DeFi協議bZx再次遭遇攻擊，損失超過800萬美元_DEF

編者按：本文來自巴比特資訊，編譯：隔夜的粥，星球日報經授權發布。北京時間9月14日消息，DeFi借貸協議bZx再次遭到攻擊，而這次攻擊共造成了大約800萬美元的損失，據bZx聯合創始人KyleKistner最初提到稱：“這似乎是一次預言機操縱攻擊。”在攻擊被發現后，bZx團隊立即使用管理密鑰暫停了協議，據悉這次攻擊交易利用了閃電貸和Synthetix，“但它不會影響Synthetix系統，盡管它確實涉及了sUSD，”bZx在twitter上寫道。而bZx官方在最新公布的安全報告中提到稱：“由于一次代幣重復事件，協議保險基金暫時累積了一筆債務。除了協議現金流外，保險基金還會得到代幣庫的支持。”以下是這次安全事故的時間線：bZx團隊注意到協議鎖定值出現了異常變動；發現iToken合約有異常，該異常的發生與_internalTransferFrom()函數相關；在確定修復方案后，iToken的鑄造和燃燒被暫停；受影響的iToken合約的新版本得到部署，余額得到更正；團隊將補丁代碼發送給派盾和Certik進行審查；iToken的鑄造及燃燒恢復；攻擊技術細節

FTX聯合創始人SBF：DeFi有很大潛力，但目前的公鏈性能卻難以支撐DeFi的大規模發展:12月23日，在深鏈財經主辦、Thor Chain和HOLD協辦的“2020年非共識大會暨DeepChain年度影響力頒獎典禮”上，FTX聯合創始人SBF發表演講。SBF表示，在2019年末，DeFi只是加密生態系統中很小的一部分，今年卻突然成為了行業的焦點。當燃起的“火苗”引起人們的注意后，越來越多的人才開始注意到DeFi，并開始扎堆涌入。DeFi有很大潛力，但目前的公鏈性能卻難以支撐DeFi的大規模發展，以太坊網絡甚至很難承載單一的中心化交易所的交易量，更不用談及整個DeFi生態系統。鑒于這些限制，整個DeFi的施展空間是十分有限的。[2020/12/24 16:21:30]

每個ERC20代幣都有一個transferFrom()函數是用于負責傳輸代幣的。你可以調用這個函數來創建一個iToken并將其傳遞給自己，從而允許你人為地增加余額。下面是攻擊涉及的技術細節：使用相同的_from和_to地址調用了傳輸函數；用相同的參數調用Immediately_internalTransferFrom；下面的代碼行存在故障：

幣贏CoinW平臺DeFi幣種 OIN領漲:據幣贏行情數據顯示，截止今日10:00（GMT+8），平臺內DeFi幣種今日UNC領漲，今日漲幅為41.12%，現價0.3923USDT；PUCKLE今日漲幅13.4%，現價57.9956USDT；UNC今日漲幅11.76%，現價0.0124USDT；REN今日漲幅為11.71%，現價0.2549USDT。風險提示：近期行情波動較大，請注意控制風險[2020/9/27]

OKEX開啟6大DeFi項目充值上線:據官方消息，OKEx熱門DeFi項目充值上線專場活動將于9月21日20:00上線6大EOS熱門DeFi項目。參與本次充值上線的項目為：Defibox (BOX)、Defis (DFS)、DMD (DMD)、Organix (OGX)、Newdex Token(NDX)、TokenPocket(TPT)。

據了解，在充值投票期間，用戶可充值項目代幣至OKEx賬戶或生成錢包地址進行投票，平臺將根據充值人數與生成錢包地址數之和進行排名，排名前2的項目即符合上線條件。此外，社區呼聲或助力人數達到2000的項目，平臺將考慮在活動期間內優先安排上線。針對符合上線條件的項目，OKEx將在完成技術對接后第一時間上線并開通交易。

公開資料顯示，Defibox (BOX)是EOS上專業的一站式DeFi應用平臺；Defis (DFS)是人人皆可參與、共建、共享的開放式金融基礎設施；DMD (DMD)是EOS的DeFi明星項目，DMD以比特幣和YFI的形式發放。此外，Organix (OGX)是 EOS上鑄造和交易各種合成資產的協議，Newdex Token(NDX)是基于EOS主網發行的生態通證；TPT是TokenPocket生態中代表TP用戶以及開發者權益的應用型通證，是連接錢包、用戶以及項目開發者的重要紐帶。[2020/9/21]

當_from和_to地址相同時，會導致_balancesFrom和_balancesTo相等。

當前DeFi鎖定資產總價值超40億美元關口:金色財經報道，DeBank數據顯示，以太坊DeFi總鎖倉量突破40億美元大關達40.68億美元，自市場掀起流動性挖礦浪潮以來，本月已經連續突破20億，30億，40億美元三座大山，具體來看，Maker以8.28億美元排在首位、Compound鎖定資產總價值5.98億美元、Synthetix鎖定資產總價值為5.78億美元。注：總鎖倉量（TVL）是衡量一個DeFi項目使用規模時最重要的指標，通過計算所有鎖定在該項目智能合約中的ETH及各類ERC-20代幣的總價值（美元）之和而得到。[2020/7/25]

那么上面的問題導致_balancesFrom余額的減少，并增加_balancesTo的余額，最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻擊者就能夠有效地人工增加自己的余額。然后，下面就是補丁代碼：

這可以防止攻擊者增加自己的余額，據悉，修補后的代碼已被發送給Peckshield和Certik進行審查，而雙方都批準了這些更改。安全事故造成近800萬美元債務

盡管，bZx代碼漏洞很快得到了解決，但這次安全事故確實造成了協議很大的損失，根據官方公布的信息顯示，這次事件導致了以下這些債務：219,199.66LINK4,502.70ETH1,756,351.27USDT1,412,048.48USDC667,988.62DAI以當前市場價計算，這些損失的代幣的價值達到了800萬美元。

審計并不是靈丹妙藥

根據Bzx團隊公開的信息顯示，該協議此前已經過安全公司Peckshield及Certik的嚴格審計，其中Peckshield對bzx協議的審計用到了12人周的工作量，而Certik則花費了7人周的工作量。此外，bzx協議團隊還進行了廣泛的自動化測試，不幸的是，審計并不是靈丹妙藥。而在這次安全事件中，由于bzx協議團隊控制了管理密鑰，因而能夠及時地應對這一事件，否則損失問題將會更大。顯然，這次事故再次為我們敲響了DeFi安全性的警鐘，即便是得到審計公司的把關，也無法確保代碼不存在漏洞，而近期涌現出來的大量新DeFi項目，它們的安全隱患顯然要更大。最后，一首涼涼，送給流動性挖礦。

Tags：DEFEFIDEFIBZXdeFIREDeFi ForgeEarn DeFi CoinBZX價格

火幣APP