Protokół DeFi bZx zhackowany. Skradziono krypto o wartości 8 mln dolarów.

Platforma handlowa oraz pożyczkowa zdecentralizowanych finansów - bZx, stała się celem kolejnego ataku hakerskiego. Tym razem hakerom udało się zdobyć kryptowaluty o wartości 8 milionów dolarów. Protokół pożyczkowy DeFi - bZx, został ponownie zaatakowany przez hakerów. Tym razem złodziejom, którzy skorzystali z błędu powielania (duplication bug), udało się ukraść nieco ponad 8 milionów dolarów w kryptowalutach. Hakerom udało się zdobyć 219 199,66 LINK, 4 502,70 ETH, 1 756 351,27 USDT, 1 412 048,48 USDC oraz 667 988,62 DAI. Członek zespołu bZx, Anton Bukov, udostępnił na Twitterze post, w którym przyznał, że wadliwa linia kodu w smart kontrakcie, doprowadziła do tego, że hakerzy zainicjowali serię powielonych transakcji iToken w celu kradzieży ETH:

We compared source code on @etherscan before and after the fix applied://t.co/YlWHs15SiU//t.co/fCiMfdv2k4//t.co/ARdaLFCAns pic.twitter.com/B0wEHAQf6d

— Anton Bukov | k06a.eth (@k06a) September 13, 2020

Jak do tego doszło?

Oficjalny raport z incydentu bZx ujawnił, że hakerzy wykorzystali lukę w funkcji "transferFrom()", która umożliwia transfer tokenów ERC20 z jednego protokołu do drugiego.

Hakerzy wywołali tą funkcję, w celu utworzenia i przeniesienia tokenów iToken do swojego portfela, co pozwoliło na sztuczne zwiększenie salda.

Mówiąc dokładniej:

• Atakujący wywołali funkcję transferu z tym samym _from i _to adresu oryginalnej funkcji.
• Następnie wywołali funkcję '_internalTransferFrom' z tym samym zestawem argumentów, przez co poniższe linie kodu stały się błędne.

• To spowodowało, że _balanceFrom _balanceTo stał się równy.

To z kolei umożliwiło hakerom "zmniejszenie salda _balancesFrom i zwiększenie salda _balancesTo". Zgodnie z raportem:

Użytkownik był w stanie sztucznie zwiększyć swój stan konta.

bZx naprawił już błędny kod i stworzenie sztucznego salda nie jest już możliwe. Wiodąca platforma pożyczkowa DeFi dostała zielone światło od firm audytorskich Certik i PeckShield