โปรโตคอล DeFi bZx ถูกโจมตีอีกครั้ง สูญเสียเงินกว่า 8 ล้านดอลลาร์

หมายเหตุบรรณาธิการ: บทความนี้มาจากข้อมูล Babbitt (รหัส: bitcoin8btc), การรวบรวม: ข้าวต้มข้ามคืน, เผยแพร่โดยได้รับอนุญาต

หมายเหตุบรรณาธิการ: บทความนี้มาจาก

ข้อมูล Babbitt (รหัส: bitcoin8btc)เขียน。

, การรวบรวม: ข้าวต้มข้ามคืน, เผยแพร่โดยได้รับอนุญาต

ตามเวลาปักกิ่งในวันที่ 14 กันยายน โปรโตคอลการให้ยืม DeFi bZx ถูกโจมตีอีกครั้งและการโจมตีครั้งนี้ทำให้สูญเสียเงินทั้งหมดประมาณ 8 ล้านดอลลาร์สหรัฐ ตามที่ Kyle Kistner ผู้ร่วมก่อตั้ง bZx กล่าวในตอนแรก: "นี่ดูเหมือนจะเป็นการโจมตีด้วยเครื่องออราเคิล "

ทันทีหลังจากค้นพบการโจมตี ทีม bZx ได้ระงับข้อตกลงโดยใช้รหัสผู้ดูแลระบบ มีรายงานว่า ธุรกรรมการโจมตีใช้เงินกู้แฟลชและ Synthetix "แต่จะไม่ส่งผลกระทบต่อระบบ Synthetix แม้ว่ามันจะเกี่ยวข้องกับ sUSD" bZx เปิด ทวิตเตอร์

1. เขียน

2. เจ้าหน้าที่ bZx กล่าวถึงในรายงานความปลอดภัยล่าสุด:

3. “เนื่องจากเหตุการณ์การทำสำเนาโทเค็น กองทุนประกันโปรโตคอลได้ก่อหนี้ชั่วคราว นอกจากกระแสเงินสดของโปรโตคอลแล้ว กองทุนประกันจะได้รับการสนับสนุนโดยกลุ่มโทเค็น”

4. นี่คือไทม์ไลน์ของเหตุการณ์ด้านความปลอดภัย:

5. ทีม bZx สังเกตเห็นการเปลี่ยนแปลงที่ผิดปกติในค่าการล็อกโปรโตคอล (TVL)

6. หลังจากกำหนดการแก้ไขแล้ว การสร้างและการเผาไหม้ของ iToken จะถูกระงับ (การยืมและการซื้อขายจะไม่ได้รับผลกระทบ)

มีการปรับใช้สัญญา iToken เวอร์ชันใหม่และยอดคงเหลือได้รับการแก้ไข

ทีมส่งรหัสโปรแกรมแก้ไขไปยัง Peckshield และ Certik เพื่อตรวจสอบ

การหล่อและการกู้คืน iToken;

1. ชื่อเรื่องรอง

2. รายละเอียดทางเทคนิคการโจมตี

3. โทเค็น ERC20 ทุกอันมีฟังก์ชัน TransferFrom() ที่รับผิดชอบในการถ่ายโอนโทเค็น คุณสามารถเรียกใช้ฟังก์ชันนี้เพื่อสร้าง iToken และส่งต่อให้กับตัวคุณเอง ทำให้คุณสามารถเพิ่มยอดคงเหลือได้

ฟังก์ชันการถ่ายโอนถูกเรียกด้วยที่อยู่ _from และ _to เดียวกัน

ดังนั้น

โทรทันที _internalTransferFrom ด้วยพารามิเตอร์เดียวกัน

บรรทัดรหัสต่อไปนี้มีข้อผิดพลาด:

ดังนั้น

ปัญหาข้างต้นส่งผลให้เกิดการลดยอดคงเหลือของ _balancesFrom และเพิ่มยอดคงเหลือของ _balancesTo และสุดท้ายส่วนที่สำคัญที่สุดคือการบันทึก _balancesFromNew และ _balancesToNew ผู้โจมตีสามารถเพิ่มความสมดุลของตัวเองได้อย่างมีประสิทธิภาพ

จากนั้น นี่คือรหัสแพตช์:

1. 219,199.66 LINK

2. 4,502.70 ETH

3. 1,756,351.27 USDT

4. 1,412,048.48 USDC

5. 667,988.62 DAI

ชื่อเรื่องรอง

เหตุการณ์ด้านความปลอดภัยสร้างหนี้เกือบ 8 ล้านดอลลาร์

แม้ว่าช่องโหว่ของรหัส bZx จะได้รับการแก้ไขอย่างรวดเร็วแต่เหตุการณ์ด้านความปลอดภัยนี้ทำให้โปรโตคอลเสียหายจำนวนมากตามข้อมูลอย่างเป็นทางการเหตุการณ์นี้นำไปสู่หนี้สินดังต่อไปนี้:

ณ ราคาตลาดปัจจุบัน โทเค็นที่หายไปเหล่านี้มีมูลค่า 8 ล้านดอลลาร์

ชื่อเรื่องรอง

การตรวจสอบไม่ใช่ยาครอบจักรวาล