W SKRÓCIE

  • Na komputerze dewelopera bZx został przeprowadzony atak phishingowy.
  • W jego wyniku naruszone zostały klucze prywatne portfela dewelopera
  • Atak dotknął dewelopera oraz pożyczkodawców, pożyczkobiorców i rolników posiadających środki na Polygon i Binance Smart Chain (BSC)
  • promo

W dniu 5 listopada haker zdołał ukraść tokeny BZRX i inne cyfrowe aktywa na BSC i Polygon, używając kluczy prywatnych bZx, które uzyskał w ataku phishingowym. Atakujący był następnie w stanie zdeponować skradzione BZRX jako zabezpieczenie, aby zaciągnąć pożyczkę w zamian za inne fundusze na protokole.

bZx jest protokołem L2 DeFi margin lending, który działa na Ethereum, Polygon i BSC. Wdrożenie, zarządzanie i skarbiec DAO na Ethereum nie zostały naruszone przez atak phishingowy, podobnie jak smart kontrakt bZx.

Atak dał hakerowi klucze do wdrożeń Polygon i BSC protokołu bZx i dotknął pożyczkodawców, pożyczkobiorców i rolników, a także tych, którzy udzielili nieograniczonych zgód na te kontrakty. Środki zostały następnie usunięte z wdrożenia bZx przez BSC i Polygon.

Audytorzy ekosystemu blockchain, Slowmist, oszacowali wartość utraconych środków na około 55 mln USD

Oś czasu ataku

Firma bZx opublikowała wstępny raport dotyczący metody ataku, osi czasu i reperkusji. Początkowo naruszona została fraza mnemoniczna portfela.

bZx został powiadomiony o ujemnym saldzie na koncie użytkownika i że wskaźniki wykorzystania były wysokie. Następnie zespół ustalił, że na Polygon i BSC miały miejsce podejrzane działania i wyśledził skradzione środki na adresy portfeli. Napastnik przeniósł skradzione środki do portfeli Binance, KuCoin i Circle, które zostały powiadomione w celu podjęcia odpowiednich działań.

Etherscan, narzędzie do przeglądania danych na temat wszelkich oczekujących lub potwierdzonych transakcji na blockchainie Ethereum, ujawniło adresy portfeli zawierających skradzione środki.

Polygon:

0xafad9352eb6bcd085dd68268d353d0ed2571af89 (2 miliony BZRX)

BSC:

0x74487eed1e67f4787e8c0570e8d5d168a05254d4 (10 mln BZRX)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (2,5 mln BZRX)

0x0ACC0e5faA09Cb1976237c3a9aF3D3d4b2f35FA5 (Główny portfel hakerów)

Ethereum:

0x74487eed1e67f4787e8c0570e8d5d168a05254d4 (10 mln BZRX)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (12 mln BZRX)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (82K BZRX)

0x74487eEd1E67F4787E8C0570E8D5d168a05254D4 (4 mln ETH, główny portfel hakerów)

0x1ae8840ceaef6eec4da1b1e6e5fcf298800b46e6 (USDT został zamrożony, portfel hakerów)

0xAfad9352eB6BcD085Dd68268D353d0ed2571aF89 ($1.4 mln DAI, $243K USDC, $15m ETH, portfel hakerów)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (2 mln ETH, portfel hakerów)

0x6abcA33faeb7deb1E61220e31054f8d6Edacbc81 (1,5 mln BZRX, portfel hakerów, transakcje wewnętrzne z KuCoin)

0x1Ae8840cEaEf6EeC4dA1b1e6e5FCf298800b46e6 (Haker wysłał środki z KuCoin na ten adres)

Odpowiedź bZx

bZx twierdzi, że współpracuje z organami ścigania, giełdami i śledczymi w celu zidentyfikowania sprawcy i odzyskania skradzionych środków. Ponownie uruchamia wdrożenia Polygon i BSC pod kontrolą Zdecentralizowanej Organizacji Autonomicznej (DAO) i opracowuje plan rekompensaty dla poszkodowanych użytkowników.

Opublikowano również wiadomość do atakującego, zachęcając go do zwrotu skradzionych środków w zamian za nagrodę. Użytkownikom przypomina się, aby wycofali wszelkie zatwierdzenia kontraktów bZx na Polygon lub BSC.

Wcześniejszy atak bZx w lutym 2020 roku spowodował kradzież 500 000 dolarów w ETH. Po tym wydarzeniu zespół protokołu pożyczkowego DeFi pracował nad wzmocnieniem bezpieczeństwa na L2, pozwalając na zewnętrzny audyt głównego protokołu.

🎄Najlepsze platformy dla krypto inwestorów | Grudzień 2024
🎄Najlepsze platformy dla krypto inwestorów | Grudzień 2024
🎄Najlepsze platformy dla krypto inwestorów | Grudzień 2024

Wyjaśnienie

Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.

Zbudowane przez Ari10. Możliwość płatności BLIK
Zbudowane przez Ari10. Możliwość płatności BLIK
david-thomas.jpg
David Thomas
David Thomas ukończył z wyróżnieniem studia na Uniwersytecie Kwa-Zulu Natal w Durbanie w Republice Południowej Afryki. Przez osiem lat pracował jako inżynier, opracowując oprogramowanie dla procesów przemysłowych w południowoafrykańskiej firmie Autotronix (Pty) Ltd., systemy sterowania górnictwem dla AngloGold Ashanti oraz produkty konsumenckie w Inhep Digital Security, firmie zajmującej się bezpieczeństwem krajowym, należącej w całości do szwedzkiego konglomeratu Assa Abloy. Ma...
READ FULL BIO
Sponsorowane
Sponsorowane