区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 波场 > 正文

ROM:bZx 年内上演安全问题「 帽子戏法」,DeFi 安全「危」与「机」并存_KEN

作者:

时间:

bZx协议再次遭到攻击,共计损失价值逾800万资产。另一方面,去中心化保险NexusMutual的有效保额突破了2亿美元,较昨日翻倍。

撰文:张改娟

昨日,DeFi借贷协议bZx年内第三次遭到攻击,由于代码重复事故导致共计损失价值超800万的资产,这距离BZx新版本部署仅不到两周。受此影响,bZx代币BZRX过去24小时跌近30%,从0.6679USDT一度跌至0.4USDT,发文时暂报0.44USDT。

BZRX30分钟K线图,来源:币安

与此同时,bZx锁仓量较昨日暴跌99.71%,几乎归零,目前仅为176美元。

北京时间9月14日下午3点半左右,bZx发现其协议总锁定价值出现显著下降。大约3小时后bZx确认多个iToken发生了重复事故,即iToken合约中的_internalTransferFrom()函数出现异常行为,攻击者利用了相同的_from和_to地址调用了传输函数。确认问题后bZx随即暂停了放贷操作。

bZx将保证金交易从Kyber转移到SushiSwap,可节约30%-50%的gas成本:去中心化借贷平台bZx近期宣布进行品牌重塑。其中,bZx在Fulcrum的ETH部署下,通过将所有保证金交易从Kyber转移到SushiSwap,进一步降低了gas成本。在一笔典型交易中,从Kyber转向SushiSwap可以节省大约30%-50%的gas成本。这意味着以前需要20美元的交易现在仅需要12美元。[2021/7/25 1:14:42]

bZx表示,目前该函数异常行为已被修复,协议也已恢复正常运行。借款和交易未受到影响,用户不会受到资金风险。bZx也已部署了新版本的iToken合约,并针对重复事故重设了余额。修复后的代码已发送给区块链安全公司Peckshield和Certik进行审查。目前iToken的铸造和销毁已恢复。

Konomi与去中心化借贷协议bZx合作推动DeFi生态发展:2月24日消息,波卡生态货币市场协议 Konomi 宣布与去中心化借贷协议 bZx 达成合作,此次合作将允许所有 bZx 数字资产,包括使用其产品套件构建的项目中的加密货币通过 Konomi 在 DeFi 应用程序中使用,Konomi 用户将能够参与保证金交易。该合作将为双方在未来提供更好的跨链流动性。

Konomi 基于 Substrate 底层技术框架,提供跨链资产管理解决方案,旨在让以太坊上的金融应用无缝衔接到波卡生态。bZx 是以太坊区块链上的一种协议,设计用于集成 0x 协议标准中间件以及链上去中心化交易所。[2021/2/24 17:48:13]

bZx披露的信息显示,此次重复事故发生后已将以下债务添加至其保险基金中,包括近22万LINK、4502ETH、175.64万USDT、141.20万USDC、以及66.80万DAI,按当前价格计算,总价值逾800万美元,具体如下:

动态 | bZx交易所事件爆发以来,DeFi损失超2亿美元:自bZx交易所事件爆发以来,分布式金融领域遭受重创,在此期间DeFi产品损失超过2亿美元。2月15日,以太坊和比特币的DeFi产品总价值达到了历史最高的12.19亿美元,以太坊的价格也创下了288.00美元的年度新高。2月17日,在DeFi上锁定的ETH数量达到307.2万枚,随后在此期间暴跌8%以上,降至280万枚。(Coingape)[2020/2/26]

219,199.66LINK4,502.70ETH1,756,351.27USDT1,412,048.48USDC667,988.62DAI去中心化借贷协议Compound创始人RobertLeshner表示,这意味着bZx损失了价值800多万的资产,并建议bZx重新审计合约,而不是仅向用户表示「nobigdeal」。

