Проект из сферы децентрализованных финансов (DeFi) bZx в очередной раз подвергся атаке злоумышленников.
Разработчики протокола децентрализованного кредитования сообщают, что изначально их внимание привлекло внезапное снижение объема зафиксированных активов. Спустя 3 часа после начала расследования им удалось подтвердить «инцидент с дупликацией», затронувший несколько токенов iToken.
⚠️ 📢 UPDATE:
1/ At 3:28 AM EST we began investigating a drop in the protocol TVL. By 6:18 AM EST we confirmed that a duplication incident had occurred with several of the iTokens.
— bZx (@bZxHQ) September 13, 2020
В связи с этим была временно остановлена возможность внесения и вывода активов из кредитования. «Метод дупликации был исправлен в коде контракта iToken, а протокол вернулся в режим нормального функционирования», – написали они.
Сооснователь 1inch.exchange Антон Буков обнаружил 9 транзакций с токеном iETH, приведших к дупликации 101 778 iETH стоимостью около 4 700 ETH или $1,7 млн по текущему курсу.
Our small investigation thread (with @semenov_roman_) on @bZxHQ "duplication incident".https://t.co/en6LGTnW5z
— Anton Bukov | k06a.eth (@k06a) September 13, 2020
bZx в отдельной публикации заверили пользователей, что их активы остаются в безопасности, а выводить деньги с платформы нет необходимости. Покрытие убытков было осуществлено при помощи собственного фонда страхования протокола.
Разработчики объясняют, что каждый ERC20-токен имеет функцию transferFrom(), отвечающую за его передачу. Из-за бага хакер смог воспользоваться этой функцией для создания и передачи токенов iToken самому себе, что позволило ему неправомерно увеличить остаток по счету.
Исправленная версия кода уже была проверена аудиторскими фирмами Peckshield и Certik. Ранее они же проводили интенсивное тестирование кода bZx, но, как заявляет сам проект, «аудиты – это не панацея».
Это уже третья атака на bZx с начала текущего года. Совокупные убытки от двух первых составили около $1 млн.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме