2020年第三次攻击，这次bZx损失惨重

要点：

1、昨晚bZx再次受到攻击。

2、bZx联合创始人Kyle Kistner：两家审计公司Peckshield和Certik正分析内部根本原因。

今年2月，DeFi贷款协议bZx两次被爆漏洞。第一次被盗ETH金额约为350,000美元。三天后发生第二次攻击，第二次造成的损失大约是上次的两倍，损失2388枚ETH，价值约645000美元。

就在9月14日，bZx遭到今年第三次攻击，这次损失远远大于前两次，这次被盗 4700枚ETH ，原因是智能合约中的错误代码。

攻击者通过代码缺陷复制资产，或增加其iToken（bZx计息代币）的余额。注意到该错误几个小时后，bZx暂停了iToken的创建和刻录，暂停借贷。在修复代码后，恢复服务。

该漏洞使黑客铸造了219200 LINK（价值约260万美元），4503 ETH（〜160万美元），1,756,351 USDT（〜170万美元）1,412,048 USDC（〜140万美元）和667,989 DAI（〜680,000美元）。总计800万美元。 bZx表示，用户资金没有风险，因为损失由其保险基金承担。

9月14日，bZx官方发推称，在美东时间上午3:28（北京时间9月13日15:30），我们开始研究该协议TVL的下降。到美东时间上午6:18（北京时间9月13日18:30），我们确认几个iToken发生了重复事件。借贷暂时暂停。重复方法已从iToken合同代码中修补出来，并且协议已恢复正常运行。随后，1inch联合创始人Anton Bukov发推称攻击者在此次事件中盗取了约4700枚ETH，并附上被盗资金地址。

针对 bZx 协议被攻击一事，1inch联合创始人Anton Bukov发推表示，我们发现有人在两天前就发现了这个漏洞，将自己的余额增加到1.536亿枚iUSDT，并开始从USDT池中抽走，直到1.519亿枚iUSDT被销毁。 bZx 协议管理员似乎有170万美元被盗了。

以太坊开发人员Roman Semenov对此评论称，所以 bZx 协议管理员使用后门将其代币更新为未经验证状态，从而使他们可以销毁任何用户的资金。然后，在销毁一些参与黑客活动的用户的资金后，他们更新为带有bug修复的正常状态。

Bitcoin.com的首席工程师马克•塞伦(Marc Thalen)声称，他已经初步发现了这个漏洞。他说，超过2000万美元的bZx基金面临风险。Thalen自己尝试利用这个漏洞，用USDC(100美元)创建了一笔贷款。“从这里得到了iUSDC。然后把这个发送给自己，实际上是复制了资金。然后我提出索赔200美元。”

bZx的联合创始人Kyle Kistner表示，很难说这个关键的漏洞是如何被协议的两家审计公司Peckshield和Certik识别的。两家公司正在准备分析内部根本原因。

Peckshield表示，“一次审计并不能保证找到所有潜在问题。”但随着持续工作的进行，它正越来越接近将安全风险降到最低的目标。

一些行业专家希望bZx停止运营并重新审核其协议。然而，Kistner称，bZx安全审计人员“不建议采取这样的行动”。

这是 bZx 今年第三次遭到袭击。今年2月，该协议在两次攻击中损失了约99.5万美元。

周日的袭击导致bZx的总锁定价值(TVL)急剧下降了70%，仅为630万美元。Kistner告诉The Block，“在这个[DeFi]领域，事情变化得非常快”

当被问及bZx计划在受到攻击的情况下如何增强用户的信任时，Kistner：“我们希望创造出如此有吸引力的产品和激励结构，使用户无论对我们的品牌感觉如何，实质上都‘被迫’使用我们的产品。”

来源：theblockcrypto

==

和11万人同时接收最新行情资讯

搜“鸵鸟区块链”下载

和2万人一起加入鸵鸟社群

添加微信ID：tuoniao02

本文经「原本」原创认证，作者 鸵鸟区块链 ，访问yuanben.io查询【 3SS1GJ38 】获取授权信息。