动态 | 1inch团队:bZx拒绝停止智能合约并打算隐藏整个事件:加密货币兑换聚合器公司1inch.exchange官方推特今日发布详述其与bZx团队接触过程的文章,文中提到,1月11日,bZx的Fulcrum平台在以太网上发布其FlashFlash贷款功能,我们发现其中有一笔交易可能会窃取3个池中的250万美元用户资金。于是向Fulcrum提供了指向黑客证明交易的链接,希望他们能够立即停止其智能合约。但Fulcrum方拒绝了,他们认为在构建和排队补丁的过程中,有必要冒着用户资金损失的风险,以避免造成负面关注。Fulcrum团队还试图用35000美元使我们沉默并隐藏整个事情。对此,bZx联合创始人Kyle Joseph Kistner在推特上留言称,1inch团队威胁了我们。随后1inch回应称,我们并没有行威胁之事,我们只是说你不应该在截图上公开我们的照片和名字,否则我们有办法阻止。[2020/2/21]

针对bZx协议被攻击一事,Bitcoin.com首席工程师MarcThelan表示,昨晚其在bZx中发现了该漏洞,有价值超过2000万美元的资产处于危险之中。MarcThelan称其将该漏洞告知了bZx团队,但该团队反应过于缓慢。等到bZx团队获悉该漏洞时,攻击者几乎已经耗尽了Dai和USDC资产。如果攻击者有更多时间,可能会耗尽整个池子。bZx的一位创始人在电报群中表示,团队安全小组建议给MarcThelan1.25万美元的赏金。

动态 | 尽管DEX交易量飙升,但BzX漏洞事件凸显行业隐忧:去年,以太坊上的DEX交易额超过23亿美元,而2020年有望轻松超越。根据Dune Analytics的数据,以太坊DEX过去7天的交易额达到1.19亿美元,同比增长71%。与此同时,为了满足不断增长的需求,新的DEX也在不断涌现。尽管如此,DEX行业依然存在隐忧。2月15日发生的DeFi贷款协议BzX漏洞事件引发了激烈的争论,争论的焦点是去中心化的交易协议是否真的是去中心化的,还是一个“紧急开关”的存在会使所有这些声明无效。此前,BzX的一个合约被操纵,损失了约35万美元的ETH,而后该合约被关闭。注:BzX是第七大DeFi协议,锁定了超过1800万美元的资金。(Bitcoin.com)[2020/2/18]

1inch联合创始人AntonBukon此前也发现了该漏洞,其表示,「我们发现有人在两天前就利用该漏洞将自己的余额增加到1.536亿枚iUSDT,并开始从USDT池中转走,直到bZx协议管理员销毁了1.519亿枚iUSDT,这表明似乎有170万USDT被盗。」

关于bZx协议管理员销毁iUSDT一事,以太坊开发人员RomanSemenov解释称,bZx协议管理员使用了一个允许其销毁任何用户资金的后门,然后将代币的实现状态更新为未经验证。在销毁一些涉及攻击的用户资金后,他们再次将其更新为漏洞修复后的正常实现。

bZx进一步解释称,该协议此前已经过区块链安全公司Peckshield及Certik的安全审计,并进行了大量的自动化测试,但通过审计并不能确保协议100%安全。Peckshield及Certik正在分析此次事件的根本原因。

DeFi项目频繁遭受攻击,刺激去中心化保险需求

事实上,这并不是bZx协议首次受到攻击。今年2月中旬,bZx协议曾两次受到攻击,共计损失价值逾90多万的资产。当月中旬,bZx联合创始人KyleKistner表示,「部分ETH已损失,此次事件是因为一个合约被利用导致的,其他资金是安全的。」业内人士估测,此次损失金额约为35万美元。

3天后,bZx再次受到攻击。bZx表示又发现了一次使用闪电贷进行的可疑交易,攻击者后续使用了Synthetix交易,不过没有影响到Synthetix系统。

除bZx之外,近期随着DeFi热度的大幅提升,安全问题成为了DeFi行业的最大挑战。据PeckShield数据显示,八月共发生安全事件28起,其中DeFi市场就发生了8起。

