比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 中幣 > Info

bZx 年內上演安全問題「 帽子戲法」 DeFi 安全「危」與「機」并存_USD

Author:

Time:1900/1/1 0:00:00

昨日,DeFi借貸協議bZx年內第三次遭到攻擊,由于代碼重復事故導致共計損失價值超800萬的資產,這距離BZx新版本部署僅不到兩周。受此影響,bZx代幣BZRX過去?24小時跌近30%,從0.6679USDT一度跌至0.4USDT,發文時暫報0.44USDT。

BZRX30分鐘K線圖,來源:幣安

與此同時,bZx?鎖倉量較昨日暴跌99.71%,幾乎歸零,目前僅為176美元。

北京時間9月14日下午3點半左右,bZx發現其協議總鎖定價值出現顯著下降。大約3小時后bZx確認多個iToken發生了重復事故,即iToken合約中的_internalTransferFrom()函數出現異常行為,攻擊者利用了相同的_from和_to地址調用了傳輸函數。確認問題后bZx隨即暫停了放貸操作。

bZx宣布正與雪崩協議進行整合 預計Q1完成:1月8日,去中心化借貸平臺bZx官方宣布正在整合雪崩協議Avalanche。整合將為Avalanche的DeFi生態系統提供去中心化融資融券交易、借貸和貸款服務。整合工作預計將于2021年第一季度完成。[2021/1/8 16:42:48]

bZx表示,目前該函數異常行為已被修復,協議也已恢復正常運行。借款和交易未受到影響,用戶不會受到資金風險。bZx也已部署了新版本的iToken合約,并針對重復事故重設了余額。修復后的代碼已發送給區塊鏈安全公司Peckshield和Certik進行審查。目前iToken的鑄造和銷毀已恢復。

bZx披露的信息顯示,此次重復事故發生后已將以下債務添加至其保險基金中,包括近22萬LINK、4502ETH、175.64萬USDT、141.20萬USDC、以及66.80萬DAI,按當前價格計算,總價值逾800萬美元,具體如下:

bZx聯合創始人:CFTC促使Coinbase取消保證金交易正推動非托管服務發展:11月25日,去中心化借貸平臺bZx聯合創始人Kyle Joseph Kistner發推稱,出于CFTC的合規考慮,Coinbase將暫停其保證金交易服務。而這個消息對于DeFi來說是難以置信的利好消息。該決定將托管服務置于一個兩難的境地,CFTC(此番舉措)實際上是在表示,只有DeFi被允許提供保證金交易服務,應該稱頌監管者。他稱,這在很大程度上反映了非托管服務優于托管服務的監管趨勢。這反映了我們將看到更大的監管趨勢,這些趨勢正推動非托管服務的發展。今日早間消息,根據美國商品期貨交易委員會(CFTC)的最新規定,Coinbase將于北京時間11月26日06:00開始暫停所有新保證金交易,并將于下月完全終止保證金交易功能。[2020/11/25 22:02:19]

219,199.66LINK

bZx已開啟質押,將有48小時準備期:9月1日,DeFi借貸協議bZx官方宣布,已開啟質押。由于高額的Gas費用,將給予48小時的準備期。詳情點擊原文鏈接。[2020/9/1]

4,502.70ETH

1,756,351.27USDT

1,412,048.48USDC

667,988.62DAI

去中心化借貸協議Compound創始人RobertLeshner表示,這意味著bZx損失了價值800多萬的資產,并建議bZx重新審計合約,而不是僅向用戶表示「nobigdeal」。

針對bZx協議被攻擊一事,Bitcoin.com首席工程師MarcThelan表示,昨晚其在bZx中發現了該漏洞,有價值超過2000萬美元的資產處于危險之中。MarcThelan稱其將該漏洞告知了bZx團隊,但該團隊反應過于緩慢。等到bZx團隊獲悉該漏洞時,攻擊者幾乎已經耗盡了Dai和USDC資產。如果攻擊者有更多時間,可能會耗盡整個池子。bZx的一位創始人在電報群中表示,團隊安全小組建議給MarcThelan1.25萬美元的賞金。

bZx(BZRX)突破1.6美元,24H最高漲幅44.64%:據Gate.io行情顯示,新交易對BZRX/ USDT幣價持續上漲,今日突破1.6美元,截至今日14:00,24H漲幅最高達44.64%,當前漲幅26.42%,24H最高價1.688美元,當前報價1.574美元。據悉,BZRX/ USDT交易于8月30日在Gate.io正式上線。[2020/8/31]

1inch聯合創始人AntonBukon此前也發現了該漏洞,其表示,「我們發現有人在兩天前就利用該漏洞將自己的余額增加到1.536億枚iUSDT,并開始從USDT池中轉走,直到bZx協議管理員銷毀了1.519億枚iUSDT,這表明似乎有170萬USDT被盜。」

關于bZx協議管理員銷毀iUSDT一事,以太坊開發人員RomanSemenov解釋稱,bZx協議管理員使用了一個允許其銷毀任何用戶資金的后門,然后將代幣的實現狀態更新為未經驗證。在銷毀一些涉及攻擊的用戶資金后,他們再次將其更新為漏洞修復后的正常實現。

