比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > DYDX > Info

EFI:DeFi協議bZx再次遭遇攻擊,損失超過800萬美元

Author:

Time:1900/1/1 0:00:00

編者按:本文來自巴比特資訊,編譯:隔夜的粥,星球日報經授權發布。北京時間9月14日消息,DeFi借貸協議bZx再次遭到攻擊,而這次攻擊共造成了大約800萬美元的損失,據bZx聯合創始人KyleKistner最初提到稱:“這似乎是一次預言機操縱攻擊。”在攻擊被發現后,bZx團隊立即使用管理密鑰暫停了協議,據悉這次攻擊交易利用了閃電貸和Synthetix,“但它不會影響Synthetix系統,盡管它確實涉及了sUSD,”bZx在twitter上寫道。而bZx官方在最新公布的安全報告中提到稱:“由于一次代幣重復事件,協議保險基金暫時累積了一筆債務。除了協議現金流外,保險基金還會得到代幣庫的支持。”以下是這次安全事故的時間線:bZx團隊注意到協議鎖定值出現了異常變動;發現iToken合約有異常,該異常的發生與_internalTransferFrom()函數相關;在確定修復方案后,iToken的鑄造和燃燒被暫停;受影響的iToken合約的新版本得到部署,余額得到更正;團隊將補丁代碼發送給派盾和Certik進行審查;iToken的鑄造及燃燒恢復;攻擊技術細節

Kusama DeFi平臺Karura網絡將進行Runtime升級:9月17日消息,根據Karura鏈上顯示,Karura最新Runtime升級預計將在北京時間12點左右開始,整體升級時間大約30-60分鐘。在升級期間轉賬與Karura Swap的交易在內的操作不會暫停,包括借貸、流動性添加提取以及流動性挖礦等功能將暫停使用。當Runtime升級完成后,Polkawallet版本2.3.4之前的用戶請務必更新至最新版本,否則無法看到自己的資產數據。[2021/9/17 23:31:56]

每個ERC20代幣都有一個transferFrom()函數是用于負責傳輸代幣的。你可以調用這個函數來創建一個iToken并將其傳遞給自己,從而允許你人為地增加余額。下面是攻擊涉及的技術細節:使用相同的_from和_to地址調用了傳輸函數;用相同的參數調用Immediately_internalTransferFrom;下面的代碼行存在故障:

DeFi 概念板塊今日平均跌幅為6.82%:金色財經行情顯示,DeFi 概念板塊今日平均跌幅為6.82%。47個幣種中6個上漲,41個下跌,其中領漲幣種為:YFII(+17.87%)、YFI(+15.70%)、UMA(+12.85%)。領跌幣種為:SWFTC(-16.37%)、BZRX(-16.21%)、KCASH(-15.82%)。[2021/5/11 21:47:00]

DeFi一周數據速覽(3.8-3.14):金色財經報道,據歐科云鏈OKLink數據顯示,本周漲幅前三的幣種為:RAMP日漲幅104.7%,鎖倉量3532.47萬美元(+62.95%);Frax7日漲幅99.3%,鎖倉量2.47億美元(+26.52%);Terra7日漲幅83.2%,鎖倉量2.93億美元(+22.98%);此外,當前以太坊上穩定幣流通總量達到389.7億美元。更多數據見下圖。[2021/3/15 18:46:34]

當_from和_to地址相同時,會導致_balancesFrom和_balancesTo相等。

EthHub聯合創始人:DeFi已經取代了CeFi:7月17日,EthHub聯合創始人Eric Conner發推稱,想知道有多少反對DeFi的人從未使用過它。對我來說,有人使用DeFi一個星期卻沒有感覺到一瞬間頓悟,這似乎是不可能的。DeFi已經取代了CeFi(傳統金融)。Eric Conner稱,對于DeFi,開放這個詞最有意義。任何人都可以建設,沒有人可以阻止你。[2020/7/17]

那么上面的問題導致_balancesFrom余額的減少,并增加_balancesTo的余額,最后最重要的部分是保存_balancesFromNew和_balancesToNew。那么攻擊者就能夠有效地人工增加自己的余額。然后,下面就是補丁代碼:

這可以防止攻擊者增加自己的余額,據悉,修補后的代碼已被發送給Peckshield和Certik進行審查,而雙方都批準了這些更改。安全事故造成近800萬美元債務

盡管,bZx代碼漏洞很快得到了解決,但這次安全事故確實造成了協議很大的損失,根據官方公布的信息顯示,這次事件導致了以下這些債務:219,199.66LINK4,502.70ETH1,756,351.27USDT1,412,048.48USDC667,988.62DAI以當前市場價計算,這些損失的代幣的價值達到了800萬美元。

審計并不是靈丹妙藥

根據Bzx團隊公開的信息顯示,該協議此前已經過安全公司Peckshield及Certik的嚴格審計,其中Peckshield對bzx協議的審計用到了12人周的工作量,而Certik則花費了7人周的工作量。此外,bzx協議團隊還進行了廣泛的自動化測試,不幸的是,審計并不是靈丹妙藥。而在這次安全事件中,由于bzx協議團隊控制了管理密鑰,因而能夠及時地應對這一事件,否則損失問題將會更大。顯然,這次事故再次為我們敲響了DeFi安全性的警鐘,即便是得到審計公司的把關,也無法確保代碼不存在漏洞,而近期涌現出來的大量新DeFi項目,它們的安全隱患顯然要更大。最后,一首涼涼,送給流動性挖礦。

Tags:EFIDEFIDEFBZXDeFiDropDefiBoxDEFCbZx Vesting Token

DYDX
DEF:對話Dovey Wan:流動性挖礦進入下半場,DeFi如何續寫新篇章?

2020年6月至今,DeFi已經持續火熱了數月,流動性挖礦項目輪番登場。在一波波的暴富效應之下,如何看待和區分流動性挖礦項目?DeFi還有哪些合適的參與機會?背后有哪些風險?9月23日,OKEx.

1900/1/1 0:00:00
UNI:美國證券律師詳解:Uni代幣究竟是不是證券?

編者按:本文來自巴比特資訊,作者:美國證券律師PhilLiu,編譯:Apatheticco,星球日報經授權發布.

1900/1/1 0:00:00
比特幣:用數據告訴你,BTC的去中心化程度到底如何?

編者按:本文來自加密谷Live,作者:KarimHelmy&theCoinMetricTeam,翻譯:Olivia,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
比特幣:神馬下一代礦機M50S或在年底發布 30J/T左右,繼續使用三星8nm

吳說區塊鏈獲悉,神馬下一代主力礦機M50S已在年初開啟研發,可能將在年底發布試產,明年年初開始銷售期貨,在年中交付.

1900/1/1 0:00:00
DEF:當DeFi遇上維權,監管如何創新?

編者按:本文來自深潮TechFlow,作者:杜蘭特,Odaily星球日報經授權轉載。正當DeFi代幣紛紛開啟跳水表演時,維權聲漸漸多了。而DeFi摧毀區塊鏈傳統體系的同時,也為維權帶來了新挑戰.

1900/1/1 0:00:00
DEFI:透過Defibox看EOS DeFi的發展歷程

編者按:本文來自阿華區塊鏈,Odaily星球日報經授權轉載。在今年的加密貨幣市場中,DeFi無疑是其中最大的一個熱點之一,Compound發行治理型代幣COMP并開啟了借貸挖礦模式則徹底引爆了D.

1900/1/1 0:00:00
ads