DeFi平台bZX从一条错位的代码行中发现了800万美元的新黑客

bZX采取了所有正确的措施，但这还不够。

bZX开发的Fulcrum DeFi协议在2月份遭到一系列黑客攻击后迫使团队重新组建，最近又重新启动了该协议，该协议再次遭到黑客入侵，金额约为800万美元。

根据bZX 的事件披露，罪魁祸首是针对其“ iTokens”在合同中错误位置放置的一行代码，该令牌代表用户在所提供资产池中的份额-本质上是令牌化的存款余额。已迅速部署了修复程序，以防止进一步发生。正如1inch.exchange首席技术官Anton Bukov 强调的那样，此修复程序只是将一行代码移到了下面的几个位置。当用户通过特定功能向自己发送交易时，该错误会复制令牌。在幕后，合同简单地从发送者的交易中减去交易的价值，然后将其添加到接收者的交易中。合同创建了代表发送方和接收方初始余额的临时变量，并使用它们来更新它们。但是，在接收方和发送方相同的情况下，在设置初始余额变量后会发生相减。这意味着减法无效，因此攻击者可以随意创建新令牌。然后复制令牌被兑换为他们的抵押品，与现在的黑客“拥有”，让他们流失219,199.66池的比例要高得多LINK，4,502.70醚（ETH），1,756,351.27系绳（USDT），1,412,048.48美元硬币（USDC）以及667,988.62戴（DAI）——总价值为800万美元。 bZX团队告诉Cointelegraph，黑客周一将钱退还，并说：“由于他们的链上活动，攻击者被跟踪并确定身份，此后不久他挺身而出，并归还了被盗的资金。” 过去的经验使bZX创建了一个保险基金来支付这些“黑天鹅事件”的费用，因此，被盗硬币被记入该基金的借方，该基金通过利率获得协议收入的10％。尽管如此，支点协议是留在事件发生后锁定总值只是$ 6百万。因此，偿还该债务可能需要大量时间，并且尽管该协议遇到了这些错误，但要根据协议能否成功来进行。bZX团队通过Certik和PeckShield的多次审核以及重新启动的漏洞赏金计划，对安全实践做出了坚定的承诺。

这似乎还不够，这说明创建安全的DeFi协议比看起来要难。

(责任编辑：admin)

搜索

热门标签:

DeFi平台bZX从一条错位的代码行中发现了800万美元的新黑客