Le Protocole DeFi BZx Piraté À Nouveau: 8 Millions De Dollars D’ETH, LINK, Stablecoins Drainés

Dans une autre attaque à part entière, les pirates ont réussi à se débarrasser de fonds cryptographiques d’une valeur de plus de 8 millions de dollars du protocole de prêt DeFi bZx.

Dans une autre secousse pour la communauté de la finance décentralisée (DeFi), la plate-forme de prêt et de négociation basée sur la marge et l’effet de levier, bZx est devenue la cible d’un autre piratage. Dans le hack, qui était beaucoup plus important que les attaques précédentes, les pirates se sont emparés de 8 millions de dollars de crypto-monnaies.

Les hackers bZx infligent 8 fois plus de dégâts au protocole DeFi cette fois

Le protocole de prêt DeFi bZx a de nouveau été attaqué. Cette fois, les pirates ont drainé un peu plus de 8 millions de dollars de crypto-monnaies en tirant parti d’un bug de duplication qui leur a permis de se débarrasser de 219199,66 LINK, 4502,70 ETH, 1756351,27 USDT, 1412 048,48 USDC, 667 988,62 DAI.

Anton Bukov, membre de l’équipe bZx, a partagé un fil de discussion sur Twitter, dans lequel il a admis qu’une ligne de code défectueuse dans le contrat intelligent a conduit des pirates informatiques à lancer une série de transactions de duplication iToken pour voler de l’ETH:

  • Les pirates ont invoqué une fonction de transfert avec le même  _de  et  _To  adresse de la fonction d’ origine.
  • Ensuite, ils ont immédiatement appelé une fonction ‘_internalTransferFrom’ avec le même ensemble d’arguments, rendant les lignes de code ci-dessous défectueuses.

Cela a abouti à  _balancesFrom _balancesTo  étant égal.

Ceci, à son tour, a permis aux attaquants de « diminuer l’équilibre de _balancesFrom et d’augmenter l’équilibre de _balancesTo». Selon le rapport:

L’utilisateur a effectivement pu augmenter artificiellement son solde.

bZx a corrigé le code défectueux après le vol de 8 millions de dollars. Le correctif a fixé le « mouvement des soldesTo étant fixé après la déduction des soldes [_from]»,  empêchant effectivement quiconque de gonfler artificiellement son solde.

Le principal protocole de prêt DeFi est allé de l’avant et a appliqué le correctif après que les sociétés d’audit de code Certik et Peckshield ont donné le feu vert.

Pas la première attaque sur bZx

Il semble que cette année ne soit pas une bonne année pour bZx. Comme  PassionCrypto l’a  rapporté , un pirate informatique a porté deux coups consécutifs et a volé 1 million de dollars en ETH.

Dans le premier qui s’est produit le 14 février, l’attaquant a utilisé différentes méthodes dans les deux attaques. Dans le premier, il a emprunté 10 000 ETH à dYdX. Sur les 10 000 ETH, 5 500 ETH ont été utilisés pour garantir un prêt de 112 wBTC sur Compound.

Ensuite, le voleur en ligne a dépensé 1300 ETH pour ouvrir une position courte ETH / BTC à effet de levier 5x sur la plate-forme de trading Fulcrum de bZx, tout en empruntant 5637 ETH via Kyber. Il a échangé ce montant contre 51 wBTC, provoquant un sérieux dérapage.

En échangeant le 112 wBTC de Compound contre 6 671 ETH, le pirate a réalisé un bénéfice de 1 193 ETH, soit environ 318 000 $ (compte tenu des prix alors).

La deuxième qui a eu lieu le 18 février a vu l’attaquant tirer parti de la “ manipulation d’oracle ” pour jouer avec le système et drainer environ 600000 $.

Laisser un commentaire