Уязвимость позволила хакерам вывести из DeFi-протокола bZx более $8 млн

Разработчики bZx уже закрыли уязвимость, которая позволяла дублировать токены iToken. Специалисты утверждают, что средства пользователей находятся в безопасности.

В результате кибератаки из DeFi-протокола bZx было выведено порядка $8 млн. Проект был атакован в ночь с 12 на 13 сентября, хакеры использовали уязвимость в смарт-контракте протокола, которая позволяла дублировать токены iToken.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Внимание специалистов bZx привлекло внезапное снижение объема зарегистрированных на платформе активов. Через три часа им удалось выяснить, что произошел «инцидент с дублированием», который затронул несколько токенов iToken. 

iToken — один из ключевых элементов системы кредитования bZx. Когда пользователь предоставляет средства под нужды глобального пула ликвидности, взамен он получает именно эти токены. iToken удостоверяют право держателя на средства, внесенные в пул, и проценты, начисленные за их использование. 

Соучредитель децентрализованной биржи 1inch.exchange Антон Буков обнаружил девять вредоносных транзакций с токеном iETH. Хакерам удалось продублировать 101 778 iETH, стоимость которых оценивается примерно в 4 700 ETH (примерно $1,74 млн). Для этого они использовали баг функции transferFrom (), который позволял передавать токены самому себе.

По данным The Block, уязвимость в смарт-контракте также позволила хакерам выпустить 219 200 токенов LINK (оцениваются в $2,6 млн), 1 756 351 USDT, 1 412 048 USDC и 667 989 DAI (примерно $680 тыс.). Таким образом ущерб от действий злоумышленников составил более $8 млн. Вместе с тем bZx заявляет, что средства ее пользователей находятся в безопасности, а убытки полностью покрывает страховой фонд платформы. 

Ведущий разработчик Bitcoin.com Марк Тален на свой странице в Twitter пишет, что именно он первым обнаружил уязвимость bZx. По словам специалиста, под угрозой находятся активы стоимостью $20 млн. Чтобы проверить эксплойт, Тален создал заем на 100 USDC, получил iUSDC и отправил их самому себе, продублировав средства. Аналогичным образом он выставил требование на $200.

Разработчики bZx уже закрыли уязвимость. Компании Peckshield и Certik провели повторный аудит смарт-контракта и не выявили критических багов. Стоит отметить, что за последний год это уже третий инцидент с кражей средств из bZx.

В феврале злоумышленники провели две атаки на протокол. 15 февраля преступники, используя уязвимость во флэш-займах, вывели из протокола $350 тыс. Через несколько дней хакеры атаковали bZx повторно — посредством «манипуляций с оракулом» они вывели $640 тыс. 

← Назад Поделиться:

Рекомендации

Один из крупнейших коммерческих банков Таиланда запустит DeFi-инкубатор и NFT-маркетплейс

Евгения Лиходей2 мин
Неизвестные вывели из DeFi-протокола Indexed Finance активы на $16 млн – обновлено

Разработчики еще не определились со стратегией возмещения убытков.

Евгения Лиходей2 мин

SushiSwap опровергает сообщения о баге, который может привести к потере миллиарда долларов

Хакер утверждает, что ему не выплатили вознаграждение за находку.

Новости2 мин

С платформы MISO компании SushiSwap похищена криптовалюта на $3 млн

Хакер подменил адрес кошелька при создании NFT-аукциона.

Елена Семенова2 мин

Инвесторы обвинили Cream Finance в экзит-скаме: проект взламывали дважды за 2021 год – обновлено

Представители проекта рассказали о потере крупной суммы в результате эксплойта.

Евгения Лиходей2 мин

SushiSwap избежал потери $350 млн благодаря исследователю из Paradigm

Если бы уязвимость обнаружил злоумышленник, взлом мог бы стать одним из крупнейших в истории крипторынка.

Елена Семенова2 мин