BTCV光复资讯 > 数字货币 > DeFi协议bZx再次遭到攻击,损失超过800万美元

DeFi协议bZx再次遭到攻击,损失超过800万美元

来源:btcv-光复资讯  |   作者:btcv-光复资讯  |   时间:2020-09-15 07:26  |   点击量:

北京时间9月14日,DeFi贷款协议bZx再次遭到攻击,此次攻击共造成约800万美元的损失。据bZx联合创始人凯尔基斯特纳称,“这似乎是一次预言性的机器操纵攻击。”

攻击被发现后,bZx团队立即使用管理密钥中止了协议。据报道,攻击交易使用了闪电贷款和合成系统,“但它不会影响合成系统,尽管它确实涉及sUSD,”bZx在推特上写道。

bZx官员在最新的安全报告中提到:

“由于一个象征性的重复,协议保险基金暂时积累了一笔债务。除了约定的现金流,保险基金还将得到代币银行的支持。”

以下是此次安全事故的时间表:

BZx团队注意到协议锁定值异常变化(TVL);

iToken契约中有一个异常,与_internalTransferFrom()函数有关;

修复方案确定后,伊藤忍的铸烧暂停(不影响借贷和交易);

受影响的iToken合同的新版本已部署,余额已更正;

团队将补丁代码发送给Peckshield和Certik审核;

伊藤忠的铸造和燃烧回收:

攻击技术细节

每个ERC20令牌都有一个transferFrom()函数用于传输令牌。你可以调用这个函数创建一个iToken传递给自己,从而允许你人为的增加余额。

以下是此次攻击涉及的技术细节:

用相同的_from和_to地址调用了传递函数;

用相同的参数从立即调用_ internaltransfer

以下代码行有一个错误:

当_from和_to地址相同时,_balancesFrom和_balancesTo相等。

然后

以上问题导致_balancesFrom的余额减少,增加_balancesTo的余额。最后也是最重要的部分是保存_balancesFromNew和_balancesToNew。攻击者可以有效地手动增加自己的平衡。

然后,下面是补丁代码:

这样可以防止攻击者增加自己的平衡性。据报道,修补后的代码已发送给Peckshield和Certik进行审查,双方都批准了这些更改。

安全事故导致近800万美元的债务

虽然bZx代码漏洞很快得到解决,但是这次安全事件确实给协议造成了很大的损失。根据官方消息,这一事件导致了以下债务:

219,199.66链接

4,502.70 ETH

1,756,351.27 USDT

1,412,048.48 USDC

667,988.62 DAI

按照目前的市场价格,这些丢失的代币价值达到800万美元。

审计不是万能的

根据bzx团队透露的信息,该协议已经过安全公司Peckshield和Certik的严格审核,其中Peckshield在审核Bzx协议上花费了12个人工周,Certik花费了7个人工周。此外,bzx协议团队还进行了广泛的自动化测试,但不幸的是,审计不是万能的。

在这次安全事件中,由于bzx协议团队控制着管理密钥,所以能够及时处理这次事件,否则损失问题会更大。

显然,这次事故再次为我们敲响了DeFi安全的警钟。即使经过审计公司检查,也不可能保证代码没有漏洞。但是最近出现了大量新的DeFi项目,其安全风险明显更大。

最后给流动性挖掘一首很酷的歌。

btcv挖矿
DeFi协议bZx再次遭到攻击,损失超过800万美元
网站分类
友情链接
    热门文章
    标签云
    btcv挖矿