失1,100 ETH:金色財經報道，據研究機構 Flashbots 產品負責人 Bert Miller 在社交媒體發文稱，一個“0xbaDc0dE”開頭地址的 MEV Bot 機器人操作員在單筆交易中賺了 800 ETH，但一小時后損失了高達 1,100 ETH，該地址在過去幾個月中執行了 220,000 筆交易。Bert Miller 解釋說，“0xbaDc0dE” 利用了一位試圖在 Uniswap v2 上出售價值 180 萬美元 cUSDC 的用戶，通過將交易與涉及許多不同 DeFi dApp 精心套利交易賺了 800 ETH（102 萬美元），而那位不幸的賣家從該交易中只收到了 500 美元。但僅僅一個小時后，“0xbaDc0dE” 所有 ETH 都被盜了，一名黑客從該錢包中獲取 1,101 ETH（約合 140 萬美元），區塊鏈安全公司 PeckShield 也發現了這筆交易并發布了與黑客相關的鏈上信息。[2022/9/29 22:38:56]

價值1.39億美元的加密資產被盜走一天后，北京時間10月31日，BXH在官方社交媒體上公示了其在BSC鏈上的資金池剩余資產，包括USDT、USDC、BTC、ETH、BUSD、MDX在內，資產殘值約余1.84億美元左右。

虛擬貨幣上半年發生1375起重大安全事件 損失142.4億美元:7月25日消息，PeckShield（派盾）創始人兼CEO蔣旭憲在杭州2021年世界區塊鏈大會上發布“數字貨幣反洗錢暨DeFi行業安全報告—2021上半年報告”。報告顯示，虛擬貨幣今年上半年發生1375起重大安全事件，損失達到了142.4億美元；勒索損失增速和去年同期相比達到了2585%，詐騙事件60起；各大公鏈DeFi應用出現井噴，同時DeFi安全事件也占黑客攻擊事件的60%，今年上半年DeFi重大安全事件86起損失達7.69億美元；上半年未受監管的出境規模高達283億美元，5月份強監管政策出臺后，流出規模有所下滑。（區塊鏈日報）[2021/7/25 1:14:07]

當前BXH在BSC鏈上的殘值剩1.84億美元BXH官方表示，剩余資產的提幣方案將在第三方安全聯合團隊確認事故原因和合約安全以及調查初步問題以后，出具資產提幣公告和其他補償方案。此前的公開信息顯示，去中心化交易應用BXH于今年3月初始部署于火幣Heco鏈，曾以「短短10天內吸引了數萬用戶以及12億美金的TVL」的成績風靡DeFi火爆期；今年7月30日正式部署在BSC鏈上，此后又在以太坊和OEC鏈上「建站」。事發前的10月25日，BXH剛在BSC鏈上啟動了借貸池挖礦功能，結果5天后就出了事兒。區塊鏈安全機構、BXH的審計方之一慢霧科技已在事發后給出了初步分析，據該機構情報，黑客于27日13時部署了攻擊合約0x8877；接著在29日08時，BXH項目管理錢包地址0x5614通過grantRole賦予攻擊合約0x8877管理權限；30日03時，攻擊者通過攻擊合約0x8877的權限從BXH策略池資金庫中將其管理的資產轉出；30日04時0x5614暫停了資金庫。「因此，BXH本次被盜是由于其管理權限被惡意的修改，導致攻擊者利用此權限轉移了項目資產。」追蹤也在事發后的10月30日開始了，慢霧科技于當日的北京時間16時24分公告，黑客在BSC鏈上的初始獲利地址已將4000ETH從BSC鏈轉移到ETH鏈，接著將300BTCB兌換為renBTC，跨鏈到了兩個地址上。如按照BXH事發后的公告，被盜資金的轉移鏈條已經在多個安全機構的追蹤中，該應用也已經發布了100萬美元的懸賞公告，計劃招攬白帽子團隊進行資金追回。慢霧科技的「初診」一出，網上輿論及BXH的用戶紛紛表示不解，有人疑惑，BXH的錢包管理權限為何會拱手讓予黑客，也有人將此質疑為項目方的監守自盜。BXH目前沒有應對這些輿情，僅表示「私鑰泄露」。官方「私鑰泄露」說暴露了該交易應用在私鑰管理上的漏洞。DeFi領域的KOL神魚就有疑問，私鑰「為啥不多簽，為啥不加時間鎖」。對于這類疑惑，BXH也尚未對外給出答復，有待事后的更詳細的安全分析復盤。媒體《巴比特》援引加密資產存管服務商安全鷺說法稱，加密資產的管理者需要更加重視單私鑰管理中帶來的安全風險，應盡快把Owner私鑰升級為多簽管理的方式，避免私鑰單點風險。而通過鏈上合約多簽或者MPC多簽，均可以實現對Owner私鑰的多簽管理。可見，私鑰安全風險雖有，但也有技可施，掌管著用戶上億美元資產的BXH在私鑰管理上失職了。兩個第三方機槍池連環關停充提

