BXH盗币案反思：黑客用最原始的方式「摧毁了」国产机池

吴说作者?|?吴卓铖

本期编辑?|?ColinWu

10月30日，去中心化收益类协议BXH发生私钥被盗事件，损失了价值约1.39亿美元的加密资产。此次安全事故发生在BSC链上，据官方声明显示，以太坊、OEC和Heco的链上资产未受影响，但出于安全考量，所有链上的充提功能都被关闭。

事件发生后，根据区块链安全机构慢雾科技的分析，黑客于27日13时(UTC)部署了攻击合约0x8877，接着BXH的钱包地址0x5614于29日8时(UTC)?通过grantRole将管理权限赋予了攻击合约0x8877。30日3时(UTC)攻击者通过攻击合约0x8877获得的权限从BXH金库中将其管理的资产转出。30日4时(UTC)钱包地址0x5614暂停了金库。因此，BXH本次被盗是由于其管理权限被恶意地修改，导致攻击者利用此权限转移了项目资产。目前，黑客初始地址里的4000ETH已经从BSC转移到ETH，还有300BTCB兑换成renBTC转移到新地址(1Jw...9oU和1Fr...Vow)。区块链安全机构派盾在推特上公布了截止11月1日被盗资金的去向：

安全团队：BXH被盗资金出现异动，超1700万美元资金被跨链转移到BTC网络:9月4日凌晨（UTC+8），慢雾监控到 BXH 被盗资金出现异动，经慢雾 MistTrack 分析，异动详情如下：

1/BSC 链，黑客地址 0x48c9...7d79 Approve Cake Token 给 PancakeSwap。

2/ETH 链，黑客地址 0x48c9...7d79 将 3987.78 WETH Withdraw 成 ETH。

3/ETH 链，黑客地址 0x4967...Eb35 使用 Uniswap、Curve 将 DAI 全部兑换为 renBTC 和 WBTC，兑换后总数分别为 858.0454 renBTC 和 795.2618 WBTC；其中 858.0454 renBTC（价值约 1701 万美元） 已全部跨链到 BTC 链，跨链后地址为 1DYR...heSF，目前 BTC 暂未进一步转移。

截止目前，BXH 被盗资金并没有出现转移到交易所的情况，全部被盗资金仍在黑客地址中。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/9/4 13:07:50]

此事一出，舆论哗然，大家疑惑的是为什么BXH能将资金管理权限交给黑客，黑客不需要攻克复杂的智能合约，仅需获取私钥就摧毁了整个协议。这种盗币手段颇为原始，不免让人质疑是否是存在内鬼。随后关于创始人的一系列黑历史也被扒出。目前官方只是表示此次事件系私钥泄露，并发布100万美元悬赏金招揽白帽子团队追回资金。

去中心化交易平台BXH V2正式上线:据官方消息，火币Heco链上去中心化交易平台BXH V2加强版本将于香港时间7月5日 20:00正式上线。

BXH于2021年3月正式上线Heco，具有低手续费与低滑点交易的特点。V2版本更新内容包括升级交易板块，优化挖矿机制，新增单币高收益机池，开启DAO社区分红，通过多渠道增加用户收益。[2021/7/5 0:27:57]

可是，风波并未就此结束，由于BXH已经关闭了提现功能，依靠它产生收益的机池项目也被迫关停了提币功能。目前已有四个机池受到牵连，首当其冲的就是Heco上锁仓量排名第二的Coinwind。Coinwind团队表示正在全力跟进BXH被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。

HSC登录BXH去中心化交易平台:据官方消息，HSC与火币Heco链上去中心化交易平台BXH战略性合作，香港时间6月17日12:00 HSC/USDT交易对登录BXH矿池。HS Smart Chain于5月13日与Heco火币生态链合作，通过跨链技术实现无缝衔接，HSC与火币生态链的链上资产可以在两条链上流通，实现便捷的跨链交易。

BXH是建立在火币生态链上的去中心化交易所，为用户提供资产多样、高性价比的交易体验。[2021/6/17 23:43:44]

不仅如此，由于Coinwind在Heco上锁仓量较高，其他小规模的机池会直接选择将资金锁在Coinwind里并通过杠杆放大收益的“懒人式操作”，因此此次事件中这类项目自然也无法幸免。这现象背后反映的问题值得深思。

