Разработчики bZx уже закрыли уязвимость, которая позволяла дублировать токены iToken. Специалисты утверждают, что средства пользователей находятся в безопасности.
В результате кибератаки из DeFi-протокола bZx было выведено порядка $8 млн. Проект был атакован в ночь с 12 на 13 сентября, хакеры использовали уязвимость в смарт-контракте протокола, которая позволяла дублировать токены iToken.
Читайте Bloomchain через любимые соцсети: Telegram, VK, FB
Внимание специалистов bZx привлекло внезапное снижение объема зарегистрированных на платформе активов. Через три часа им удалось выяснить, что произошел «инцидент с дублированием», который затронул несколько токенов iToken.
iToken — один из ключевых элементов системы кредитования bZx. Когда пользователь предоставляет средства под нужды глобального пула ликвидности, взамен он получает именно эти токены. iToken удостоверяют право держателя на средства, внесенные в пул, и проценты, начисленные за их использование.
Соучредитель децентрализованной биржи 1inch.exchange Антон Буков обнаружил девять вредоносных транзакций с токеном iETH. Хакерам удалось продублировать 101 778 iETH, стоимость которых оценивается примерно в 4 700 ETH (примерно $1,74 млн). Для этого они использовали баг функции transferFrom (), который позволял передавать токены самому себе.
По данным The Block, уязвимость в смарт-контракте также позволила хакерам выпустить 219 200 токенов LINK (оцениваются в $2,6 млн), 1 756 351 USDT, 1 412 048 USDC и 667 989 DAI (примерно $680 тыс.). Таким образом ущерб от действий злоумышленников составил более $8 млн. Вместе с тем bZx заявляет, что средства ее пользователей находятся в безопасности, а убытки полностью покрывает страховой фонд платформы.
Ведущий разработчик Bitcoin.com Марк Тален на свой странице в Twitter пишет, что именно он первым обнаружил уязвимость bZx. По словам специалиста, под угрозой находятся активы стоимостью $20 млн. Чтобы проверить эксплойт, Тален создал заем на 100 USDC, получил iUSDC и отправил их самому себе, продублировав средства. Аналогичным образом он выставил требование на $200.
Разработчики bZx уже закрыли уязвимость. Компании Peckshield и Certik провели повторный аудит смарт-контракта и не выявили критических багов. Стоит отметить, что за последний год это уже третий инцидент с кражей средств из bZx.
В феврале злоумышленники провели две атаки на протокол. 15 февраля преступники, используя уязвимость во флэш-займах, вывели из протокола $350 тыс. Через несколько дней хакеры атаковали bZx повторно — посредством «манипуляций с оракулом» они вывели $640 тыс