OIN:BXH被“黑”回忆始末_BASE

BXH被黑三天，原本无比气愤加上慌乱，脑海里面有太多的思路想法。现如今，冷静下来，好好思考，写点东西，希望各位同是受害者的朋友提供一些信息和思路，共同面对，惩治作恶者，尽快还大家一个太平。

时间：2021/10/30早上8:38AM

我起床后本能的打开BXHDAPP，尝试提取已存的WBNB单币，可以解除质押但无法提币，提币的时候显示的GAS为0。我第一直觉是否BSC网络问题，尝试更换网络节点，无果。继续提币，尝试手动提高GAS费率100倍，提示提币失败。经验告诉我，这不是网络问题，多半是该池资产不足引起，常见于借贷平台可提数量不够的情况，但BXH不是借贷是机池。于是我第一时间去官方电报群反应情况，得到的回复如下：

根据后面的派盾公告，这个时间“黑客“”并未开始攻击，黑客首次攻击的时间是10/30号的早上11点左右，但偏偏提前2个多小时官方就开始发生无法提币。

BXH将于9月27日开始首批5% VToken回购:9月26日消息，BXH中文社区发布关于BXH VToken首次回购方案的公告。对于近期发生的安全事故，团队将会全力筹集资金开展资产回购，直至补齐所有用户资产损失。首批5% VToken回购将在9月27日开始。为保证回购金额准确与回购能在27日按时开始，BXH将采取双重验证的方式对资产进行确认。

用户需通过邮件提交参与质押的钱包地址与对应公链、目前持有的VToken种类与数量等信息。BXH会将其填写的信息与后台信息进行校验。[2022/9/26 7:21:08]

随之而来的就是官方群里开始有越来越多的用户上来反应，一开始没有人觉得是黑客攻击，资产被盗。显然，官方也没觉得是，这里我就不判断是真不知道还是剧本。

DeFi平台BXH笨小孩优先重启OEC服务:官方消息，DeFi平台BXH笨小孩在10.30被盗事件后经过多方测试，确认BXH平台在OEC链上的安全隐患已完全排除，同时已完成了私钥验证的多签升级。

BXH平台正式宣布：在能进一步确保用户资产安全的前提下，决定将于今晚，即2021年11月8日20：00（UTC＋8）率先重启OEC链服务。[2021/11/8 6:39:00]

一开始传被盗4000个ETH，后面真相是整个BXHBSC链上的单笔池剩下的除去MDX几乎全部转走，这些币可以认为是提币保证金。

后面有技术的受害者在官方群里发了大体的被黑原因，私钥被盗！这个听起来天方夜谭，可币就是利用了管理员私钥权限，授权给另外一个账号管理员，由这个账号通过升级合约代码的形式，直接把原来的提款方法WITHDRAW更换成新的WITHDRAW1，一键全部提走单币池的币。

BXH笨小孩BSC链上流动性质押突破4亿美元:官方数据显示，目前BXH于BSC链上流动性质押突破4亿美元。7月30日20:00，一站式DeFi交易平台BXH正式上线币安智能链BSC。[2021/7/31 1:26:50]

简单说就是有人拿了BXH管理员私钥，给另外一个地址设置成管理员，然后另外这个地址把钱都提走了，然后原来管理员把体现暂停。注意，这里面细节很有意思，黑客的操作也很有逻辑，是让大家感觉是监守自盗还是外面人干的？我个人的理解，如果是私钥被盗，完全可以利用原来的管理员直接提币，先授权新地址再升级合约提币，再用原管理员暂停提现，这是什么神操作。

后面官方公布了被盗的公告，随之听说也开始介入，安全公司派盾也开始介入。官方的电报群开始炸锅，各种信息和传闻铺天盖地，有受害者也在微信和电报建立维权群。后面的信息就太多了，这里就不一一列举了。我就把一些有参考意义的东西列出来，不做点评，大家自行判断：

Bird.Finance登录BXH去中心化交易平台:据官方消息，去中心化交易平台笨小孩bxh与Bird.Finance达成战略性合作， Bird.Finance将于香港时间7月16日20:00登录BXH矿池，开启BIRD/USDT流动性挖矿。

Bird.Finance是一种极致通缩的跨链收益聚合协议，开发多样化复利挖矿策略，实现资产增值。

BXH是建立在火币生态链上，以聚合收益为主，DEX去中心化交易平台为辅的一站式DeFi生态平台，具有超低手续费与低滑点交易的特点。[2021/7/15 0:54:05]

