北京时间9月14日消息,DeFi借贷协议bZx再次遭到攻击,而这次攻击共造成了大约800万美元的损失,据bZx联合创始人KyleKistner最初提到称:“这似乎是一次预言机操纵攻击。”
在攻击被发现后,bZx团队立即使用管理密钥暂停了协议,据悉这次攻击交易利用了闪电贷和Synthetix,“但它不会影响Synthetix系统,尽管它确实涉及了sUSD,”bZx在twitter上写道。
而在bZx官方公布的安全报告中提到:
“由于一次代币重复事件,协议保险基金暂时累积了一笔债务。除了协议现金流外,保险基金还会得到代币库的支持。”
以下是这次安全事故的时间线:
bZx团队注意到协议锁定值出现了异常变动;
DeFiBox安全提醒:BSC链上多个项目遭DNS劫持:新加坡时间3月15日晚,BSC(币安智能链)上多个DeFi协议网站受到DNS攻击,其中包括Cream Finance和BSC头部DEX PancakeSwap,攻击者通过网站请求用户提交个人私钥或助记词,有关项目团队已通过推特提醒用户不要访问网站、不要提交私钥等信息。
据了解,DNS劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址(网站)的目的。
DeFiBox提醒广大用户,慎重进行DeFi协议合约操作,暂不要访问有关风险网站。同时需检查是否存在相关协议的无限授权情况,任何情形下都不要泄漏助记词信息,防范DNS攻击带来的安全风险。[2021/3/16 18:47:07]
发现iToken合约有异常,该异常的发生与_internalTransferFrom()函数相关;
直播|李宝宝 > 靠首发DeFi币崛起,为何BitMax抓住了风口:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第12期15:00准时开始,本期“后浪”仙女Bitmax 的李宝宝将在直播间聊聊“靠首发DeFi币崛起,为何BitMax抓住了风口”,请扫码移步收听![2020/8/11]
在确定修复方案后,iToken的铸造和燃烧被暂停;
受影响的iToken合约的新版本得到部署,余额得到更正;
团队将补丁代码发送给派盾和Certik进行审查;
iToken的铸造及燃烧恢复;
攻击技术细节
每个ERC20代币都有一个transferFrom()函数是用于负责传输代币的。可以调用这个函数来创建一个iToken并将其传递给自己,从而允许你人为地增加余额。
DeFi风险投资公司向两家区块链公司投资共90万美元:去中心化金融(DeFi)的风险投资公司Framework Ventures向去中心化期货交易所Futureswap投资了40万美元,并向波卡生态项目Edgeware开发商Common Labs投资了50万美元。(The Block)[2020/3/10]
下面是攻击涉及的技术细节:
使用相同的_from和_to地址调用了传输函数;
用相同的参数调用Immediately_internalTransferFrom;
下面的代码行存在故障:
动态 | DeFi项目Kava主网上线不到一周 验证者节点质押资产规模达8000万美元:Cosmos 上首个 DeFi 项目 Kava 上线不到一周,验证者节点在 KAVA 主网上质押资产规模约 8000 万美元 (约合 6900 万美金 KAVA)。[2019/11/22]
当_from和_to地址相同时,会导致_balancesFrom和_balancesTo相等。
那么
上面的问题导致_balancesFrom余额的减少,并增加_balancesTo的余额,最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻击者就能够有效地人工增加自己的余额。
然后,下面就是补丁代码:
这可以防止攻击者增加自己的余额,据悉,修补后的代码已被发送给Peckshield和Certik进行审查,而双方都批准了这些更改。
安全事故造成近800万美元债务
尽管,问题很快得到了解决,但这次安全事故确实造成了协议很大的损失,根据官方公布的信息显示,这次事件导致了以下这些债务:
219,199.66LINK
4,502.70ETH
1,756,351.27USDT
1,412,048.48USDC
667,988.62DAI
以当前市场价计算,这些损失的代币的价值达到了800万美元。
审计并不是灵丹妙药
根据Bzx团队公开的信息显示,该协议此前已经过安全公司Peckshield及Certik的严格审计,其中Peckshield对bzx协议的审计用到了12人周的工作量,而Certik则花费了7人周的工作量。此外,bzx协议团队还进行了广泛的自动化测试,不幸的是,审计并不是灵丹妙药。
而在这次安全事件中,由于bzx协议团队控制了管理密钥,因而能够及时地应对这一事件,否则损失问题将会更大。
显然,这次事故再次为我们敲响了DeFi安全性的警钟,即便是得到审计公司的把关,也无法确保代码不存在漏洞,而近期涌现出来的大量新DeFi项目,它们的安全隐患显然要更大。
最后,一首凉凉,送给流动性挖矿。
?
比特币看好者和科技风险投资家蒂姆·德雷珀表示,他的加密货币投资组合包括比特币,XRP和许多其他山寨币.
1900/1/1 0:00:00最大的去中心化交易所Uniswap发币,有人咨询UNI值不值买入?在昨天的文章《Uniswap发币,对后市有何影响》中,我和大家分享过我的判断方法,简单地说就是用市值比较法来判断。我们可以综合从流通总市值和发行量总市值两个角度来比较.
1900/1/1 0:00:00由国家信息中心、中国移动、中国银联和北京红枣科技创建的国家区块链基础设施BSN选择了由DigitalAsset创建的DAML.
1900/1/1 0:00:00SushiSwap这两周发生的事情绝对是加密史上最跌宕起伏的故事之一。一开始,Sushiswap不仅分叉了Uniswap,还直接撬动Uniswap上最主要的DeFi代币流动性,同时推出了Uniswap上没有的代币激励机制,这让整个加密.
1900/1/1 0:00:00DeFi项目正式部署前,通过合约的安全审计,不仅可以对项目的代码规范、漏洞情况以及业务逻辑等方面进行全局核查。同时,项目审计对于项目方在投资市场的形象也具有一定塑造作用.
1900/1/1 0:00:00免责声明:本专栏內容概不构成任何投资意见,內容亦并非就任何个别投资者的特定投资目标、财务状况及个别需要而编制。投资者不应只按本专栏內容进行投资.
1900/1/1 0:00:00