北京時間9月14日消息,DeFi借貸協議bZx再次遭到攻擊,而這次攻擊共造成了大約800萬美元的損失,據bZx聯合創始人KyleKistner最初提到稱:“這似乎是一次預言機操縱攻擊。”
在攻擊被發現后,bZx團隊立即使用管理密鑰暫停了協議,據悉這次攻擊交易利用了閃電貸和Synthetix,“但它不會影響Synthetix系統,盡管它確實涉及了sUSD,”bZx在twitter上寫道。
而在bZx官方公布的安全報告中提到:
“由于一次代幣重復事件,協議保險基金暫時累積了一筆債務。除了協議現金流外,保險基金還會得到代幣庫的支持。”以下是這次安全事故的時間線:
幣贏CoinW將于12月01日16:00在DeFi專區上線CTK:據官方消息,幣贏CoinW將于12月01日16:00在DeFi專區上線CTK/USDT交易對。
據悉,CertiK Chain是一個使用Cosmos SDK構建的委托權益證明(DPoS)區塊鏈基礎設施。項目旨在為其他區塊鏈底層和去中心化應用程序提供代碼安全保障。
CTK代幣是該平臺的原生功能型代幣。詳情點擊原文鏈接。[2020/12/1 22:43:44]
bZx團隊注意到協議鎖定值出現了異常變動;
發現iToken合約有異常,該異常的發生與_internalTransferFrom()函數相關;
數據:DeFi板塊持續拉升,MXC抹茶杠桿ETF多個DeFi概念3L交易對翻倍:近期DeFi項目持續拉升,受此影響,MXC抹茶杠桿ETF多個交易對翻倍,其中BZRX3L暴漲86%,當前價格為4.272 USDT,相較11月5日最低點,上漲20倍。此外,SUSHI3L暴漲47.77%,當前價格2.328USDT,相較11月5日最低點上漲13倍。此外,OKB3L暴漲20.12%,報價0.185USDT,當前價格較11月16日最低點上漲1.78倍。
MXC抹茶杠桿ETF是錨定現貨漲跌幅的永續杠桿產品,采用再平衡風控,無需保證金,無爆倉規則,倉位利用率更高,可在 “ETF專區”查看。[2020/11/20 21:29:01]
在確定修復方案后,iToken的鑄造和燃燒被暫停;
報告:DeFi收益在第二季度下降42%:Mythos Capital創始人Ryan Sean Adams發布的一份報告顯示,DeFi第二季度的收益下降了42%,從第一季度的550萬美元下降到第二季度的390萬美元。這一發現有點令人驚訝,因為大多數與DeFi相關的代幣最近都火了。一個重要因素是MakerDAO將基本費率降低到0%,在危機期間,Dai的價格高達1.08美元,因此DSR也被下調,以鼓勵借貸者制造更多的Dai并在市場上出售。此外,Synthetix是該行業收入下滑的另一個原因,原因是第一季度財報收益過盈。(Cointelegraph)[2020/7/16]
受影響的iToken合約的新版本得到部署,余額得到更正;
團隊將補丁代碼發送給派盾和Certik進行審查;
iToken的鑄造及燃燒恢復;
攻擊技術細節
每個ERC20代幣都有一個transferFrom()函數是用于負責傳輸代幣的。可以調用這個函數來創建一個iToken并將其傳遞給自己,從而允許你人為地增加余額。
下面是攻擊涉及的技術細節:
使用相同的_from和_to地址調用了傳輸函數;
用相同的參數調用Immediately_internalTransferFrom;
下面的代碼行存在故障:
當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。
那么
上面的問題導致_balancesFrom余額的減少,并增加_balancesTo的余額,最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻擊者就能夠有效地人工增加自己的余額。
然后,下面就是補丁代碼:
這可以防止攻擊者增加自己的余額,據悉,修補后的代碼已被發送給Peckshield和Certik進行審查,而雙方都批準了這些更改。
安全事故造成近800萬美元債務
盡管,問題很快得到了解決,但這次安全事故確實造成了協議很大的損失,根據官方公布的信息顯示,這次事件導致了以下這些債務:
219,199.66LINK
4,502.70ETH
1,756,351.27USDT
1,412,048.48USDC
667,988.62DAI
以當前市場價計算,這些損失的代幣的價值達到了800萬美元。
審計并不是靈丹妙藥
根據Bzx團隊公開的信息顯示,該協議此前已經過安全公司Peckshield及Certik的嚴格審計,其中Peckshield對bzx協議的審計用到了12人周的工作量,而Certik則花費了7人周的工作量。此外,bzx協議團隊還進行了廣泛的自動化測試,不幸的是,審計并不是靈丹妙藥。
而在這次安全事件中,由于bzx協議團隊控制了管理密鑰,因而能夠及時地應對這一事件,否則損失問題將會更大。
顯然,這次事故再次為我們敲響了DeFi安全性的警鐘,即便是得到審計公司的把關,也無法確保代碼不存在漏洞,而近期涌現出來的大量新DeFi項目,它們的安全隱患顯然要更大。
最后,一首涼涼,送給流動性挖礦。
寄語: 成功的交易者對風險進行量化和分析,真正的理解并接受風險。從情緒上和心理上接受風險決定你在每次交易中的心態。個體的風險容忍度和交易時間的偏好,也使得每個交易者各有不同之處.
1900/1/1 0:00:00尊敬的用戶: 幣虎合約將于2020年9月11日18:00上線BZRXUSDT永續合約,并開通逐倉/全倉1-50倍杠桿,邀您體驗!截止目前.
1900/1/1 0:00:009月15日PKEx鎖倉理財LINK于20:00開搶 鎖倉天數30天 總量10000LINK LINK是基于以太坊區塊鏈的ERC20標準化代幣,用于支付Chainlink節點運營商.
1900/1/1 0:00:00自9月初以來,市場的大部分注意力都集中在比特幣、以太坊和一些主流競爭幣的價格上,截至發稿時,加密市場仍然面臨著巨大的向下壓力.
1900/1/1 0:00:00頭條 ▌SushiSwap創始人ChefNomi返還3.8萬枚ETH在遭到公眾強烈抗議后,SushiSwap化名創始人ChefNomi周五表示,已向該項目返還了約38000枚以太坊.
1900/1/1 0:00:00尊敬的用戶: 為滿足廣大用戶對ELF多方面的交易需求,提升交易體驗,CoinBene滿幣將于2020年9月11日16:30?(GMT8)上線ELF/USDT交易對.
1900/1/1 0:00:00