1、?出事后，官方公布了BSC链上的平台残值：

2、?据说BXH的失控人王斌目前人在迪拜，其他团队在国内，平时都是通过远程控制的方式运作。电报不少人加过王斌，通过电报注册的手机号码也验证了这点。

BXH孵化投资人王小彬：从长远角度出发 BXH为用户创造更大的价值:由Gate.io主办的直播专访节目《酒局币赴》邀请到BXH孵化投资人王小彬直播分享近期最新发展。直播期间王小彬与Gate.io立春就BXH的相关发展事项进行了探讨与交流。

王小彬表示，真正要干成大事，采用的都是笨办法。币圈里有很多可以通过小聪明赚快钱的方法，但是都很难成就大事业，很多人在利益面前就会失去自己的愿景和目标，关注的只是短期的自我利益，而有可能会放弃去推动行业的发展以及开拓自身项目的前景。

但BXH愿意做一个笨小孩，放弃掉眼前的利益，为我们的用户去创造更大的价值，为行业去做出典范，同时能成就自己更远期的未来。由于这个出发点，BXH作为一个HECO上的DEX去中心化交易平台，设计了一个非常长效的经济模型，从而促进更长远的平台价值稳定，也同时能够为HECO生态添砖加瓦。[2021/4/19 20:37:08]

3、?被盗后，“黑客”第一时间就开始洗币，一开始的BTCB和ETH，均通过RenBTC等跨链桥洗至BTC网络和ETH网络，截止目前为止，被盗资产里面BTC和ETH均已被洗完，BSC钱包里只剩下稳定币和BNB,CAKE等。“黑客”转移资产也是非常有节奏和冷静，可以初步判断，该“黑客“是专业人士，从27日就开始准备，最早的钱包GAS费是从ETH网络匿名而来。29号晚上10点左右开始动手，30号凌晨到早上11点左右完成。资产的转移是从30号早上11点到下午3点左右转移完毕。据官方声称，被盗后已第一时间知会BSC及相关跨链桥，但RENBRIDGE没有黑名单功能，“黑客”仍然顺利洗出资产。

4、?30号被盗当天，“黑客”通过原管理员权限暂停了提币功能，30号下午官方发了被盗公告随机也暂停了提币。既然“黑客“已暂停提币，后续官方又二次暂停提币，后续官方据称已更换OWNER地址及私钥，并声称私钥由新的可控的人士保管。

5、?30号当天官方就发布公告，有介入及安全公司派盾协助调查，但有受害者求证，派盾回复，只是远程协助，并未到国内团队现场。另官方也未透露任何信息，直到11/2日傍晚6点多，官方发布公告，湖南衡阳介入调查，出示了询证函。后有知情人士透露，该地及派盾均为受害者找的，并非官方联系。

6、?因为BXH的BSC链资产被盗，导致连锁反应，国内几大机池分分躺。最大受害者COINWIND,初步统计受影响资金1-1.5亿美金之间，被盗资金6000-8000万。主要原始是COINWIND把大部分的BTC和ETH等资产直接投进了BXH套娃。

本来手上的信息很多很凌乱，需要时间来整理，有很多可以写和提供的，但介于时间问题，后续我再陆续更新。

最后，提供一些技术需要的信息，希望有技术大牛，白帽子能提供帮助：

现将BXH.COM相关币种合约地址公布如下:

BTC:0x2483e0e9b6d2a3b30d375ac43f6798560e235ea0

ETH:0x30032ac497ab92bf4ced1d607b77087afdfae953

USDT:0x0d6302be68ee9d2406aa7e201565916d70e5ca85

USDC:0x66b8b7d0355ad652a6bdf2d28426cac8658839c3

BUSD:0xd82d716a2c06357c6f62ada159ef287ba65b75f3

WBNB:0x48ad49fb3a9188583241c153d4629706db735877

黑客地址：?0x48C94305BDDfd80c6F4076963866D968Cac27d79

黑客通过这个合约来盗取资金：0x13b81fa9c0873a74c49a85bd8149c1c20bf9d18c

BXH的策略地址：0x6aceca12de5a15f11ca51b654433259533b0b802

BXH的owner地址：0x56146B129017940D06D8e235c02285A3d05D6B7C

?有趣的是，这几天，老马的推特发了个曹植的古诗，首富尚有如此格局，希望国人“相煎何太急“啊！

最最后，因为某些特殊原因我不方便暴露太多，皆因幕后黑手还在暗中观察事态进展，有什么有用线索的朋友可以在电报的各个群里面喊一声，会有受害者朋友找到我，希望“黑客“见此也可以联系我，我也愿意充当中间人，盗亦有道，希望可以还用户一个安宁。

-?一个BXH的受害者

-?2021/11/3

标签：COIOINCOINBASEKEEPs Coincoinbase下载The Collective Coincoinbase是正规平台吗

TRX热门资讯