昨日,DeFi借貸協議bZx年內第三次遭到攻擊,由于代碼重復事故導致共計損失價值超800萬的資產,這距離BZx新版本部署僅不到兩周。受此影響,bZx代幣BZRX過去?24小時跌近30%,從0.6679USDT一度跌至0.4USDT,發文時暫報0.44USDT。
BZRX30分鐘K線圖,來源:幣安
與此同時,bZx?鎖倉量較昨日暴跌99.71%,幾乎歸零,目前僅為176美元。
北京時間9月14日下午3點半左右,bZx發現其協議總鎖定價值出現顯著下降。大約3小時后bZx確認多個iToken發生了重復事故,即iToken合約中的_internalTransferFrom()函數出現異常行為,攻擊者利用了相同的_from和_to地址調用了傳輸函數。確認問題后bZx隨即暫停了放貸操作。
DeFi借貸平臺bZx即將上線Polygon網絡:去中心化借貸平臺 bZx 官方推特發推表示,bZx 即將上線 Polygon 網絡,最初將支持 AAVE、LINK、WMATIC、USDT、USDC、WBTC、WETH、BZRX。詳細信息將于后續發布。[2021/6/3 23:08:35]
bZx表示,目前該函數異常行為已被修復,協議也已恢復正常運行。借款和交易未受到影響,用戶不會受到資金風險。bZx也已部署了新版本的iToken合約,并針對重復事故重設了余額。修復后的代碼已發送給區塊鏈安全公司Peckshield和Certik進行審查。目前iToken的鑄造和銷毀已恢復。
bZx披露的信息顯示,此次重復事故發生后已將以下債務添加至其保險基金中,包括近22萬LINK、4502ETH、175.64萬USDT、141.20萬USDC、以及66.80萬DAI,按當前價格計算,總價值逾800萬美元,具體如下:
年初攻擊bZx的錢包剛剛進行了一筆掉期交易:據官方推特,此前于今年2月份攻擊DeFi貸款協議bZx的錢包剛剛進行了一筆掉期交易,bZx官方呼吁錢包所有者與團隊聯系,稱任何能幫助資金返還的信息都會得到回報。[2020/8/3]
219,199.66LINK
4,502.70ETH
1,756,351.27USDT
1,412,048.48USDC
667,988.62DAI
去中心化借貸協議Compound創始人RobertLeshner表示,這意味著bZx損失了價值800多萬的資產,并建議bZx重新審計合約,而不是僅向用戶表示「nobigdeal」。
針對bZx協議被攻擊一事,Bitcoin.com首席工程師MarcThelan表示,昨晚其在bZx中發現了該漏洞,有價值超過2000萬美元的資產處于危險之中。MarcThelan稱其將該漏洞告知了bZx團隊,但該團隊反應過于緩慢。等到bZx團隊獲悉該漏洞時,攻擊者幾乎已經耗盡了Dai和USDC資產。如果攻擊者有更多時間,可能會耗盡整個池子。bZx的一位創始人在電報群中表示,團隊安全小組建議給MarcThelan1.25萬美元的賞金。
DeFi貸款協議bZx公布BZRX地址,代幣將于7月13日開始釋放:7月12日消息,DeFi貸款協議bZx在推特表示,其代幣BZRX地址已經確定為0x56d811088235F11C8920698a204A5010a788f4b3,目前正在等待更新代幣logo。
此前報道,bZx團隊決定將分配給眾籌所用的代幣置于一個為期4年的鎖定合約,最短生效期(cliff)為6個月,BZRX代幣釋放的時間為美東時間7月13日10時,即北京時間7月13日22時開始計算。不過,目前團隊并沒有公布更多信息,包括可購買該代幣的交易平臺以及代幣價格等。[2020/7/12]
1inch聯合創始人AntonBukon此前也發現了該漏洞,其表示,「我們發現有人在兩天前就利用該漏洞將自己的余額增加到1.536億枚iUSDT,并開始從USDT池中轉走,直到bZx協議管理員銷毀了1.519億枚iUSDT,這表明似乎有170萬USDT被盜。」
因利率上升,bZx中鎖定的ETH在兩天內增加41.7%:金色財經報道,根據數據網站DeFi Pulse的數據,鎖定在bZx中的ETH總數在周四增加到24711,周三從17739增長到21514,增長了20%以上。 存款在兩天增加41.7%可能是由于利率上升所致。根據Codefi數據,截至3月3日,用戶通過bZx支持的Fulcrum平臺上借ETH可獲得41.9%的年利率。同時,其他平臺(如Aave和Compound)的收益率僅為0.06%和0.01%。目前該平臺的年利率已從周三的41.9%降至24.5%,但仍比Aave和Compound高出至少24個百分點。因此,鎖定在bZx上的ETH數量可能會繼續增加。[2020/3/6]
關于bZx協議管理員銷毀iUSDT一事,以太坊開發人員RomanSemenov解釋稱,bZx協議管理員使用了一個允許其銷毀任何用戶資金的后門,然后將代幣的實現狀態更新為未經驗證。在銷毀一些涉及攻擊的用戶資金后,他們再次將其更新為漏洞修復后的正常實現。
