火星链 火星链
Ctrl+D收藏火星链
首页 > MANA > 正文

COI:损失1.39亿美元,BXH 管理权限何以拱手让黑客?

作者:

时间:1900/1/1 0:00:00

10月30日,多链部署的去中心化交易应用BXH被盗,损失了价值约1.39亿美元的加密资产,此次安全事故发生在BSC链上的BXH协议,据该应用官方声明显示,以太坊、OEC链、Heco链上的BXH协议及资产未受影响,但出于安全考量,关闭了所有链上的对外服务。

事故发生后,根据区块链安全机构慢雾科技的分析,被盗前,BXH管理钱包地址出现过「赋予攻击合约管理权限」的操作,导致攻击合约通过管理权限从BXH策略池资金库将其管理的资产转出,被盗的部分资金已跨链转移。

失窃原因一出,舆论哗然,BXH不幸地以安全事故的方式反应了它的中文花名「笨小孩」。

有人想不通为何BXH能将资金管理权限「拱手让黑客」,也有人质疑该应用监守自盗,该应用的王姓主导人此前的负面信息再次被扒出。BXH其官方未就舆情进行过多回应,仅表示「私钥泄露」,并发布100万美元悬赏金招揽白帽子团队追回资金。

由于BXH已经关闭了应用的充提功能,依赖该交易所流动性的机池应用Coinwind也因安全排查而关闭了其在多条链上的充提功能,而另一个机池应用EarnDeFi则因Coinwind的充提暂停而关了充提。

Beosin:Arbitrum上的Rodeo Finance疑似遭遇攻击,损失150万美元:金色财经报道,据Beosin旗下Beosin EagleEye监控显示,Arbitrum上的杠杆收益协议Rodeo Finance疑似遭遇攻击,目前统计被盗资金约150万美元,Beosin提醒用户注意资金安全。[2023/7/11 10:48:08]

DeFi收益能「套娃」,安全事故出现时也会产生「套娃」反应。截至发稿,上述三个应用均未开放充提功能。

BXH管理权限「被黑」遭质疑

价值1.39亿美元的加密资产被盗走一天后,北京时间10月31日,BXH在官方社交媒体上公示了其在BSC链上的资金池剩余资产,包括USDT、USDC、BTC、ETH、BUSD、MDX在内,资产残值约余1.84亿美元左右。

当前BXH在BSC链上的残值剩1.84亿美元

BXH官方表示,剩余资产的提币方案将在第三方安全联合团队确认事故原因和合约安全以及调查初步问题以后,出具资产提币公告和其他补偿方案。

Delphi Ventures在Terra危机中损失1000万美元:5月19日消息,Delphi Digital在其官方博客中公布了其各个部门参与Terra的透明度。根据该博文,Delphi Ventures Master Fund在2021年第一季度在二级市场上购买了少量的LUNA代币(占资产净值的0.5%),其仅在最初购买后增加了敞口,目前处于未实现的巨额亏损中。即使以LUNA今年的最高价计算,LUNA和其他Terra资产也仅占Delphi Ventures资产净值的13%左右。在交易数量的基础上,Ventures 的交易总数中只有不到5%是与Terra生态系统相关的公司或协议。这包括Delphi Ventures在2022年2月参与了的LFG融资,Delphi Ventures在其中投资了1000 万美元,根据目前的LUNA价格,这笔资金已完全亏损。Delphi Ventures在Terra危机期间中没有出售任何 LUNA。此外,Delphi Research没有接受付费发表研究,仅通过Suberra收到的约20,000美元的UST付款,该笔资金未出售。Delphi Labs的主要资金来自Delphi Labs个人股东提供的内部资金。[2022/5/19 3:28:06]

此前的公开信息显示,去中心化交易应用BXH于今年3月初始部署于火币Heco链,曾以「短短10天内吸引了数万用户以及12亿美金的TVL」的成绩风靡DeFi火爆期;今年7月30日正式部署在BSC链上,此后又在以太坊和OEC链上「建站」。

Circle在收购及出售Poloniex的过程中损失1.56亿美元:金色财经报道,SPAC文件显示,Circle在其收购并随后出售加密货币交易所Poloniex的过程中损失了超过1.56亿美元。据悉,Circle于2018年初以约4亿美元的价格收购了Poloniex,但仅在18个月后便将其出售给了一个亚洲财团。[2021/7/9 0:37:53]

事发前的10月25日,BXH刚在BSC链上启动了借贷池挖矿功能,结果5天后就出了事儿。

区块链安全机构、BXH的审计方之一慢雾科技已在事发后给出了初步分析,据该机构情报,黑客于27日13时部署了攻击合约0x8877;接着在29日08时,BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限;30日03时,攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出;30日04时0x5614暂停了资金库。「因此,BXH本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。」

