Протокол кредитования DeFi bZx вчера вечером подвергся очередной атаке, второй за семь месяцев.

На этот раз ошибочный код был обвинен в эксплойте, который позволял хакерам дублировать активы или увеличивать их Баланс iTokens без соответствующего залога.

Ходят сообщения о том, что хакеры украли криптовалюту на сумму 8 миллионов долларов. Но Антон Бурков, Соучредитель 1inch Exchange, проанализировал соответствующий проводник DeFi, удалив повторяющиеся элементы, а также «утечки админки» bZx, и пришел к выводу, что эти отчеты сильно преувеличены.

По словам Буркова, сумма потерь из-за эксплойта дублирования приближается к 1,7 миллиона долларов. Дальнейший анализ проведен Бурков выявил уязвимость для девяти транзакций с кредитным токеном iETH на общую сумму около 4,7 тыс. Ethereum.

«Мы обнаружили 9 эксплуатирующих транзакций на $ iETH ссудный токен с 101778 $ iETH дублированы токены (стоимостью ~ 4,7 тыс. $ ETH) // @DuneAnalytics »

Протокол DeFi bZx потерял 1,7 миллиона долларов в результате последнего эксплойта

Более того, в своем заявлении bZx раскрутил инцидент, чтобы продемонстрировать надежность протокола.

«Как мы продемонстрировали ранее, система способна поглощать события« черного лебедя », которые в противном случае негативно повлияли бы на активы кредитора. Благодаря дизайну протокола, который предвидит и учитывает хвостовые события, этот инцидент можно преодолеть. Долг будет списан, и протокол будет беспрепятственно продвигаться вперед ».

Однако, учитывая количество известных эксплойтов и выходов, происходящих в DeFi в последнее время, этот последний эксплойт мало что сделал для легитимации DeFi.

Хакеры DeFi используют ошибку дублирования

Вскрытие того, что произошло, показывает несколько ошибок. Первоначально ведущий разработчик на bitcoin.com, Марк Тален, поднял тревогу, написав в Твиттере о своем открытии эксплойта дублирования DeFi.

Однако из-за разницы во времени никто на bZx не смог ответить сразу.

Тем временем Тален сам приступил к тестированию эксплойта. Он сказал, что создал ссуду в размере 100 долларов США, из которой смог получить 200 долларов США.

«2/4 Я опробовал эксплойт. Я создал заем в долларах США (100 долларов США). Отсюда я получил iUSDC. Затем я отправил это себе, практически дублируя средства. Затем я создал претензию на 200 долларов США.«

К тому времени, когда команда bZx узнала о проблеме, злоумышленник уже истощил значительную часть активов DeFi.

В ответ, bZx приостановили чеканку и сжигание iToken, пока они исследовали претензии. Затем команда применила патч к контрактам iTokens, одновременно исправив повторяющиеся балансы.

После этого возобновилась нормальная деятельность.

Что дальше для bZx?

Протокол bZx подвергся атаке в феврале использование флэш-кредитования. Злоумышленники смогли украсть 350 тысяч долларов, манипулируя потоком цен Uniswap для обернутых Биткойнов.

Однако bZx отрицает, что инцидент произошел в результате использования информации о ценах Uniswap.

В то время bZx занимал 7-е место по общему количеству заблокированных значений (TVL). Но после использования флэш-кредитования он начал падать в рейтинге DeFi.

Сегодня defipulse.com ставит bZx на 37-е место по рейтингу TVL, что значительно снизило его репутацию.

Но реальная проблема заключается в том, приведет ли сегодняшний эксплойт к дальнейшему снижению репутации.

Что касается цены токена, BZX упала на 30% за день. Однако приведет ли использование дублирования к дальнейшему снижению цен?

Дневной график цен протокола DeFi bZx

BZX daily chart with volume. (Source: tradingview.com)

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА