fbpx

Protokół DeFi bZx zhackowany. Skradziono krypto o wartości 8 mln dolarów.

Zerelik Maciej
Cyberprzestępczość

Platforma handlowa oraz pożyczkowa zdecentralizowanych finansów – bZx, stała się celem kolejnego ataku hakerskiego. Tym razem hakerom udało się zdobyć kryptowaluty o wartości 8 milionów dolarów.

Protokół pożyczkowy DeFi – bZx, został ponownie zaatakowany przez hakerów. Tym razem złodziejom, którzy skorzystali z błędu powielania (duplication bug), udało się ukraść nieco ponad 8 milionów dolarów w kryptowalutach. Hakerom udało się zdobyć 219 199,66 LINK, 4 502,70 ETH, 1 756 351,27 USDT, 1 412 048,48 USDC oraz 667 988,62 DAI.

Członek zespołu bZx, Anton Bukov, udostępnił na Twitterze post, w którym przyznał, że wadliwa linia kodu w smart kontrakcie, doprowadziła do tego, że hakerzy zainicjowali serię powielonych transakcji iToken w celu kradzieży ETH:

Jak do tego doszło?

Oficjalny raport z incydentu bZx ujawnił, że hakerzy wykorzystali lukę w funkcji „transferFrom()”, która umożliwia transfer tokenów ERC20 z jednego protokołu do drugiego.

Hakerzy wywołali tą funkcję, w celu utworzenia i przeniesienia tokenów iToken do swojego portfela, co pozwoliło na sztuczne zwiększenie salda.

Mówiąc dokładniej:

  • Atakujący wywołali funkcję transferu z tym samym _from i _to adresu oryginalnej funkcji.
  • Następnie wywołali funkcję ‚_internalTransferFrom’ z tym samym zestawem argumentów, przez co poniższe linie kodu stały się błędne.
kod hack
  • To spowodowało, że _balanceFrom _balanceTo stał się równy.kod hack2

To z kolei umożliwiło hakerom „zmniejszenie salda _balancesFrom i zwiększenie salda _balancesTo”. Zgodnie z raportem:

Użytkownik był w stanie sztucznie zwiększyć swój stan konta.

bZx naprawił już błędny kod i stworzenie sztucznego salda nie jest już możliwe. Wiodąca platforma pożyczkowa DeFi dostała zielone światło od firm audytorskich Certik i PeckShield