DEFI:DeFi協議bZx再次遭遇攻擊，損失超過800萬美元_WDEFI價格

編者按：本文來自巴比特資訊，編譯：隔夜的粥，星球日報經授權發布。北京時間9月14日消息，DeFi借貸協議bZx再次遭到攻擊，而這次攻擊共造成了大約800萬美元的損失，據bZx聯合創始人KyleKistner最初提到稱：“這似乎是一次預言機操縱攻擊。”在攻擊被發現后，bZx團隊立即使用管理密鑰暫停了協議，據悉這次攻擊交易利用了閃電貸和Synthetix，“但它不會影響Synthetix系統，盡管它確實涉及了sUSD，”bZx在twitter上寫道。而bZx官方在最新公布的安全報告中提到稱：“由于一次代幣重復事件，協議保險基金暫時累積了一筆債務。除了協議現金流外，保險基金還會得到代幣庫的支持。”以下是這次安全事故的時間線：bZx團隊注意到協議鎖定值出現了異常變動；發現iToken合約有異常，該異常的發生與_internalTransferFrom()函數相關；在確定修復方案后，iToken的鑄造和燃燒被暫停；受影響的iToken合約的新版本得到部署，余額得到更正；團隊將補丁代碼發送給派盾和Certik進行審查；iToken的鑄造及燃燒恢復；攻擊技術細節

Keon Foundation選擇Algorand作為其合規DeFi資產管理生態系統的Layer1解決方案:6月9日消息，Keon金融生態系統虛擬資產服務提供商（VASP）Keon Foundation Ltd.已決定與Algorand合作，作為其Layer1解決方案。

該基金會最初的重點將包括開發許可DEX KeonX以及引入KeonFi，后者是一個允許投資者探索和訂閱投資策略的市場，同時保持其資產的完整托管。衍生品DEX（KeonXD）、IDO LaunchPad、Farm Auctions和Keon NFT市場是第二階段產品，將形成更廣泛的Keon金融生態系統，所有這些產品都將基于Algorand區塊鏈創建。一旦協議建立，基金會計劃在百慕大申請數字資產業務許可證，以允許用戶訪問Keon的合規產品和服務。（Prweb）[2022/6/9 23:02:43]

每個ERC20代幣都有一個transferFrom()函數是用于負責傳輸代幣的。你可以調用這個函數來創建一個iToken并將其傳遞給自己，從而允許你人為地增加余額。下面是攻擊涉及的技術細節：使用相同的_from和_to地址調用了傳輸函數；用相同的參數調用Immediately_internalTransferFrom；下面的代碼行存在故障：

StarkWare構建的Layer2 DeFi基礎設施CANVAS已上線測試網:9月29日消息，StarkWare構建的Layer2 DeFi基礎設施CANVAS已上線測試網，主網將于90天后上線。[2022/9/29 22:40:08]

當_from和_to地址相同時，會導致_balancesFrom和_balancesTo相等。

Monica Cummings：DeFi讓市場享受普惠金融 看好DeFi產品創新:據官方消息，由元界DNA總冠名的“FINWISE2020紛智云端峰會”海外場于歐洲時間5月29日盛大開啟。ICPS研究所內容負責人Monica Cummings榮耀出席。

Monica Cummings表示，“DeFi涵蓋目前被排除在主流金融市場之外的個人，降低了準入門檻，提供了更大的參與度和可利用的流動資金池。通過區塊鏈的透明度和數據可信度，發展中國家的公民也可以享受普惠金融的機遇。元界DNA在DeFi領域，包括貸款、保險、隱私和安全方面做出的創新性嘗試，令人印象深刻。目前DeFi仍處于起步階段，但是隨著去中心化金融產品不斷增加，預計元界DNA為代表的項目會快速擴張。”[2020/5/30]

公告 | 火幣上線錨定比特幣的DeFi項目HBTC:2月14日，火幣全球站宣布正式上線錨定比特幣的DeFi項目HBTC。HBTC是基于ERC20標準發行的數字資產，采用比特幣1：1的比例鑄造，在保證了與比特幣同等價值的同時，也擁有在以太坊上的靈活性。火幣公鏈相關負責人表示，“HBTC作為連接中心化市場和DeFi市場的橋梁，使用戶可以便捷無縫地使用比特幣參與以太坊上DeFi市場的運作。未來火幣還希望能促進比特幣資產嫁接到其它擁有良好技術基礎與活躍社區的公鏈上。火幣將堅定的擁抱DeFi領域，有能力和意愿為DeFi市場和區塊鏈行業的繁榮作出自己的貢獻。”[2020/2/14]

那么上面的問題導致_balancesFrom余額的減少，并增加_balancesTo的余額，最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻擊者就能夠有效地人工增加自己的余額。然后，下面就是補丁代碼：

這可以防止攻擊者增加自己的余額，據悉，修補后的代碼已被發送給Peckshield和Certik進行審查，而雙方都批準了這些更改。安全事故造成近800萬美元債務

盡管，bZx代碼漏洞很快得到了解決，但這次安全事故確實造成了協議很大的損失，根據官方公布的信息顯示，這次事件導致了以下這些債務：219,199.66LINK4,502.70ETH1,756,351.27USDT1,412,048.48USDC667,988.62DAI以當前市場價計算，這些損失的代幣的價值達到了800萬美元。

審計并不是靈丹妙藥

根據Bzx團隊公開的信息顯示，該協議此前已經過安全公司Peckshield及Certik的嚴格審計，其中Peckshield對bzx協議的審計用到了12人周的工作量，而Certik則花費了7人周的工作量。此外，bzx協議團隊還進行了廣泛的自動化測試，不幸的是，審計并不是靈丹妙藥。而在這次安全事件中，由于bzx協議團隊控制了管理密鑰，因而能夠及時地應對這一事件，否則損失問題將會更大。顯然，這次事故再次為我們敲響了DeFi安全性的警鐘，即便是得到審計公司的把關，也無法確保代碼不存在漏洞，而近期涌現出來的大量新DeFi項目，它們的安全隱患顯然要更大。最后，一首涼涼，送給流動性挖礦。

Tags：DEFIEFIDEFBZX去中心化金融defi入門分析與理解DeFi Pulse IndexWDEFI價格BZX幣

火必APP