BXH与dFuture合作，新增DFT流动性挖矿:火币HECO链上去中心化交易平台BXH.com与dFuture达成合作，将于4月16日19:00(UTC +8)上线DFT/USDT，DFT/BXH流动性挖矿。

dFuture 是由 MIX 集团旗下 Mix Labs 打造的去中心化衍生品交易协议，目前dFuture 24H 总交易量已突破1.6亿美元。

BXH(Bitcoin Dex on Heco) 是?个基于?币Heco?态链（Huobi ECO Chain） 研发的DEX创新交易平台，为Heco链上的交易提供流动性。[2021/4/16 20:26:52]

目前，机池的盈利模式就是不断地寻找各种高收益的借贷协议，然后频繁地存钱和借钱来赚取平台token，最后通过boosting放大杠杆倍数，用这种“搭乐高”方式呈现给投资者夸张的收益率。当然，这种方式在放大了收益的同时也放大的风险，任何一层发生本金损失都可能导致整个乐高坍塌。

因此机池的每一步操作，每一笔资金去向应当时时公开，就像公募基金公开持仓股一样，让投资人自行做出选择。以Yearn为例，其机池中每一个资金池的投资策略和资金去向都需要DAO组织成员讨论并投票，最后公布策略。如果用户对某个资金池的投资策略不满意，可以选择不投。而其他很多机池在公开透明这块做的很糟糕，尤其是国内项目，暗箱操作颇多。此次事件，就有用户对CoinWind将资产投入到屡受争议的BXH感到不满，他们表示如果事先知道就不会将资产存入CoinWind。而CoinWind的回应却是，他们对BXH做了尽职调研，BXH的审计报告没有问题，这次BXH被攻击是由于私钥被盗，属于不可抗风险。然而，查看慢雾在3月份给BXH做出的审计报告却发现：

目前机池只是在各借贷协议之间循环操作放大收益，从传统金融的角度来看这显然不可能持续性发展的。传统世界只有银行或一些大机构(例如房地产商)可以循环借贷放大货币乘数，普通人受监管限制不能这么做。DeFi世界没有监管，因此散户可以像机构那样循环借贷，不少用户甚至以为这是DeFi特有的产品，事实上并非如此。监管不允许散户这么操作自然是合理的，毕竟大多普通人的风险控制能力较弱。

这也是当下机池类产品最大的风险所在，根据风险高低主要分为三类：

低风险–简单策略–单一资产抵押金库

中风险–简单策略–流动性token与平台token的自动复合

高风险–高级策略–使用多个协议的多层策略循环借贷

不同类型的策略池风险等级不同，通常单一资产的策略池无常损失风险低于需要流动性token作为存款资产的策略池。这次盗币事件大众的关注点都在合约安全风险，其实这是区块链产品共同的问题。但是机池的存在放大了这种风险，每次在策略中加入新协议时，都会增加一层黑客风险，其中任何一个环节出现问题都会影响整个机池。个人认为这才是最值得引起重视的。

现在已经出现一些基于期权组合策略、合成资产套利等对标传统金融产品的协议，这些产品在传统领域已经被验证其盈利模式是可持续的。当然参与这些产品需要更高的技术门槛，这正是机构投资人的价值所在，专业的事交给专业的人去做在任何领域都是合理的。这也是机池未来发展的方向，像如今这种循环借贷实在技术含量偏低。如此看来，黑客采用这种颇为原始且似乎没什么技术含量的盗窃手法，对国内这些“乐高式”机池来说也不算辱没。

吴说：独立可信的报道者欢迎在这里关注我们

中文推特https://twitter.com/wublockchain12?

电报Telegram中文频道https://t.me/wublock?

官方网站https://www.wu-talk.com/

根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”，本文内容仅用于信息分享，不对任何经营与投资行为进行推广与背书，请读者严格遵守所在地区法律法规，不参与任何非法金融行为。吴说内容未经许可，禁止进行转载、复制等，违者将追究法律责任。

标签：BXHECOHECBTCbxh币行情Fidlecoincoincheck交易平台合法吗BTC下跌

火币交易所热门资讯