動態 | bZx將通過Oracle網絡Chainlink使其價格來源多樣化:以太坊交易平臺bZx將通過Oracle網絡Chainlink使其價格來源多樣化。此前消息,去中心化金融(DeFi)貸款協議bZx被操縱導致價值35萬美元的以太坊遭遇損失。文章評論稱,Chainlink可以整合許多智能合約的價格信息。即使有如此多的價格反饋,仍有可能操縱市場,但要做到這一點,難度要大得多。(Trustnodes)[2020/2/17]

bZx進一步解釋稱,該協議此前已經過區塊鏈安全公司Peckshield及Certik的安全審計,并進行了大量的自動化測試,但通過審計并不能確保協議100%安全。Peckshield及Certik正在分析此次事件的根本原因。

DeFi項目頻繁遭受攻擊,刺激去中心化保險需求

事實上,這并不是bZx協議首次受到攻擊。今年2月中旬,bZx協議曾兩次受到攻擊,共計損失價值逾90多萬的資產。當月中旬,bZx聯合創始人KyleKistner表示,「部分ETH已損失,此次事件是因為一個合約被利用導致的,其他資金是安全的。」業內人士估測,此次損失金額約為35萬美元。

3天后,bZx再次受到攻擊。bZx表示又發現了一次使用閃電貸進行的可疑交易,攻擊者后續使用了Synthetix交易,不過沒有影響到Synthetix系統。

除bZx之外,近期隨著DeFi熱度的大幅提升,安全問題成為了DeFi行業的最大挑戰。據PeckShield數據顯示,八月共發生安全事件28起,其中DeFi市場就發生了8起。

正因如此,去中心化保險的市場需求應運而生。NexusMutualTracker數據顯示,截至目前,去中心化保險NexusMutual的有效保額突破了2億美元,較之兩個月前,該數值已經增長逾20倍。

而在過去短短的24小時左右時間里,該數據就大漲130%,今日bZx的安全事故顯然成為了去中心化保險「大躍進式」增長的重要催化劑。

去中心化保險NexusMutual的有效保額,來源:NexusMutualTracker

可以想象,隨著DeFi市場的持續發展,去中心化保險、預言機等細分市場有望繼續保持增長勢頭。

bZx協議代碼安全漏洞的技術細節與進展更新

根據bZx發布的漏洞?報告,此次事件發生后的團隊所采取的進展以及技術細節如下:

團隊注意到協議總鎖定價值出現了異常變動;

在iToken上識別出與_internalTransferFrom()函數相關的異常行為;

團隊在確定修復方案后暫停了iToken的鑄造和銷毀,不過,借款和交易并未受到影響;

部署了新版本的iToken合約,并重設了余額;

修復后的代碼已發送給Peckshield和Certik進行審查;

恢復iToken的鑄造和銷毀。

在以太坊ERC20代幣中,TransferFrom()函數是將一定數量的代幣從一個地址轉移至另一個地址的執行操作,即從地址_from發送_value個token到地址_to。

此次iToken重復事故正是攻擊者利用了相同的_from和_to地址調用了傳輸函數。

有誤的代碼

當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。

有誤的代碼

上述問題導致再減少_balancesFrom余額的情況下增加了_balancesTo的余額,并且還保存了_balancesFromNew和_balancesToNew,這會導致用戶能夠人為地增加自己的余額。

修復后的代碼在balances余額減少后,會進行balancesTo余額的轉移,從而防止用戶人為增加自己的余額。

修復后的代碼

撰文:張改娟

Tags:BZXUSDSDTUSDTBZX幣usd幣今日行情usdt幣怎么獲得usdt幣圈最新消息

中幣
明錦:9.16比特幣行情解析 比特幣沖高回落 短期或走回落行情_Solana

從日線圖我們可以看到,目前比特幣上方受壓于前面交投密集區也是前期上漲中的重要壓制位10950附近,昨日漲至10930附近后承壓回落.

1900/1/1 0:00:00
AGXpay手機新版本發布_NFT

新的AGXpay手機錢包發布啦!此次發布版本為1.3.1 安卓下載地址: https://play.google.com/store/apps/details?id=org.interfix.

1900/1/1 0:00:00
【DeFi系列】--如何在PIZZA網絡中質押EOS獲得穩定幣 USDE(EOS)_USD

PIZZA是一個基于EOS的去中心化智能代幣系統。任何用戶都可以通過該系統自主發行擁有多重功能的新生代幣.

1900/1/1 0:00:00
虎符將于9月15日21:00正式上線MEME(Meme Protocol)

尊敬的虎符用戶: 虎符將于2020年9月15日21:00(UTC8)重磅上線MEME/USDT和MEME/ETH交易對。充值已開啟,提現將于9月16日15:00(UTC8)開啟.

1900/1/1 0:00:00
阿帆談幣:9.15BTC ETH如期暴漲 牛市還會繼續嗎?_ALA

各位朋友們,你們好,我是阿帆談幣(aftb88888)。阿帆本著負責、誠懇、認真的態度用心寫好每一篇分析文章,特點鮮明,不夸張,不含糊,力求能讓大家看懂大的趨勢分析以及小范圍的多空搏殺力度! 技.

1900/1/1 0:00:00
BigONE 已開啟「BTC Wing 流動性挖礦理財產品」募集_GON

親愛的用戶: 為了滿足DeFi用戶對收益多樣化的需求,BigONE現已開啟「BTCWing流動性挖礦理財產品」募集.

1900/1/1 0:00:00
ads