動態 | 受bZx事件影響,Fulcrum保險池或無法立即彌補損失:金色財經報道,最近的兩起針對DeFi貸款協議bZx的攻擊可能會對貸款和保證金交易平臺Fulcrum構成生存威脅。隨著攻擊消息的傳播,DAI和ETH池的利用率飆升至100%,阻止了任何進一步的取款。由于Fulcrum保險池無法立即彌補損失,用戶被建議盡快撤出資金。據此前消息,DeFi貸款協議bZx曾被非法利用,導致一部分ETH丟失,預計損失達35萬美元。而后再次遭遇攻擊,攻擊者或獲利64萬美元。在攻擊發生后的數小時內,DeFi生態中鎖定資產價值下跌了近1.42億美元。[2020/2/28]
bZx進一步解釋稱,該協議此前已經過區塊鏈安全公司Peckshield及Certik的安全審計,并進行了大量的自動化測試,但通過審計并不能確保協議100%安全。Peckshield及Certik正在分析此次事件的根本原因。
DeFi項目頻繁遭受攻擊,刺激去中心化保險需求
事實上,這并不是bZx協議首次受到攻擊。今年2月中旬,bZx協議曾兩次受到攻擊,共計損失價值逾90多萬的資產。當月中旬,bZx聯合創始人KyleKistner表示,「部分ETH已損失,此次事件是因為一個合約被利用導致的,其他資金是安全的。」業內人士估測,此次損失金額約為35萬美元。
3天后,bZx再次受到攻擊。bZx表示又發現了一次使用閃電貸進行的可疑交易,攻擊者后續使用了Synthetix交易,不過沒有影響到Synthetix系統。
除bZx之外,近期隨著DeFi熱度的大幅提升,安全問題成為了DeFi行業的最大挑戰。據PeckShield數據顯示,八月共發生安全事件28起,其中DeFi市場就發生了8起。
正因如此,去中心化保險的市場需求應運而生。NexusMutualTracker數據顯示,截至目前,去中心化保險NexusMutual的有效保額突破了2億美元,較之兩個月前,該數值已經增長逾20倍。
而在過去短短的24小時左右時間里,該數據就大漲130%,今日bZx的安全事故顯然成為了去中心化保險「大躍進式」增長的重要催化劑。
去中心化保險NexusMutual的有效保額,來源:NexusMutualTracker
可以想象,隨著DeFi市場的持續發展,去中心化保險、預言機等細分市場有望繼續保持增長勢頭。
bZx協議代碼安全漏洞的技術細節與進展更新
根據bZx發布的漏洞?報告,此次事件發生后的團隊所采取的進展以及技術細節如下:
團隊注意到協議總鎖定價值出現了異常變動;
在iToken上識別出與_internalTransferFrom()函數相關的異常行為;
團隊在確定修復方案后暫停了iToken的鑄造和銷毀,不過,借款和交易并未受到影響;
部署了新版本的iToken合約,并重設了余額;
修復后的代碼已發送給Peckshield和Certik進行審查;
恢復iToken的鑄造和銷毀。
在以太坊ERC20代幣中,TransferFrom()函數是將一定數量的代幣從一個地址轉移至另一個地址的執行操作,即從地址_from發送_value個token到地址_to。
此次iToken重復事故正是攻擊者利用了相同的_from和_to地址調用了傳輸函數。
有誤的代碼
當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。
有誤的代碼
上述問題導致再減少_balancesFrom余額的情況下增加了_balancesTo的余額,并且還保存了_balancesFromNew和_balancesToNew,這會導致用戶能夠人為地增加自己的余額。
修復后的代碼在balances余額減少后,會進行balancesTo余額的轉移,從而防止用戶人為增加自己的余額。
修復后的代碼
撰文:張改娟
鏈聞消息,基于波卡平行鏈構建的分布云項目CrustNetwork宣布完成A輪融資,投資者主要包括NGCVentures、AU21Capital、BitscaleCapital、ChainCapt.
1900/1/1 0:00:00尊敬的ZT用戶:ZT創新板即將上線OM,并開啟OM/USDT交易對。具體上線時間請如下:充值:2020年9月16日10:00;交易:2020年9月16日14:00;提幣:2020年9月16日15.
1900/1/1 0:00:00幣海引路人:BTC再次站上分割線謹防瀑布到來的歷史重演泥濘路上的奔馳,永遠跑不過高速路上的夏利,腳下的路很重要。男人再優秀,沒有女人也生不下孩子,說明合作很重要.
1900/1/1 0:00:00親愛的用戶: BigONE已發放「TRXDeFi機槍池」、「GXC流動性挖礦」、「ETHDeFi宇宙最強機槍池」、「USDTDeFi宇宙最強機槍池」、「BTCCurve流動性挖礦」和「ONE和諧.
1900/1/1 0:00:00歐盟的執行機構歐盟委員會已制定法規,以嚴密監視其認為“重要”的加密貨幣,包括諸如Facebook的天秤座等資產支持的穩定幣.
1900/1/1 0:00:00尊敬的LBank用戶: LBank現公示從9月14日15:00至9月15日15:00交易量排名前三的中獎名單,具體情況如下:*為保證活動公平,LBank嚴禁刷單、對敲等作弊行為.
1900/1/1 0:00:00