北京时间9月14日消息,DeFi借贷协议bZx再次遭到攻击,而这次攻击共造成了大约800万美元的损失,据bZx联合创始人KyleKistner最初提到称:“这似乎是一次预言机操纵攻击。”
在攻击被发现后,bZx团队立即使用管理密钥暂停了协议,据悉这次攻击交易利用了闪电贷和Synthetix,“但它不会影响Synthetix系统,尽管它确实涉及了sUSD,”bZx在twitter上写道。
而在bZx官方公布的安全报告中提到:
“由于一次代币重复事件,协议保险基金暂时累积了一笔债务。除了协议现金流外,保险基金还会得到代币库的支持。”以下是这次安全事故的时间线:
Web3风投机构Coinsilium 2022年部署57.5万美元的加密货币、元宇宙和DeFi投资:2月2日消息,英国上市Web3风投机构Coinsilium Group Ltd于2022年向DeFi、元宇宙、交易、玩赚和时尚领域几家Pre-Seed和种子阶段Web3项目注资57.5万美元,投资项目包括Yellow Network(20万美元)、Silta Finance(7.5万美元)、GGs.io(10万美元)、Metalinq Labs(20万美元)。
Coinsilium还宣布,它已被任命为时尚品牌Blvck Paris的顾问,负责其“Blvck Genesis”NFT系列的发布。(Proactive Investors)[2023/2/2 11:43:37]
bZx团队注意到协议锁定值出现了异常变动;
OKEx CEO Jay Hao:OKEx未来将在OKChain上开发Dex、借贷等DeFi项目:9月11日,在主题为《探究韩国明星公链Klaytn及行业投资风向》线上访谈栏目中,OKEx CEO Jay Hao表示,DEX的主要优势集中在资产托管的安全性,以及数据透明等方面。CEX更多是聚焦在交易的高效和快捷性上。两者应该是互相补充、相辅相成。CEX和DEX互为命运共同体,共同促进加密市场的繁荣。不过,OKEx一直比较注重DeFi背后带来的长期应用价值。在未来,OKEx也将在OKChain上开发DEX、借贷、衍生品等DeFi项目,进一步去挖掘和实践隐藏在DeFi背后的应用价值和重大创新。[2020/9/11]
发现iToken合约有异常,该异常的发生与_internalTransferFrom()函数相关;
动态 | 数据:Defi锁定资产已达8.65亿美元 创历史新高:据Dapptotal数据显示,自去年以来,被锁定在DeFi应用中的资产规模增长10倍以上,从5000万美元增至今天近8.65亿美元,创历史新高。Dapptotal列出的数十个项目中,MakerDAO的DAI继续占据主导地位,目前锁定价值3.23亿美元ETH。最近因为薅羊毛项目而大火的EOS REX跃居第二位,锁仓2.35亿美元。在Dapptotal中,衍生品Synthetix(7200万美元)锁仓价值逼近第三位Compound(约1亿美元),但由于Synthetix是抵押自己的原生代币,合成其他资产因此在Defiplus上统计Synthetix抵押资产其实已经超过Compound,达到1.7亿美元。而第五名之后的Defi项目在锁仓价值上相差甚远,完全无法威胁到前五名到位置。Edegeware本身不属于Defi,因此1.23亿美元暂时不计入Defi锁定资产。[2019/11/30]
在确定修复方案后,iToken的铸造和燃烧被暂停;
受影响的iToken合约的新版本得到部署,余额得到更正;
团队将补丁代码发送给派盾和Certik进行审查;
iToken的铸造及燃烧恢复;
攻击技术细节
每个ERC20代币都有一个transferFrom()函数是用于负责传输代币的。可以调用这个函数来创建一个iToken并将其传递给自己,从而允许你人为地增加余额。
下面是攻击涉及的技术细节:
使用相同的_from和_to地址调用了传输函数;
用相同的参数调用Immediately_internalTransferFrom;
下面的代码行存在故障:
当_from和_to地址相同时,会导致_balancesFrom和_balancesTo相等。
那么
上面的问题导致_balancesFrom余额的减少,并增加_balancesTo的余额,最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻击者就能够有效地人工增加自己的余额。
然后,下面就是补丁代码:
这可以防止攻击者增加自己的余额,据悉,修补后的代码已被发送给Peckshield和Certik进行审查,而双方都批准了这些更改。
安全事故造成近800万美元债务
尽管,问题很快得到了解决,但这次安全事故确实造成了协议很大的损失,根据官方公布的信息显示,这次事件导致了以下这些债务:
219,199.66LINK
4,502.70ETH
1,756,351.27USDT
1,412,048.48USDC
667,988.62DAI
以当前市场价计算,这些损失的代币的价值达到了800万美元。
审计并不是灵丹妙药
根据Bzx团队公开的信息显示,该协议此前已经过安全公司Peckshield及Certik的严格审计,其中Peckshield对bzx协议的审计用到了12人周的工作量,而Certik则花费了7人周的工作量。此外,bzx协议团队还进行了广泛的自动化测试,不幸的是,审计并不是灵丹妙药。
而在这次安全事件中,由于bzx协议团队控制了管理密钥,因而能够及时地应对这一事件,否则损失问题将会更大。
显然,这次事故再次为我们敲响了DeFi安全性的警钟,即便是得到审计公司的把关,也无法确保代码不存在漏洞,而近期涌现出来的大量新DeFi项目,它们的安全隐患显然要更大。
最后,一首凉凉,送给流动性挖矿。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。