DeFi-проект bZx потерял $8 млн в результате очередного вмешательства хакеров (обновлено)
Проект из сферы децентрализованных финансов (DeFi) bZx в очередной раз подвергся атаке злоумышленников.
Разработчики протокола децентрализованного кредитования сообщают, что изначально их внимание привлекло внезапное снижение объема зафиксированных активов. Спустя 3 часа после начала расследования им удалось подтвердить «инцидент с дупликацией», затронувший несколько токенов iToken.
В связи с этим была временно остановлена возможность внесения и вывода активов из кредитования. «Метод дупликации был исправлен в коде контракта iToken, а протокол вернулся в режим нормального функционирования», – написали они.
Сооснователь 1inch.exchange Антон Буков обнаружил 9 транзакций с токеном iETH, приведших к дупликации 101 778 iETH стоимостью около 4 700 ETH или $1,7 млн по текущему курсу. Кроме того, согласно The Block, с помощью бага хакер выпустил 219 200 LINK ($2,6 млн), 1 756 351 USDT, 1 412 048 USDC и 667 989 DAI. Общая сумма ущерба составила около $8 млн.
bZx в отдельной публикации заверили пользователей, что их активы остаются в безопасности, а выводить деньги с платформы нет необходимости. Покрытие убытков было осуществлено при помощи собственного фонда страхования протокола. В результате атаки объем активов в пулах bZx снизился на 70% до $6,3 млн.
Разработчики объясняют, что каждый ERC20-токен имеет функцию transferFrom(), отвечающую за его передачу. Из-за бага хакер смог воспользоваться этой функцией для создания и передачи токенов iToken самому себе, что позволило ему неправомерно увеличить остаток по счету.
Ведущий разработчик Bitcoin.com Марк Тален заявил, что в зоне риска находились активы стоимостью около $20 млн. Обнаружив уязвимость, он сам попытался проверить ее и создал заем на 100 USDC. «Так я получил iUSDC. Я отправил их самому себе, по сути, продублировав средства. Затем я выставил требование на $200», – написал он.
Исправленная версия кода уже была проверена аудиторскими фирмами Peckshield и Certik. Ранее они же проводили интенсивное тестирование контрактов bZx, но, как заявляет сам проект, «аудиты – это не панацея».
Это уже третья атака на bZx с начала текущего года. Совокупные убытки от двух первых составили около $1 млн.
UPD: Разработчики bZx в своем Twitter сообщили, что им удалось вернуть пропавшие активы, пообещав раскрыть более подробную информацию позднее.
UPD: Изменены данные о сумме похищенных активов
- Крупные держатели Ethereum переместили $357 млн всего за несколько минут - 14.03.2023
- Биткоин и эфир прибавляют на фоне активизации азиатских и европейских трейдеров - 14.03.2023
- Glassnode выпустили индикатор, определяющий пики и дно биткоина - 13.03.2023
- Нигерия задействует технологию блокчейн в модернизации банковского сектора - 13.03.2023
- Гендиректор Messari призывает инвесторов покупать биткоины - 13.03.2023