THORChain遭受惡意攻擊損失14萬美元，目前漏洞已修復且沒有用戶資金受損:官方消息，去中心化跨鏈交易協議THORChain發推稱發現一個針對THORChain的惡意攻擊，THORChain節點已作出反應并隔離防御，該次攻擊造成的資金損失為14萬美元，但THORChain表示用戶資金不會受到影響，將會用資金庫來彌補漏洞資金。團隊表示，此次攻擊的路徑為EthBifrost在處理與ETH相同的符號時出現邏輯錯誤，THORChain稱在30分鐘內修復了Bifrost，并采取節點防御停止Bifrost和THORNode。該團隊稱還將投入資金用于持續的代碼審查和監控。[2021/6/29 0:13:42]

盡管事故發生在BSC版的BXH中，以太坊、OEC及Heco上的資產并未受到影響，但該應用出于安全考量，還是關閉了其在各個鏈上的服務功能。BXH暫時關停服務后，DeFi「套娃」效應的暗黑一面也出現了，依賴BXH流動性的第三方機槍池應用CoinWind也在10月30日緊急地關停了其在BSC、Heco及以太坊鏈上的部分充值和提現功能。結果，另一個機槍池應用EarnDeFi的官方公告稱，因為CoinWind暫停充提，他們也停了充提。BXH被盜的連鎖反應導致三個應用的用戶們目前都無法取出存儲在其中的資產。蜂巢財經登陸CoinWind應用發現，該應用確實已經暫停了充提功能，收益雖然正常計算，但本金和收益均無法正常提取。EarnDeFi同樣如此。

動態 | 數字資產托管公司BitGo工程主管因SIM卡調換攻擊損失10萬美元的加密貨幣:據thenextweb消息，數字資產托管公司BitGo的工程主管Sean Coonce上周因SIM調換攻擊損失了價值10萬美元的加密貨幣。上周二晚上，Coonce注意到他的手機沒有了任何移動服務，隨后他收到有人試圖登錄其谷歌帳戶的通知。Coonce試圖輸入密碼但沒有成功，最后他決定在第二天早上再處理這件事。但當Coonce醒來時，攻擊者已經獲得了他的電子郵件和Coinbase賬戶的訪問權限，隨后將其Coinbase賬戶資金清空并將所有資金轉移到了該交易所外的一個鏈上地址。[2019/5/21]

