宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > TUSD > 正文

BXH盗币案反思:黑客用最原始的方式「摧毁了」国产机池

作者:

时间:1900/1/1 0:00:00

:"\u003Cp\u003E吴说作者|吴卓铖\u003C\u002Fp\u003E\u003Cp\u003E本期编辑|ColinWu\u003C\u002Fp\u003E\u003Cp\u003E10月30日,去中心化收益类协议BXH发生私钥被盗事件,损失了价值约1.39亿美元的加密资产。此次\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E安全\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E事故发生在BSC链上,据官方声明显示,以太坊、OEC和Heco的链上资产未受影响,但出于安全考量,所有链上的充提功能都被关闭。\u003C\u002Fp\u003E\u003Cp\u003E事件发生后,根据区块链安全机构慢雾科技的分析,黑客于27日13时(UTC)部署了攻击合约0x8877,接着BXH的\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E钱包\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E地址0x5614于29日8时(UTC)通过grantRole将管理权限赋予了攻击合约0x8877。30日3时(UTC)攻击者通过攻击合约0x8877获得的权限从BXH金库中将其管理的资产转出。30日4时(UTC)钱包地址0x5614暂停了金库。因此,BXH本次被盗是由于其管理权限被恶意地修改,导致攻击者利用此权限转移了项目资产。目前,黑客初始地址里的4000\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003EETH\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E已经从BSC转移到ETH,还有300BTCB兑换成renBTC转移到新地址(1Jw...9oU和1Fr...Vow)。区块链安全机构派盾在推特上公布了截止11月1日被盗资金的去向:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BXH盗币案反思:黑客用最原始的方式「摧毁了」国产机池\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202111\u002F03023505\u002F43v90nh6eulwo2n7.jpg "/>!webp\"data-img-size-val=\"900,494\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E此事一出,舆论哗然,大家疑惑的是为什么BXH能将资金管理权限交给黑客,黑客不需要攻克复杂的\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E智能合约\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E,仅需获取私钥就摧毁了整个协议。这种盗币手段颇为原始,不免让人质疑是否是存在内鬼。随后关于创始人的一系列黑历史也被扒出。目前官方只是表示此次事件系私钥泄露,并发布100万美元悬赏金招揽白帽子团队追回资金。\u003C\u002Fp\u003E\u003Cp\u003E可是,风波并未就此结束,由于BXH已经关闭了提现功能,依靠它产生收益的机池项目也被迫关停了提币功能。目前已有四个机池受到牵连,首当其冲的就是Heco上锁仓量排名第二的Coinwind。Coinwind团队表示正在全力跟进BXH被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BXH盗币案反思:黑客用最原始的方式「摧毁了」国产机池\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202111\u002F03023508\u002Fa7g4pxvu6qxfxa6i.jpg "/>!webp\"data-img-size-val=\"488,292\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E不仅如此,由于Coinwind在Heco上锁仓量较高,其他小规模的机池会直接选择将资金锁在Coinwind里并通过杠杆放大收益的“懒人式操作”,因此此次事件中这类项目自然也无法幸免。这现象背后反映的问题值得深思。\u003C\u002Fp\u003E\u003Cp\u003E目前,机池的盈利模式就是不断地寻找各种高收益的借贷协议,然后频繁地存钱和借钱来赚取平台token,最后通过boosting放大杠杆倍数,用这种“搭乐高”方式呈现给\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E投资\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E者夸张的收益率。当然,这种方式在放大了收益的同时也放大的风险,任何一层发生本金损失都可能导致整个乐高坍塌。\u003C\u002Fp\u003E\u003Cp\u003E因此机池的每一步操作,每一笔资金去向应当时时公开,就像公募基金公开持仓股一样,让投资人自行做出选择。以Yearn为例,其机池中每一个资金池的投资策略和资金去向都需要\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003EDAO\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E组织成员讨论并投票,最后公布策略。如果用户对某个资金池的投资策略不满意,可以选择不投。