追踪也在事发后的10月30日开始了,慢雾科技于当日的北京时间16时24分公告,黑客在BSC链上的初始获利地址已将4000ETH从BSC链转移到ETH链,接着将300BTCB兑换为renBTC,跨链到了两个地址上。

分析:Rari Capital事件为首个跨链攻击 两次攻击共损失1500万美元:The Block研究分析师Igor Igamberdiev发推文称:“Rari Capital因一个复杂的开发而损失了很多资金。然而,事情并不简单,我们见证了第一个跨链攻击。黑客通过从BSC的Value DeFi中窃取vSafe获得攻击Rari的资金。5346枚BNB(约合380万美元)被盗,并被换成了1000枚ETH。攻击者在BSC上的操作如下所示:1.在PancakeSwap上创建一个伪造的代币和池,以便可以使用Alpaca Finance,并重复接下来的两个步骤。2.与Alpaca Finance进行交互,其中在调用approve()以获取假代币时,将调用有效负载,从而使攻击者可以通过Codex农场使用VSafe来获取vSafeWBNB。3.将vSafeWBNB转换为WBNB。攻击者对Rari的攻击如下所示:1.在SushiSwap上创建假代币和池,重复接下来的两个步骤。2.与Alpha Homora的交互,其中也称为有效负载,以便攻击者可以在Rari ETH池合约中获取ibETH。3.将ibETH转换为Rari ETH池中的ETH,结果,29000枚ETH(约合1110万美元)被盗,另外有17000枚ETH处于风险,之后Rari团队采取行动。两次攻击的总利润为1500万美元的ETH。DeFi协议之间的互操作性变得越来越复杂,这开辟了新的攻击媒介。这种攻击在难度上与‘Pickle Evil Jar’相似,并且将来会变得更加频繁。”

此前5月8日晚间消息,Rari Capital ETH池因与Alpha Finance集成存在漏洞被攻击。[2021/5/9 21:39:27]

如按照BXH事发后的公告,被盗资金的转移链条已经在多个安全机构的追踪中,该应用也已经发布了100万美元的悬赏公告,计划招揽白帽子团队进行资金追回。

动态 | 新西兰加密公司在遭黑客入侵损失1600万美元后申请破产:据digitaljournal消息,新西兰加密公司Cryptopia Limited,在今年1月份遭黑客入侵损失1600万美元后,目前已申请美国破产保护。该公司拥有来自全球各地的30万多个账户,[2019/5/26]

慢雾科技的「初诊」一出,网上舆论及BXH的用户纷纷表示不解,有人疑惑,BXH的钱包管理权限为何会拱手让予黑客,也有人将此质疑为项目方的监守自盗。BXH目前没有应对这些舆情,仅表示「私钥泄露」。

官方「私钥泄露」说暴露了该交易应用在私钥管理上的漏洞。DeFi领域的KOL神鱼就有疑问,私钥「为啥不多签,为啥不加时间锁」。对于这类疑惑,BXH也尚未对外给出答复,有待事后的更详细的安全分析复盘。

媒体《巴比特》援引加密资产存管服务商安全鹭说法称,加密资产的管理者需要更加重视单私钥管理中带来的安全风险,应尽快把Owner私钥升级为多签管理的方式,避免私钥单点风险。而通过链上合约多签或者MPC多签,均可以实现对Owner私钥的多签管理。

可见,私钥安全风险虽有,但也有技可施,掌管着用户上亿美元资产的BXH在私钥管理上失职了。

两个第三方机池连环关停充提

尽管事故发生在BSC版的BXH中,以太坊、OEC及Heco上的资产并未受到影响,但该应用出于安全考量,还是关闭了其在各个链上的服务功能。

BXH暂时关停服务后,DeFi「套娃」效应的暗黑一面也出现了,依赖BXH流动性的第三方机池应用CoinWind也在10月30日紧急地关停了其在BSC、Heco及以太坊链上的部分充值和提现功能。结果,另一个机池应用EarnDeFi的官方公告称,因为CoinWind暂停充提,他们也停了充提。

BXH被盗的连锁反应导致三个应用的用户们目前都无法取出存储在其中的资产。

蜂巢财经登陆CoinWind应用发现,该应用确实已经暂停了充提功能,收益虽然正常计算,但本金和收益均无法正常提取。EarnDeFi同样如此。

两个机池应用接连关闭充提

10月31日,CoinWind的公告显示,由于BXH关闭了所有主链的充提,目前CoinWind无法从BXH取回部分投放资金,故跟随暂停了Heco、BSC、ETH三条主链的充提,且相关数据暂无法准确计算。该应用表示,BXH如在确定无风险后开放Heco、ETH充提,CoinWind也将开放。现阶段,Heco、ETH主链的CoinWind用户的本币及收益未受到影响,该应用正在全力跟进BXH在BSC链本次被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。

