補不完的漏洞!借貸平台 bZx 再度遭受攻擊,初估損失約 800 萬美金

Jeff
分享
補不完的漏洞!借貸平台 bZx 再度遭受攻擊,初估損失約 800 萬美金

自從今年二月遭駭客攻擊,前後損失近 64 萬美元後,去中心化借貸協議 bZx 的表現一直不理想,用戶數也因為流動性挖礦機制在去中心化金融(DeFi)領域廣泛採用而不斷減少,就在人們幾乎快遺忘這個平台時,bZx 又再度佔據了新聞版面。

iToken 複製漏洞

bZx 於昨日(13日)再度遭到駭客攻擊,這次攻擊所導致的損失高達 800 萬美元,將當於 bZx 總鎖定資產的 30%。根據 Bitcoin.com 首席開發者 Marc Thelan 的說法,他是第一個發現合約漏洞,並提醒團隊立即停止合約功能的人。

 

Marc Thelan 在推文中指出,他發現了 bZx 平台在鏈上的可疑交易,因此他照著攻擊者的步驟,將 100 USDC 打進平台作為抵押品,鑄造出 100 iUSDC,並將這 100 iUSDC 打到自己的地址,按理來說轉出地址與轉入地址一致的話餘額是不會產生任何變化的,但由於合約存在漏洞,導致地址餘額從 100 iUSDC 變成 200 iUSDC,最終 Marc Thelan 用 200 iUSDC 成功換回 200 USDC。換句話說,合約漏洞導致 iToken 可以被複製。

廣告 - 內文未完請往下捲動

Marc Thelan 立即向 bZx 團隊發出警告,並表示攻擊者已藉由這個漏洞耗盡了資金池中大量的 Dai 和 USDC,Marc Thelan 補充表示,如果攻擊者有更多時間,可能整個資金池的資金都會被耗盡。

平台風險不容忽視

這次攻擊事件中損失的資產包括以太幣(ETH)、Chainlink(LINK)、USDC 與 DAI 等,總損失估計 800 萬美元。儘管該平台背後的保險基金會全額賠償這筆損失,而 bZx 團隊在暫停合約後,緊急修復並再度將合約重啟的做法,讓 Compound 創辦人難以認同,其表示:

「請先暫停所有合約功能直到所有審計和分析徹底完成,不要用一句「沒什麼大不了的」帶過。這不是你應對駭客的方式。」

這起事件再次點出了 DeFi 協議中用戶資產安全的重要性,用戶自身也不應該忽略平台的合約風險。正如 Aave 協議創辦人 Stani Kulechov 所說

「@bZxHQ 事件表明,分叉計有項目比從頭打造一個新的容易。這些代碼進行過多次審計與驗證,並且花了相當長的時間才上到主網。但儘管如此仍然不能保證絕對的安全,這是每個 DeFi 用戶都應該了解的。」