而其他很多机池在公开透明这块做的很糟糕,尤其是国内项目,暗箱操作颇多。此次事件,就有用户对CoinWind将资产投入到屡受争议的BXH感到不满,他们表示如果事先知道就不会将资产存入CoinWind。而CoinWind的回应却是,他们对BXH做了尽职调研,BXH的审计报告没有问题,这次BXH被攻击是由于私钥被盗,属于不可抗风险。然而,查看慢雾在3月份给BXH做出的审计报告却发现:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimgalt=\"BXH盗币案反思:黑客用最原始的方式「摧毁了」国产机池\"src=\"https:\u002F\u002Fpiccdn.0daily.com\u002F202111\u002F03023512\u002Fwxazo09c1bg1n34r.jpg "/>!webp\"data-img-size-val=\"728,283\"\u002F\\\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003C\u002Fp\u003E\u003Cp\u003E目前机池只是在各借贷协议之间循环操作放大收益,从传统\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E金融\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E的角度来看这显然不可能持续性发展的。传统世界只有银行或一些大机构(例如房地产商)可以循环借贷放大\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E货币\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E乘数,普通人受监管限制不能这么做。\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003E\u003Cspanclass=\"font\"\u003EDeFi\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E世界没有监管,因此散户可以像机构那样循环借贷,不少用户甚至以为这是DeFi特有的产品,事实上并非如此。监管不允许散户这么操作自然是合理的,毕竟大多普通人的风险控制能力较弱。\u003C\u002Fp\u003E\u003Cp\u003E这也是当下机池类产品最大的风险所在,根据风险高低主要分为三类:\u003C\u002Fp\u003E\u003Culclass=\"list-paddingleft-2\"\u003E\u003Cli\u003E\u003Cp\u003E低风险–简单策略–单一资产抵押金库\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003Cli\u003E\u003Cp\u003E中风险–简单策略–流动性token与平台token的自动复合\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003Cli\u003E\u003Cp\u003E高风险–高级策略–使用多个协议的多层策略循环借贷\u003C\u002Fp\u003E\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E不同类型的策略池风险等级不同,通常单一资产的策略池无常损失风险低于需要流动性token作为存款资产的策略池。这次盗币事件大众的关注点都在合约安全风险,其实这是区块链产品共同的问题。但是机池的存在放大了这种风险,每次在策略中加入新协议时,都会增加一层黑客风险,其中任何一个环节出现问题都会影响整个机池。个人认为这才是最值得引起重视的。\u003C\u002Fp\u003E\u003Cp\u003E现在已经出现一些基于\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003E期权\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E组合策略、合成资产套利等对标传统金融产品的协议,这些产品在传统领域已经被验证其盈利模式是可持续的。当然参与这些产品需要更高的技术门槛,这正是机构投资人的价值所在,专业的事交给专业的人去做在任何领域都是合理的。这也是机池未来发展的方向,像如今这种循环借贷实在技术含量偏低。如此看来,黑客采用这种颇为原始且似乎没什么技术含量的盗窃手法,对国内这些“乐高式”机池来说也不算辱没。\u003C\u002Fp\u003E\u003Cp\u003E吴说:独立可信的报道者欢迎在这里关注我们\u003C\u002Fp\u003E\u003Cp\u003E中文推特https:\u002F\u002Ftwitter.com\u002Fwublockchain12\u003C\u002Fp\u003E\u003Cp\u003E电报\u003Cspanclass=\"alert\"\u003E\u003Cspanclass=\"alertFont\"\u003E\u003Cspanclass=\"font\"\u003ETelegram\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E中文频道https:\u002F\u002Ft.me\u002Fwublock\u003C\u002Fp\u003E\u003Cp\u003E官方网站https:\u002F\u002Fwww.wu-talk.com\u002F\u003C\u002Fp\u003E\u003Cp\u003E根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”,本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。吴说内容未经许可,禁止进行转载、复制等,违者将追究法律责任。\u003C\u002Fp\u003E

