Уязвимость позволила хакерам вывести из DeFi-протокола bZx более $8 млн

Разработчики bZx уже закрыли уязвимость, которая позволяла дублировать токены iToken. Специалисты утверждают, что средства пользователей находятся в безопасности.

В результате кибератаки из DeFi-протокола bZx было выведено порядка $8 млн. Проект был атакован в ночь с 12 на 13 сентября, хакеры использовали уязвимость в смарт-контракте протокола, которая позволяла дублировать токены iToken.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Внимание специалистов bZx привлекло внезапное снижение объема зарегистрированных на платформе активов. Через три часа им удалось выяснить, что произошел «инцидент с дублированием», который затронул несколько токенов iToken. 

iToken — один из ключевых элементов системы кредитования bZx. Когда пользователь предоставляет средства под нужды глобального пула ликвидности, взамен он получает именно эти токены. iToken удостоверяют право держателя на средства, внесенные в пул, и проценты, начисленные за их использование. 

Соучредитель децентрализованной биржи 1inch.exchange Антон Буков обнаружил девять вредоносных транзакций с токеном iETH. Хакерам удалось продублировать 101 778 iETH, стоимость которых оценивается примерно в 4 700 ETH (примерно $1,74 млн). Для этого они использовали баг функции transferFrom (), который позволял передавать токены самому себе.

По данным The Block, уязвимость в смарт-контракте также позволила хакерам выпустить 219 200 токенов LINK (оцениваются в $2,6 млн), 1 756 351 USDT, 1 412 048 USDC и 667 989 DAI (примерно $680 тыс.). Таким образом ущерб от действий злоумышленников составил более $8 млн. Вместе с тем bZx заявляет, что средства ее пользователей находятся в безопасности, а убытки полностью покрывает страховой фонд платформы. 

Ведущий разработчик Bitcoin.com Марк Тален на свой странице в Twitter пишет, что именно он первым обнаружил уязвимость bZx. По словам специалиста, под угрозой находятся активы стоимостью $20 млн. Чтобы проверить эксплойт, Тален создал заем на 100 USDC, получил iUSDC и отправил их самому себе, продублировав средства. Аналогичным образом он выставил требование на $200.

Разработчики bZx уже закрыли уязвимость. Компании Peckshield и Certik провели повторный аудит смарт-контракта и не выявили критических багов. Стоит отметить, что за последний год это уже третий инцидент с кражей средств из bZx.

В феврале злоумышленники провели две атаки на протокол. 15 февраля преступники, используя уязвимость во флэш-займах, вывели из протокола $350 тыс. Через несколько дней хакеры атаковали bZx повторно — посредством «манипуляций с оракулом» они вывели $640 тыс. 

← Назад Поделиться:

Рекомендации

Coinbase Pro перестала платить комиссии за транзакции пользователей

2 дня назадAртем Галунoв3 мин
Токену Uniswap потребовались сутки, чтобы приблизиться к топ-20 криптовалют

Участники криптосообщества видят потенциал дальнейшего роста UNI.

2 дня назадЕвгения Лиходей2 мин

Торговый объем децентрализованных бирж за год вырос на 5200%

Позитивное движение реализовано на фоне роста интереса рынка к DeFi.

2 дня назадЕвгения Лиходей2 мин

Запуск токена Uniswap спровоцировал «пробку» в сети Ethereum

Майнеры Ethereum не успевают обрабатывать транзакции из-за запуска токена Uniswap

3 дня назадЕвгения Лиходей2 мин