北京時間9月14日消息,DeFi借貸協議bZx再次遭到攻擊,而這次攻擊共造成了大約800萬美元的損失,據bZx聯合創始人KyleKistner最初提到稱:“這似乎是一次預言機操縱攻擊。”
在攻擊被發現后,bZx團隊立即使用管理密鑰暫停了協議,據悉這次攻擊交易利用了閃電貸和Synthetix,“但它不會影響Synthetix系統,盡管它確實涉及了sUSD,”bZx在twitter上寫道。
而在bZx官方公布的安全報告中提到:
“由于一次代幣重復事件,協議保險基金暫時累積了一筆債務。除了協議現金流外,保險基金還會得到代幣庫的支持。”
歐易OKEx DeFi播報:DeFi總市值974.4億美元,歐易OKEx平臺CHZ領漲:據歐易OKEx統計,DeFi項目當前總市值為974.4億美元,總鎖倉量為544.5億美元;
行情方面,今日DeFi代幣普漲,歐易OKEx平臺DeFi幣種漲幅最大前三位分別是CHZ、MXT、MASK;
截至19:00,OKEx平臺熱門DeFi幣種如下:[2021/3/3 18:11:54]
以下是這次安全事故的時間線:
bZx團隊注意到協議鎖定值出現了異常變動;
發現iToken合約有異常,該異常的發生與_internalTransferFrom()函數相關;
DeFi協議Warp Finance遭遇閃電貸攻擊 約800萬美元被盜:DeFi門戶網站DefiPrime今日早間在推特表示,北京時間12月18日06:34,流動性LP代幣抵押借貸DeFi協議Warp Finance遭遇閃電貸攻擊,約800萬美元被盜。此外,Warp Finance官方也在推特表示,正在調查最近一小時內被借出的違規穩定幣貸款,并建議不要再存入穩定幣,直到官方查明違規情況為止。[2020/12/18 15:38:24]
在確定修復方案后,iToken的鑄造和燃燒被暫停;
受影響的iToken合約的新版本得到部署,余額得到更正;
yearn.finance創始人:資金正在成為defi游戲中使用的裝備:yearn.finance創始人Andre Cronje剛剛發推表示,游戲化在貨幣政策中的應用讓我興奮不已。你的資金正在成為在這個defi游戲中使用的裝備。到目前為止我們一直在克隆“tradfi”,接下來我們將進入“gamefi”。[2020/9/10]
團隊將補丁代碼發送給派盾和Certik進行審查;
iToken的鑄造及燃燒恢復;
攻擊技術細節
每個ERC20代幣都有一個transferFrom()函數是用于負責傳輸代幣的。可以調用這個函數來創建一個iToken并將其傳遞給自己,從而允許你人為地增加余額。
幣贏將于7月25日18:00在DeFi專區上線PLU:據官方消息,幣贏將于7月25日18:00在DeFi專區上線PLU,開通PLU/USDT交易對,同時開啟“根據累計凈充值量占比瓜分50000CNYT等值的DeFi糖果”活動。據悉,Pluton是以太坊區塊鏈上去中心化的忠誠計劃類代幣,類似于里程累積或返現報酬,從Plutus生態系統中的獲得VIP交易和免除手續費用。Pluton幣可轉換為支付卡進行交易,即時確認,并且免除交易費用。[2020/7/25]
下面是攻擊涉及的技術細節:
使用相同的_from和_to地址調用了傳輸函數;
用相同的參數調用Immediately_internalTransferFrom;
下面的代碼行存在故障:
當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。
那么
上面的問題導致_balancesFrom余額的減少,并增加_balancesTo的余額,最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻擊者就能夠有效地人工增加自己的余額。
然后,下面就是補丁代碼:
這可以防止攻擊者增加自己的余額,據悉,修補后的代碼已被發送給Peckshield和Certik進行審查,而雙方都批準了這些更改。
安全事故造成近800萬美元債務
盡管,問題很快得到了解決,但這次安全事故確實造成了協議很大的損失,根據官方公布的信息顯示,這次事件導致了以下這些債務:
219,199.66LINK
4,502.70ETH
1,756,351.27USDT
1,412,048.48USDC
667,988.62DAI
以當前市場價計算,這些損失的代幣的價值達到了800萬美元。
審計并不是靈丹妙藥
根據Bzx團隊公開的信息顯示,該協議此前已經過安全公司Peckshield及Certik的嚴格審計,其中Peckshield對bzx協議的審計用到了12人周的工作量,而Certik則花費了7人周的工作量。此外,bzx協議團隊還進行了廣泛的自動化測試,不幸的是,審計并不是靈丹妙藥。
而在這次安全事件中,由于bzx協議團隊控制了管理密鑰,因而能夠及時地應對這一事件,否則損失問題將會更大。
顯然,這次事故再次為我們敲響了DeFi安全性的警鐘,即便是得到審計公司的把關,也無法確保代碼不存在漏洞,而近期涌現出來的大量新DeFi項目,它們的安全隱患顯然要更大。
最后,一首涼涼,送給流動性挖礦。
?
作者?|?Lucas?Outumuro自從11多年前,比特幣誕生以來,比特幣的用例和敘事發生了很大的變化,從點對點的現金到匿名暗網貨幣再到數字黃金等等.
1900/1/1 0:00:00Cairo是第一個用于生成通用計算的STARK證明的生產級平臺,具有圖靈完備,高效等特點。我們開發的所有內容都是用Cairo編寫的,從提交Reddit的競標開始,到我們即將部署的各個項目:Dev.
1900/1/1 0:00:00文?|Nancy?編輯|畢彤彤出品|PANews輪番來襲的熱點,正書寫著加密市場一輪又一輪的財富故事。DeFi狂奔的腳步還在繼續,跨鏈又成為投資者競相爭搶的香餑餑.
1900/1/1 0:00:00本文作者 周蓉,江哲 來自趣鏈科技數據網格實驗室BitXHub團隊,主要負責區塊鏈賬本互操作技術相關研究工作。導讀:本文是Polkadot系列文第三篇.
1900/1/1 0:00:00作者|哈希派分析團隊 金色財經合約行情分析 | 主流幣價格反復,DeFi板塊普漲:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報11587美元(+0.95%).
1900/1/1 0:00:00養老基金、財富管理公司和家族理財室等機構投資者認為,加密貨幣領域將繼續擴張,他們計劃購買更多。 來自加密貨幣保險公司Evertas的一項研究顯示,超過25%的被調查機構投資者正計劃增加他們的數字.
1900/1/1 0:00:00