派盾:BXH被盗确认由管理密钥泄露引发:11月1日消息,据派盾官方消息,BXH 被盗事件确认由管理密钥泄露引发,该密钥被用于耗尽已部署的 BSC strategies 中的大部分资金。目前,派盾方面仍在调查被盗资金下落。[2021/11/1 6:25:02]

BXH笨小孩TVL总额突破7亿美金,BSC单链质押超5亿美金:据BXH笨小孩官方数据显示,BSC和Heco多链质押总额突破7亿美金。其中HECO链上质押接近2亿美元,BSC单链流动性质押超过5亿美元。

BXH笨小孩今年三月份登陆火币Heco链,获得火币“金牌造物主”项目第一名,V2已升级一站式生态DeFi平台。[2021/8/7 1:40:33]

BXH笨小孩BSC链上流动性质押突破1亿美金:据官方数据显示,BXH笨小孩登陆BSC1小时,TVL突破1亿美金。7月30日20:00一站式DeFi交易平台BXH上线币安智能链BSC,支持跨链互通,自由操作。[2021/7/30 1:25:22]

去中心化交易平台BXH V2正式上线:据官方消息,火币Heco链上去中心化交易平台BXH V2加强版本将于香港时间7月5日 20:00正式上线。

BXH于2021年3月正式上线Heco,具有低手续费与低滑点交易的特点。V2版本更新内容包括升级交易板块,优化挖矿机制,新增单币高收益机池,开启DAO社区分红,通过多渠道增加用户收益。[2021/7/5 0:27:57]

Gate.io于今日16:00开启投票上币第107期—BXH:据官方公告,Gate.io于4月1日(今日)16:00开启第107期投票上币项目BXHToken (BXH) ,投票截止时间至2021年4月2日14点。在本轮投票中,BXH如获得1000万票,Gate.io将上线BXH对USDT交易,参与投票的用户均可分享总计约10,600 BXH(35,000美金)空投奖励。BXH超级空投福利活动现已开启。[2021/4/1 19:36:44]

标签:SPAPANcLAASSSPANDA价格pangolin币资料Monsters ClanBitbox Classic

TUSD热门资讯
「模块化」的以太坊时代:PoS 、分片以及 Rollups

撰文:DavidHoffman,Bankless联合创始人编辑:南风以太坊开发正达到一个新的成熟度水平。以太坊目前所处的位置与其定义的路线图之间的差距正在迅速缩小。现在我们处于这个阶段,即很明显以太坊正在开发模块化的设计架构.

1900/1/1 0:00:00
一周融资速递 | 30家项目获投;NFT、链游持续火爆(10.11-10.17)

经Odaily星球日报不完全统计,10月11日-10月17日当周公布的海内外区块链融资事件共30起,融资总额约为10.35亿美元.

1900/1/1 0:00:00
被盗 1.3 亿美元 吸引渣男体质?Cream Finance今年第五次遭黑客攻击全解析

10月27日,链必安-区块链安全态势感知平台舆情监测显示,DeFi借贷协议CreamFinance再次遭受攻击,损失达1.3亿美元。被盗的资金主要是CreamLP代币和其他ERC-20代币.

1900/1/1 0:00:00
海外矿工的艰难时刻:部分矿场停电,哈萨克斯坦矿工迎来“艰难冬季”

吴说作者|ColinWu本期编辑|ColinWu吴说获悉,近期由于哈萨克斯坦电力紧张与冬季缺电,导致大量矿场受到限电影响,南部在结合用电数据和IP地址重点清理非法挖矿,有机构决定从哈萨克斯坦迁往美国.

1900/1/1 0:00:00
苹果CEO库克持有加密货币,下一步是苹果接受BTC支付?

出品|白泽研究院在昨天纽约时报DealBook在线峰会上接受采访时,苹果首席执行官蒂姆库克透露,他个人拥有一些加密货币,为了多元化目的而持有一些加密货币是“合理的”.

1900/1/1 0:00:00
一文速览 Uniswap V3 池的历史表现

任何UniswapLP头寸的成功都取决于两个基本组成部分:无常损失:由于我们存入资金的价格与我们平仓时的价格之间的差异而造成损失的风险由池支持的交易产生的费用DeFi的目标是帮助用户理解和模拟这两个组件的影响,并帮助估计可能的结果.

1900/1/1 0:00:00