W dniu 5 listopada haker zdołał ukraść tokeny BZRX i inne cyfrowe aktywa na BSC i Polygon, używając kluczy prywatnych bZx, które uzyskał w ataku phishingowym. Atakujący był następnie w stanie zdeponować skradzione BZRX jako zabezpieczenie, aby zaciągnąć pożyczkę w zamian za inne fundusze na protokole.
bZx jest protokołem L2 DeFi margin lending, który działa na Ethereum, Polygon i BSC. Wdrożenie, zarządzanie i skarbiec DAO na Ethereum nie zostały naruszone przez atak phishingowy, podobnie jak smart kontrakt bZx.
Atak dał hakerowi klucze do wdrożeń Polygon i BSC protokołu bZx i dotknął pożyczkodawców, pożyczkobiorców i rolników, a także tych, którzy udzielili nieograniczonych zgód na te kontrakty. Środki zostały następnie usunięte z wdrożenia bZx przez BSC i Polygon.
Audytorzy ekosystemu blockchain, Slowmist, oszacowali wartość utraconych środków na około 55 mln USD
Oś czasu ataku
Firma bZx opublikowała wstępny raport dotyczący metody ataku, osi czasu i reperkusji. Początkowo naruszona została fraza mnemoniczna portfela.
bZx został powiadomiony o ujemnym saldzie na koncie użytkownika i że wskaźniki wykorzystania były wysokie. Następnie zespół ustalił, że na Polygon i BSC miały miejsce podejrzane działania i wyśledził skradzione środki na adresy portfeli. Napastnik przeniósł skradzione środki do portfeli Binance, KuCoin i Circle, które zostały powiadomione w celu podjęcia odpowiednich działań.
Etherscan, narzędzie do przeglądania danych na temat wszelkich oczekujących lub potwierdzonych transakcji na blockchainie Ethereum, ujawniło adresy portfeli zawierających skradzione środki.
Polygon:
0xafad9352eb6bcd085dd68268d353d0ed2571af89 (2 miliony BZRX)
BSC:
0x74487eed1e67f4787e8c0570e8d5d168a05254d4 (10 mln BZRX)
0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (2,5 mln BZRX)
0x0ACC0e5faA09Cb1976237c3a9aF3D3d4b2f35FA5 (Główny portfel hakerów)
Ethereum:
0x74487eed1e67f4787e8c0570e8d5d168a05254d4 (10 mln BZRX)
0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (12 mln BZRX)
0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (82K BZRX)
0x74487eEd1E67F4787E8C0570E8D5d168a05254D4 (4 mln ETH, główny portfel hakerów)
0x1ae8840ceaef6eec4da1b1e6e5fcf298800b46e6 (USDT został zamrożony, portfel hakerów)
0xAfad9352eB6BcD085Dd68268D353d0ed2571aF89 ($1.4 mln DAI, $243K USDC, $15m ETH, portfel hakerów)
0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (2 mln ETH, portfel hakerów)
0x6abcA33faeb7deb1E61220e31054f8d6Edacbc81 (1,5 mln BZRX, portfel hakerów, transakcje wewnętrzne z KuCoin)
0x1Ae8840cEaEf6EeC4dA1b1e6e5FCf298800b46e6 (Haker wysłał środki z KuCoin na ten adres)
Odpowiedź bZx
bZx twierdzi, że współpracuje z organami ścigania, giełdami i śledczymi w celu zidentyfikowania sprawcy i odzyskania skradzionych środków. Ponownie uruchamia wdrożenia Polygon i BSC pod kontrolą Zdecentralizowanej Organizacji Autonomicznej (DAO) i opracowuje plan rekompensaty dla poszkodowanych użytkowników.
Opublikowano również wiadomość do atakującego, zachęcając go do zwrotu skradzionych środków w zamian za nagrodę. Użytkownikom przypomina się, aby wycofali wszelkie zatwierdzenia kontraktów bZx na Polygon lub BSC.
Wcześniejszy atak bZx w lutym 2020 roku spowodował kradzież 500 000 dolarów w ETH. Po tym wydarzeniu zespół protokołu pożyczkowego DeFi pracował nad wzmocnieniem bezpieczeństwa na L2, pozwalając na zewnętrzny audyt głównego protokołu.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.