比特儿官网 gate.io
比特儿官网 gate.io
然后bZx的联合创始人Kyle J Kistner发表了博客,说协议的TVL在北京时间9月13日出现了异常波动,然后团队通过研究发现了一些iToken的重复。于是bZx暂停了贷款服务。凯尔J基斯特纳说,这种脆弱性不受贷款和交易的影响。受影响的iToken 合约的新版本已部署,重复项已更正。
这是bZx历史上第三起“黑天鹅事件”。早在今年2月,bZx就遭遇了两次攻击。
2月15日bZx出现漏洞,被别人利用。攻击者通过闪贷向bZx借了ETH后,获利1000多ETH。随后,平台暂停贷款和交易,部署升级方案。
2月18日,BZX发推说,“鉴于使用可疑贷款和在Synthetix上交易的可疑交易,暂停按钮被再次按下。”不到6小时前完成的另一笔交易的细节被社区分享,导致损失2388 ETH(64万)。
据相关报道:1inch联合创始人安东布科夫发推称,攻击者在此次事件中窃取了约4700个ETH。
bZx是什么?
简单来说:bZx是一个分散的DeFi协议,用来构造借贷和保证金交易。
(图片来源:bZx官网)
根据网上公开信息:
bZx协议中有两个DeFi 产品,即支点和扭矩。你可以在支点平台上借入和交易保证金,而扭矩平台提供固定利率的无限期贷款。在最新版本中,bZx支持新功能,如闪电贷款、流动性挖掘、抵押管理、燃气代币集成、订单记录和清算引擎。
(图片来源:bZx官网)
今年7月13日,bZx宣布发布其代币BRZX。小组决定将指定的代币置于4年合约的锁定期内,最短有效期限为6个月,从代币发布时间(7月13日)开始。该团队决定将分配公开发售的代币锁定4年合约,最短有效期限为6个月,从代币发布时间(7月13日)开始,也就是说,最早将在明年1月解锁部分代币。
bZx被中继用来收取交易费用,代币持有者有权决定如何升级BZX协议。BZRX现在已经切换到ChainLink的预测机,一些平台佣金将被放入一个“保险基金”池,旨在减少智能合约漏洞造成的损失。
正是这个“保险基金”池在这个漏洞中发挥了作用。
结合bZx协议的漏洞事件
1.bZx团队注意到TVL的异常变化;
2.我在iToken 合约中发现一个异常,与_internalTransferFrom()函数有关;
3.确定修复方案后,伊藤忠的铸烧暂停(不影响借贷和交易);
4.受影响的iToken 合约新版本已部署,余额已更正;
5.团队将补丁代码发送给Peckshield和Certik审核;
6.伊藤的铸造和燃烧回收;
另外,9月14日,根据对bZx协议的攻击,1inch的联合创始人Anton bukov表示,我们发现前两天有人发现了这个漏洞,将他的余额增加到1.536亿iusdt,并开始从usdt池中取出,直到1.519亿iusdt被销毁。bZx协议管理员好像被盗了170万美元。
Ethereum 评论的开发者RomanSemenov说,bZx协议管理员利用后门将其代币更新到未经验证的状态,这样他们就可以破坏任何用户的资金。然后在破坏了一部分参与黑客活动的用户的资金后,用bug修复更新到正常状态。