正因如此,去中心化保险的市场需求应运而生。NexusMutualTracker数据显示,截至目前,去中心化保险NexusMutual的有效保额突破了2亿美元,较之两个月前,该数值已经增长逾20倍。

而在过去短短的24小时左右时间里,该数据就大涨130%,今日bZx的安全事故显然成为了去中心化保险「大跃进式」增长的重要催化剂。

去中心化保险NexusMutual的有效保额,来源:NexusMutualTracker

可以想象,随着DeFi市场的持续发展,去中心化保险、预言机等细分市场有望继续保持增长势头。

bZx协议代码安全漏洞的技术细节与进展更新

根据bZx发布的漏洞报告,此次事件发生后的团队所采取的进展以及技术细节如下:

团队注意到协议总锁定价值出现了异常变动;在iToken上识别出与_internalTransferFrom()函数相关的异常行为;团队在确定修复方案后暂停了iToken的铸造和销毁,不过,借款和交易并未受到影响;部署了新版本的iToken合约,并重设了余额;修复后的代码已发送给Peckshield和Certik进行审查;恢复iToken的铸造和销毁。在以太坊ERC20代币中,TransferFrom()函数是将一定数量的代币从一个地址转移至另一个地址的执行操作,即从地址_from发送_value个token到地址_to。

此次iToken重复事故正是攻击者利用了相同的_from和_to地址调用了传输函数。

有误的代码

当_from和_to地址相同时,会导致_balancesFrom和_balancesTo相等。

有误的代码

上述问题导致再减少_balancesFrom余额的情况下增加了_balancesTo的余额,并且还保存了_balancesFromNew和_balancesToNew,这会导致用户能够人为地增加自己的余额。

修复后的代码在balances余额减少后,会进行balancesTo余额的转移,从而防止用户人为增加自己的余额。

修复后的代码

标签:BZXROMKENTOKENbZx ProtocolRomeo DogeIbiza TokenOrbit Token

波场热门资讯
BTC:比特币工程师再次发现INVDoS漏洞,提示节点运营商完成软件升级_HAN

比特币工程师BraydonFuller和JavedKhan在2018年修复了比特币区块链上的名为“INVDoS”的漏洞.

HTT:关于ZT创新板即将上线GOF的公告_GoFitterAI

尊敬的ZT用户:ZT创新板即将上线GOF,并开启GOF/USDT交易对。具体上线时间请如下:充值:已开启;交易:2020年9月14日14:00;提现:已开启; 项目名称:GOF 项目简介:Gol.

比特币:韩币钰:比特币合约如何进行日内波段交易_比特币

比特币合约如何进行日内波段交易?日内波段是指抓取日内大波段的最大趋势,或者成为日内住趋势。在比特币合约市场,如何进行日内波段交易呢?1、日内波段交易整体设计思想合约交易系统设计必须顺应具体交易环.

certik:老李解币:9.15日BTC完美完成多空双杀后续继续看多_FOOTBALL币

各位投资朋友大家中午好,下面给大家分享下今日上午给出的全网公开可查单情况:全网公开单BTC、ETH多单均已到达目标点位止盈出局。BTC多空双杀获利约250点;ETH获利约8点.

TMA:去中心化期权交易协议 Hedget将登陆BitMax交易所_hget币有发展吗

毫不夸张地说,2020年是DeFi元年——截至今天,DeFi协议中存储的总资产已超过46亿美元,而今年年初时仅约7亿美元.

GET:【DeFi系列】-- 锦鲤(YFC)挖矿教程(EOS)_YFC

YFC是什么? YFC的定位,是做一个区块链上的桥水基金公司。像YFII那样,成为一台公共的赚钱机器。如果说,YFII是在行动缓慢的以太坊公链上,架设了一个资金即子弹的“机池”.