CoinWind暂停充提后,EarnDeFi仅在用户群中通过小助手发了一纸公告,官网及官方该公告显示,由于CoinWind紧急关闭了三条链上的单币质押及DAO充提,EarnDeFi用户在ETH、BTC、USDT池的充提会受到影响。具体多少资金被波及,该公告同样没有明说。

从双方的公告看,机池应用CoinWind的投入及收益来源之一是BXH,而EarnDeFi的部分收益耕种区是CoinWind,结果,城门失火,殃及池鱼。池是机池,鱼是这些应用的用户们。

需要关注的是,很多值得深思的细节问题也在事故发生后浮出水面。

比如,CoinWind官方社群的管理员就表示,他们与EarnDeFi并无关系,双方没有合作,也从未收到过对方前来存币的对接信息,对方自事发后也没有给出与CoinWind交互的合约地址。有CoinWind用户认为,EarnDeFi在「甩锅」,仍在使用该应用的用户「要小心了」。

EarnDeFi也没对对方的说法给出更多回应,但从其自身公告看,EarnDeFi作为机池「寄生」在另一个机池的做法多少显得很懒惰,一般情况下,交易应用的挖矿池才应该是机池们获取高收益的主要来源,结果CoinWind关充提,EarnDeFi三个主流单币池就受了影响。

再比如,有用户对CoinWind将资产投入到屡受争议的BXH感到不满,「早知道是投入BXH,我就不再CoinWind存币了。」用户有此情绪皆因今年7月,BXH被多家自媒体深扒了主导成员的「不靠谱」行径,该应用的主导者王小彬被批评连续两年在区块链领域「发币、圈钱」、「10个项目全是空气」,而王小彬此前在互联网领域创业时曾出现过产品跳票不发货、公司倒闭、欠薪成老赖被限制消费等「黑历史」。

有CoinWind用户认为,将用户资产投入到团队有争议的应用中去赚取收益,已经是风险前兆。

CoinWind社群管理员针对「为什么选BXH机」作出解释称,他们对BXH做了尽职调研,包括对接入的所有其他池子都会做调研评估,BXH的审计报告没有问题,且基本是实名项目。「作为机池,我们的义务就是选择收益高且较为可靠的池子投入,这次BXH被攻击是由于私钥被盗,就CoinWind而言,这确实属于人力不可抗因素。」

BXH被盗需要反思自身的私钥管理问题,而对机池来说,至少有一些用户建议是值得这类收益管理应用们应该考虑的,特别是一个个DeFi应用都在朝着DAO发展时——公开、透明的告知用户资金配置的去向。

不要以「机密」为由敷衍用户,配资策略也许是机池的生存和竞争的壁垒,但公布资金被分配到了哪些收益耕地中并不太影响机密策略的具体执行,让用户知情权和选择权得到提前满足,这不正是区块链所倡导的精神吗?

标签:BXHCOINCOIOINbxh币总量CoinonatXScoinyunkaicoin

MANA热门资讯
Uniswap:SWASH(Swash)

項目簡介:Swash是一個工具和服務的生態系統,企業和開發人員通過數據庫來更安全地釋放數據的潛在價值,並將其通證.

1900/1/1 0:00:00
QFI:中币关于上线AUCTION(Bounce Token)的公告

尊敬的中币用户:????中币将于香港时间2021年10月28日上线AUCTION。具体安排如下:????1、2021年10月28日16:00开放AUCTION充值;????2、2021年10月2.

1900/1/1 0:00:00
PAY:ARPG 游戏 Project SEED 完成 310 万美元私募融资,Huobi Ventures 等参投

链闻消息,ARPG游戏ProjectSEED完成310万美元私募融资,HuobiVentures、SolarEcoFund、Cipholio、SolanaCapital、BlackEdgeCap.

1900/1/1 0:00:00
BIT:BitMart首发上线KING SHIBA (KINGSHIB)

亲爱的BitMart用户:BitMart将于2021年11月5日首发上线代币KINGSHIBA(KINGSHIB)。届时将开通KINGSHIB/USDT交易对.

1900/1/1 0:00:00
BOT:知情人士:NYDIG以约3亿美元收购英国支付公司Bottlepay

本文来自TheBlock,原文作者:RyanWeeksOdaily星球日报译者|余顺遂加密托管和投资公司NYDIG收购一家专注于比特币闪电网络的英国支付初创公司.

1900/1/1 0:00:00
DAO:揭开 FWB DAO 的神秘面纱:创造世界的下一个版本

原文标题:《神秘FWBDAO–思考世界的下个版本》原文作者:王超原文来源:EmpowerLabsFriendsWithBenefits,直译为「有好处的朋友们」.

1900/1/1 0:00:00