BTC/HKD-0.52%
ETH/HKD+0.37%
LTC/HKD-0.05%
DOT/HKD-1.35%
ADA/HKD-0.4%
SOL/HKD-0.65%
XRP/HKD-0.56%
DOGE/US-0.61%北京時間9月14日消息,DeFi借貸協議bZx再次遭到攻擊,而這次攻擊共造成了大約800萬美元的損失,據bZx聯合創始人KyleKistner最初提到稱:“這似乎是一次預言機操縱攻擊。”
在攻擊被發現后,bZx團隊立即使用管理密鑰暫停了協議,據悉這次攻擊交易利用了閃電貸和Synthetix,“但它不會影響Synthetix系統,盡管它確實涉及了sUSD,”bZx在twitter上寫道。
而在bZx官方公布的安全報告中提到:
“由于一次代幣重復事件,協議保險基金暫時累積了一筆債務。除了協議現金流外,保險基金還會得到代幣庫的支持。”以下是這次安全事故的時間線:
數據:DeFi協議總鎖倉量1520億美元:數據統計,目前DeFi協議總鎖倉量1520億美元,凈鎖倉量1154.29億美元。鎖倉資產排名前五分別為Maker(169.86億美元) 、Curve(158.29億美元)、Compound(122.88億美元)、PancakeSwap(111.06億美元)、Uniswap V2(106.72億美元)。[2021/11/28 12:37:11]
bZx團隊注意到協議鎖定值出現了異常變動;
發現iToken合約有異常,該異常的發生與_internalTransferFrom()函數相關;
DeFi項目Pickle Finance pDAI池被盜資金發生異動1500萬 DAI被轉移:2020-11-22攻擊 pickle pDAI池的黑客地址(0x701781...7a4E08)在沉寂47天后出現異動,黑客地址向5個新地址轉出共計1500w DAI,之后使用Uniswap、1inch將DAI兌換為Ether和CORN等代幣,并且,黑客在轉移資金過程中使用了混幣平臺Tornado.cash。[2021/1/8 16:43:31]
在確定修復方案后,iToken的鑄造和燃燒被暫停;
受影響的iToken合約的新版本得到部署,余額得到更正;
中幣(ZB)DeFi挖礦播報:DeFi挖礦總鎖倉量約4049萬美元:根據中幣(ZB)平臺數據,今日DeFi挖礦總鎖倉量約為4049萬美元,其中存QC挖礦和存USDT挖礦的鎖倉量小幅下降;存ZB挖礦和存QFIL挖礦的鎖倉量小幅上漲; 存ETH挖礦的鎖倉量不變。[2020/10/30 11:14:59]
團隊將補丁代碼發送給派盾和Certik進行審查;
iToken的鑄造及燃燒恢復;
攻擊技術細節
每個ERC20代幣都有一個transferFrom()函數是用于負責傳輸代幣的。可以調用這個函數來創建一個iToken并將其傳遞給自己,從而允許你人為地增加余額。
下面是攻擊涉及的技術細節:
使用相同的_from和_to地址調用了傳輸函數;
用相同的參數調用Immediately_internalTransferFrom;
下面的代碼行存在故障:
當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。
那么
上面的問題導致_balancesFrom余額的減少,并增加_balancesTo的余額,最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻擊者就能夠有效地人工增加自己的余額。
然后,下面就是補丁代碼:
這可以防止攻擊者增加自己的余額,據悉,修補后的代碼已被發送給Peckshield和Certik進行審查,而雙方都批準了這些更改。
安全事故造成近800萬美元債務
盡管,問題很快得到了解決,但這次安全事故確實造成了協議很大的損失,根據官方公布的信息顯示,這次事件導致了以下這些債務:
219,199.66LINK
4,502.70ETH
1,756,351.27USDT
1,412,048.48USDC
667,988.62DAI
以當前市場價計算,這些損失的代幣的價值達到了800萬美元。
審計并不是靈丹妙藥
根據Bzx團隊公開的信息顯示,該協議此前已經過安全公司Peckshield及Certik的嚴格審計,其中Peckshield對bzx協議的審計用到了12人周的工作量,而Certik則花費了7人周的工作量。此外,bzx協議團隊還進行了廣泛的自動化測試,不幸的是,審計并不是靈丹妙藥。
而在這次安全事件中,由于bzx協議團隊控制了管理密鑰,因而能夠及時地應對這一事件,否則損失問題將會更大。
顯然,這次事故再次為我們敲響了DeFi安全性的警鐘,即便是得到審計公司的把關,也無法確保代碼不存在漏洞,而近期涌現出來的大量新DeFi項目,它們的安全隱患顯然要更大。
最后,一首涼涼,送給流動性挖礦。
Tags:BZXDEFDEFIEFIbZx Vesting TokenDOGDEFIRamp DeFiPhoenix Defi Finance
Wing的首個借貸池運行機制與Compound類似,改良之處在于引入保險和信用要素,降低了抵押率.
1900/1/1 0:00:00前兩天比特兒交易所被維權,以及被警察調查的照片在網上流傳,比特兒是業內一家比較老牌的交易所。這家交易所陷入這場風波的起因是交易所上線了一個被稱為是泡菜的DeFi類代幣.
1900/1/1 0:00:00鏈聞消息,自動化數字貨幣及法幣兌換網關XanPool完成由OKGroup領投的430萬美元的A輪融資,HashKeyCapital及GumiCryptos參投.
1900/1/1 0:00:00據decrypt消息,Jelurida聯合創始人LiorYaffe表示他發現了以太坊2.0測試網中一個弱點,以太坊2.0要求最低參與率66%,當參與率低時如果一個控制多個賬戶的巨鯨突然撤出.
1900/1/1 0:00:002020年9月10日,蘆溪縣局微信公眾號接到群眾舉報稱:近期蘆溪縣有人在宣傳一個叫火幣數字貨幣,投資三萬元,每周能拿到幾百元收入,一個月能賺3500元,發展下線10人之后每月能拿到2萬元.
1900/1/1 0:00:00DeFi衍生品平臺Synthetix創始人KainWarwick在推特表示:“我對那些通過建立DeFi協議而賺大錢的人沒有意見.
1900/1/1 0:00:00
買以太坊