兩個機槍池應用接連關閉充提10月31日，CoinWind的公告顯示，由于BXH關閉了所有主鏈的充提，目前CoinWind無法從BXH取回部分投放資金，故跟隨暫停了Heco、BSC、ETH三條主鏈的充提，且相關數據暫無法準確計算。該應用表示，BXH如在確定無風險后開放Heco、ETH充提，CoinWind也將開放。現階段，Heco、ETH主鏈的CoinWind用戶的本幣及收益未受到影響，該應用正在全力跟進BXH在BSC鏈本次被盜資產的追回情況、損失情況和開放充提的時間以及資產提取方案的處理進度。CoinWind暫停充提后，EarnDeFi僅在用戶群中通過小助手發了一紙公告，官網及官方該公告顯示，由于CoinWind緊急關閉了三條鏈上的單幣質押及DAO充提，EarnDeFi用戶在ETH、BTC、USDT池的充提會受到影響。具體多少資金被波及，該公告同樣沒有明說。從雙方的公告看，機槍池應用CoinWind的投入及收益來源之一是BXH，而EarnDeFi的部分收益耕種區是CoinWind，結果，城門失火，殃及池魚。池是機槍池，魚是這些應用的用戶們。需要關注的是，很多值得深思的細節問題也在事故發生后浮出水面。比如，CoinWind官方社群的管理員就表示，他們與EarnDeFi并無關系，雙方沒有合作，也從未收到過對方前來存幣的對接信息，對方自事發后也沒有給出與CoinWind交互的合約地址。有CoinWind用戶認為，EarnDeFi在「甩鍋」，仍在使用該應用的用戶「要小心了」。EarnDeFi也沒對對方的說法給出更多回應，但從其自身公告看，EarnDeFi作為機槍池「寄生」在另一個機槍池的做法多少顯得很懶惰，一般情況下，交易應用的挖礦池才應該是機槍池們獲取高收益的主要來源，結果CoinWind關充提，EarnDeFi三個主流單幣池就受了影響。再比如，有用戶對CoinWind將資產投入到屢受爭議的BXH感到不滿，「早知道是投入BXH，我就不再CoinWind存幣了。」用戶有此情緒皆因今年7月，BXH被多家自媒體深扒了主導成員的「不靠譜」行徑，該應用的主導者王小彬被批評連續兩年在區塊鏈領域「發幣、圈錢」、「10個項目全是空氣」，而王小彬此前在互聯網領域創業時曾出現過產品跳票不發貨、公司倒閉、欠薪成老賴被限制消費等「黑歷史」。有CoinWind用戶認為，將用戶資產投入到團隊有爭議的應用中去賺取收益，已經是風險前兆。CoinWind社群管理員針對「為什么選BXH機槍」作出解釋稱，他們對BXH做了盡職調研，包括對接入的所有其他池子都會做調研評估，BXH的審計報告沒有問題，且基本是實名項目。「作為機槍池，我們的義務就是選擇收益高且較為可靠的池子投入，這次BXH被攻擊是由于私鑰被盜，就CoinWind而言，這確實屬于人力不可抗因素。」BXH被盜需要反思自身的私鑰管理問題，而對機槍池來說，至少有一些用戶建議是值得這類收益管理應用們應該考慮的，特別是一個個DeFi應用都在朝著DAO發展時——公開、透明的告知用戶資金配置的去向。不要以「機密」為由敷衍用戶，配資策略也許是機槍池的生存和競爭的壁壘，但公布資金被分配到了哪些收益耕地中并不太影響機密策略的具體執行，讓用戶知情權和選擇權得到提前滿足，這不正是區塊鏈所倡導的精神嗎？

動態 | 澤西島一男子因比特幣詐騙損失120萬英鎊:據The Next web消息，英國自治島嶼澤西島的一名居民因一起比特幣詐騙失去了畢生積蓄。據悉，詐騙分子在長達18個月的時間里持續欺騙受害者，總計從受害者處騙得120萬英鎊（約150萬美元）。英國國家犯罪調查局的調查人員表示，該筆資金不太可能被追回。[2019/5/3]

Tags：BXHCOINOINCOIbxh幣最新消息及前景pepecoin幣能到一美金嗎Coin To FishEtherInc Coin

比特幣交易