北京時間9月14日消息,DeFi借貸協議bZx再次遭到攻擊,而這次攻擊共造成了大約800萬美元的損失,據bZx聯合創始人KyleKistner最初提到稱:“這似乎是一次預言機操縱攻擊。”
在攻擊被發現后,bZx團隊立即使用管理密鑰暫停了協議,據悉這次攻擊交易利用了閃電貸和Synthetix,“但它不會影響Synthetix系統,盡管它確實涉及了sUSD,”bZx在twitter上寫道。
而在bZx官方公布的安全報告中提到:
“由于一次代幣重復事件,協議保險基金暫時累積了一筆債務。除了協議現金流外,保險基金還會得到代幣庫的支持。”
數據:DeFi協議2月因黑客攻擊損失超2100萬美元:金色財經報道,據DefiLlama數據顯示,DeFi協議2月因黑客攻擊損失超2100萬美元,當月最大攻擊事件為 Platypus Finance的閃貸重入攻擊,導致850萬美元的資金損失。[2023/3/6 12:44:41]
以下是這次安全事故的時間線:
bZx團隊注意到協議鎖定值出現了異常變動;
發現iToken合約有異常,該異常的發生與_internalTransferFrom()函數相關;
在確定修復方案后,iToken的鑄造和燃燒被暫停;
DeFi 概念板塊今日平均跌幅為0.92%:金色財經行情顯示,DeFi 概念板塊今日平均跌幅為0.92%。47個幣種中14個上漲,33個下跌,其中領漲幣種為:PEARL(+10.16%)、CRV(+8.08%)、NEST(+5.27%)。領跌幣種為:AMPL(-16.69%)、IDEX(-6.86%)、YFII(-4.67%)。[2021/10/5 17:24:40]
受影響的iToken合約的新版本得到部署,余額得到更正;
團隊將補丁代碼發送給派盾和Certik進行審查;
iToken的鑄造及燃燒恢復;
攻擊技術細節
礦工Wang Chun:DeFi用戶每天都在支付巨額費用:礦工Wang Chun(F2Pool)今日在推特表示,DeFi用戶每天都在支付巨額費用,而且他們要給礦工,挖礦對他們來說一直是一個神話。反之亦然。這是ETH社區的眼淚。[2021/5/29 22:55:07]
每個ERC20代幣都有一個transferFrom()函數是用于負責傳輸代幣的。可以調用這個函數來創建一個iToken并將其傳遞給自己,從而允許你人為地增加余額。
下面是攻擊涉及的技術細節:
使用相同的_from和_to地址調用了傳輸函數;
用相同的參數調用Immediately_internalTransferFrom;
AAVE市值突破61億美元,位居CoinGecko DeFi版塊第2位:CoinGecko數據顯示,AAVE現報496.76美元,24小時上漲10.2%,市值突破61億美元,目前位居DeFi版塊第二位,超過Uniswap(57.38億美元),僅次于LINK(100.61億美元)。[2021/2/8 19:13:16]
下面的代碼行存在故障:
當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。
那么
上面的問題導致_balancesFrom余額的減少,并增加_balancesTo的余額,最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻擊者就能夠有效地人工增加自己的余額。
然后,下面就是補丁代碼:
這可以防止攻擊者增加自己的余額,據悉,修補后的代碼已被發送給Peckshield和Certik進行審查,而雙方都批準了這些更改。
安全事故造成近800萬美元債務
盡管,問題很快得到了解決,但這次安全事故確實造成了協議很大的損失,根據官方公布的信息顯示,這次事件導致了以下這些債務:
219,199.66LINK
4,502.70ETH
1,756,351.27USDT
1,412,048.48USDC
667,988.62DAI
以當前市場價計算,這些損失的代幣的價值達到了800萬美元。
審計并不是靈丹妙藥
根據Bzx團隊公開的信息顯示,該協議此前已經過安全公司Peckshield及Certik的嚴格審計,其中Peckshield對bzx協議的審計用到了12人周的工作量,而Certik則花費了7人周的工作量。此外,bzx協議團隊還進行了廣泛的自動化測試,不幸的是,審計并不是靈丹妙藥。
而在這次安全事件中,由于bzx協議團隊控制了管理密鑰,因而能夠及時地應對這一事件,否則損失問題將會更大。
顯然,這次事故再次為我們敲響了DeFi安全性的警鐘,即便是得到審計公司的把關,也無法確保代碼不存在漏洞,而近期涌現出來的大量新DeFi項目,它們的安全隱患顯然要更大。
最后,一首涼涼,送給流動性挖礦。
?
撰文:錢柏均,就職于HashKeyCapitalResearch審校:鄒傳偉,萬向區塊鏈、PlatON首席經濟學家本文從?Uniswap?近期的發展來研究?去中心化交易所?(DEX)的成長性.
1900/1/1 0:00:00本文來源:火鳥財經,作者:阿呆9月6日,《2020中國區塊鏈城市創新發展指數》報告在2020年中國國際服務貿易交易會的“全球金融科技峰會區塊鏈專場”發布.
1900/1/1 0:00:00本文來源:BTXCapital撰文:VanessaCaoDeFi正迅速成為金融科技領域的產品分銷管道。實際上,DeFi行業本身就可以歸結為是金融產品分銷的管道.
1900/1/1 0:00:00波卡無疑是近期投資者最為關注的明星項目,代幣在1:100拆分后實現連續上漲,最高峰市值已經達到加密市場Top5,直逼它最大競爭對手以太坊.
1900/1/1 0:00:00隨著AMM資金池模式興起,提供流動性成為了DeFi的一大新玩法。而當Compound推出流動性挖礦模式來分發其治理代幣COMP時,也許很多人都沒有預料到,強大的造富效應催生了一輪DeFi熱潮.
1900/1/1 0:00:00概述 一種新的代幣在開始交易幾小時后鎖定了近5億美元的價值。 泡菜是壽司的分叉。 該項目宣稱,它“可能成為下一個熱門的DeFi挖礦代幣”.
1900/1/1 0:00:00