Для протокола «кредитования» децентрализованных финансов, bZx, год не был удачным. Спустя семь месяцев после того, как bZx подвергся двум серьезным взломам, в результате которых протокол потерял более 954 тысяч долларов, он снова появляется в заголовках после того, как была обнаружена еще одна ошибка. эксплуатируемый. На этот раз потери составили более 8 миллионов долларов на депозитах пользователей или 30% от общей заблокированной стоимости bZX.
Фактически, резкое падение TVL было тем, что впервые привлекло внимание разработчиков bZx, и в твиттере говорилось, что «мы подтвердили, что произошел инцидент с дублированием нескольких токенов iToken». Вскоре выдача и выдача кредитов были приостановлены, а код контракта iToken исправлен, но хакеры, о которых идет речь, смогли использовать указанную ошибку на вышеупомянутую сумму.
Вскоре после этих обновлений bZx подготовил собственный отчет о вскрытии, в котором утверждалось, что рассматриваемая ошибка дублирования была исправлена вскоре после того, как она была проверена Peckshield и Certik, двумя очень известными охранными фирмами. Следует отметить, однако, что bZx сразу же пояснил, что
> В настоящий момент никакие средства не подвергаются риску.
Указанные средства были списаны с нашего страхового фонда. Никто, использующий в настоящее время протокол, не находится в опасности.
— bZx (@bZxHQ) 13 сентября 2020 г.
Интересно, что, по словам Марка Телана, ведущего инженера Bitcoin.com, команда, стоящая за bZx, возможно, не спешила решать возникшую проблему. Телан утверждал,
1/4 Вчера вечером я обнаружил эксплойт в BRZX. Я заметил, что пользователь может дублировать «i-токены». Под угрозой находилось 20+ миллионов долларов. Я сообщил команде, чтобы они остановили протокол, и объяснил им уязвимость. На данный момент никто из основателей не выступил. pic.twitter.com/MdJqOH2IPu
— Марк Тален (@MarcThalen) 14 сентября 2020 г.
К тому времени, когда остальная команда собралась и информация была передана, он сказал, «Злоумышленник, которого я заметил, истратил значительное количество Dai и USDC». По словам разработчика, «весь пул мог быть опустошен, если бы у злоумышленника было немного больше времени».
Этот инцидент снова поднимает вопрос о том, насколько безопасны пользовательские активы в протоколах DeFi. Однако, несмотря на плохую прессу, многие поспешили встать на защиту bZx. По словам основателя Aave Protocol Стани Кулечев,
«Недавний инцидент с @bZxHQ показал, что разветвить проще, чем сделать. У них было несколько аудитов, формальная проверка и потребовалось много времени, прежде чем они вернулись в основную сеть, но все же все усилия не гарантируют безопасности. То, что должен понимать каждый пользователь DeFi ».
Другой пользователь похвалил прозрачность bZx, твиттер,
«Я очень уважаю это.
Еще один взлом, но еще один возврат денег.
Иногда инновации обходятся дорого, но команда сильна и защищает потребителей.
Кто-то скажет: «Это DeFi, получи рект». Не bZx. «