Уязвимость позволила хакерам вывести из DeFi-протокола bZx более $8 млн

Разработчики bZx уже закрыли уязвимость, которая позволяла дублировать токены iToken. Специалисты утверждают, что средства пользователей находятся в безопасности.

В результате кибератаки из DeFi-протокола bZx было выведено порядка $8 млн. Проект был атакован в ночь с 12 на 13 сентября, хакеры использовали уязвимость в смарт-контракте протокола, которая позволяла дублировать токены iToken.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Внимание специалистов bZx привлекло внезапное снижение объема зарегистрированных на платформе активов. Через три часа им удалось выяснить, что произошел «инцидент с дублированием», который затронул несколько токенов iToken. 

iToken — один из ключевых элементов системы кредитования bZx. Когда пользователь предоставляет средства под нужды глобального пула ликвидности, взамен он получает именно эти токены. iToken удостоверяют право держателя на средства, внесенные в пул, и проценты, начисленные за их использование. 

Соучредитель децентрализованной биржи 1inch.exchange Антон Буков обнаружил девять вредоносных транзакций с токеном iETH. Хакерам удалось продублировать 101 778 iETH, стоимость которых оценивается примерно в 4 700 ETH (примерно $1,74 млн). Для этого они использовали баг функции transferFrom (), который позволял передавать токены самому себе.

По данным The Block, уязвимость в смарт-контракте также позволила хакерам выпустить 219 200 токенов LINK (оцениваются в $2,6 млн), 1 756 351 USDT, 1 412 048 USDC и 667 989 DAI (примерно $680 тыс.). Таким образом ущерб от действий злоумышленников составил более $8 млн. Вместе с тем bZx заявляет, что средства ее пользователей находятся в безопасности, а убытки полностью покрывает страховой фонд платформы. 

Ведущий разработчик Bitcoin.com Марк Тален на свой странице в Twitter пишет, что именно он первым обнаружил уязвимость bZx. По словам специалиста, под угрозой находятся активы стоимостью $20 млн. Чтобы проверить эксплойт, Тален создал заем на 100 USDC, получил iUSDC и отправил их самому себе, продублировав средства. Аналогичным образом он выставил требование на $200.

Разработчики bZx уже закрыли уязвимость. Компании Peckshield и Certik провели повторный аудит смарт-контракта и не выявили критических багов. Стоит отметить, что за последний год это уже третий инцидент с кражей средств из bZx.

В феврале злоумышленники провели две атаки на протокол. 15 февраля преступники, используя уязвимость во флэш-займах, вывели из протокола $350 тыс. Через несколько дней хакеры атаковали bZx повторно — посредством «манипуляций с оракулом» они вывели $640 тыс. 

← Назад Поделиться:

Рекомендации

Хакеры вывели из пула DeFi-протокола Pickle Finance практически $20 млн в токенах DAI

Aртем Галунoв2 мин
Ликвидацию обеспечения в DeFi-протоколе Compound могли вызвать действия хакера

Хакер мог обмануть сеть оракулов Compound, заставив ее думать, что стоимость стейблкоина DAI действительно резко выросла.

Aртем Галунoв3 мин

Команда взломанного DeFi-протокола Pickle Finance объявила о слиянии с yearn.finance

Разработчики также объявили о создании нового токена — CORNICHON. Последний предназначен для выплат компенсаций пострадавшим в ходе атаки хакера пользователям.

Aртем Галунoв2 мин

Хакеры украли стейблкоины для DeFi на $7 млн

Злоумышленники до сих пор пытаются отмыть похищенные средства.

Евгения Лиходей2 мин

Хакер атаковал проект Akropolis и вывел из его пула $2 млн в стейблкоинах DAI

Ранее Akropolis прошел два независимых технических аудита — ни одна из проверок не выявила векторы атаки, которые использовались при взломе.

Aртем Галунoв2 мин

В 2020 году хакеры вывели из DeFi-протоколов практически $100 млн

На DeFi-проекты пришлась примерно половина всех хакерских атак в криптовалютной отрасли.

Aртем Галунoв4 мин