Zaufany

bZx padł ofiarą hakerów. Stracił 55 mln USD

2 minut
Przez David Thomas
Zaktualizowane przez Zerelik Maciej
Dołącz do Naszej Społeczności na Telegramie

W skrócie

  • Na komputerze dewelopera bZx został przeprowadzony atak phishingowy.
  • W jego wyniku naruszone zostały klucze prywatne portfela dewelopera
  • Atak dotknął dewelopera oraz pożyczkodawców, pożyczkobiorców i rolników posiadających środki na Polygon i Binance Smart Chain (BSC)
  • promo

W dniu 5 listopada haker zdołał ukraść tokeny BZRX i inne cyfrowe aktywa na BSC i Polygon, używając kluczy prywatnych bZx, które uzyskał w ataku phishingowym. Atakujący był następnie w stanie zdeponować skradzione BZRX jako zabezpieczenie, aby zaciągnąć pożyczkę w zamian za inne fundusze na protokole.

bZx jest protokołem L2 DeFi margin lending, który działa na Ethereum, Polygon i BSC. Wdrożenie, zarządzanie i skarbiec DAO na Ethereum nie zostały naruszone przez atak phishingowy, podobnie jak smart kontrakt bZx.

Atak dał hakerowi klucze do wdrożeń Polygon i BSC protokołu bZx i dotknął pożyczkodawców, pożyczkobiorców i rolników, a także tych, którzy udzielili nieograniczonych zgód na te kontrakty. Środki zostały następnie usunięte z wdrożenia bZx przez BSC i Polygon.

Audytorzy ekosystemu blockchain, Slowmist, oszacowali wartość utraconych środków na około 55 mln USD

Oś czasu ataku

Firma bZx opublikowała wstępny raport dotyczący metody ataku, osi czasu i reperkusji. Początkowo naruszona została fraza mnemoniczna portfela.

bZx został powiadomiony o ujemnym saldzie na koncie użytkownika i że wskaźniki wykorzystania były wysokie. Następnie zespół ustalił, że na Polygon i BSC miały miejsce podejrzane działania i wyśledził skradzione środki na adresy portfeli. Napastnik przeniósł skradzione środki do portfeli Binance, KuCoin i Circle, które zostały powiadomione w celu podjęcia odpowiednich działań.

Etherscan, narzędzie do przeglądania danych na temat wszelkich oczekujących lub potwierdzonych transakcji na blockchainie Ethereum, ujawniło adresy portfeli zawierających skradzione środki.

Polygon:

0xafad9352eb6bcd085dd68268d353d0ed2571af89 (2 miliony BZRX)

BSC:

0x74487eed1e67f4787e8c0570e8d5d168a05254d4 (10 mln BZRX)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (2,5 mln BZRX)

0x0ACC0e5faA09Cb1976237c3a9aF3D3d4b2f35FA5 (Główny portfel hakerów)

Ethereum:

0x74487eed1e67f4787e8c0570e8d5d168a05254d4 (10 mln BZRX)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (12 mln BZRX)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (82K BZRX)

0x74487eEd1E67F4787E8C0570E8D5d168a05254D4 (4 mln ETH, główny portfel hakerów)

0x1ae8840ceaef6eec4da1b1e6e5fcf298800b46e6 (USDT został zamrożony, portfel hakerów)

0xAfad9352eB6BcD085Dd68268D353d0ed2571aF89 ($1.4 mln DAI, $243K USDC, $15m ETH, portfel hakerów)

0x967bb571f0fc9ee79c892abf9f99233aa1737e31 (2 mln ETH, portfel hakerów)

0x6abcA33faeb7deb1E61220e31054f8d6Edacbc81 (1,5 mln BZRX, portfel hakerów, transakcje wewnętrzne z KuCoin)

0x1Ae8840cEaEf6EeC4dA1b1e6e5FCf298800b46e6 (Haker wysłał środki z KuCoin na ten adres)

Odpowiedź bZx

bZx twierdzi, że współpracuje z organami ścigania, giełdami i śledczymi w celu zidentyfikowania sprawcy i odzyskania skradzionych środków. Ponownie uruchamia wdrożenia Polygon i BSC pod kontrolą Zdecentralizowanej Organizacji Autonomicznej (DAO) i opracowuje plan rekompensaty dla poszkodowanych użytkowników.

Opublikowano również wiadomość do atakującego, zachęcając go do zwrotu skradzionych środków w zamian za nagrodę. Użytkownikom przypomina się, aby wycofali wszelkie zatwierdzenia kontraktów bZx na Polygon lub BSC.

Wcześniejszy atak bZx w lutym 2020 roku spowodował kradzież 500 000 dolarów w ETH. Po tym wydarzeniu zespół protokołu pożyczkowego DeFi pracował nad wzmocnieniem bezpieczeństwa na L2, pozwalając na zewnętrzny audyt głównego protokołu.

Najlepsze platformy dla krypto inwestorów
eToro eToro Wypróbuj
Coinrule Coinrule Wypróbujo
Najlepsze platformy dla krypto inwestorów
eToro eToro Wypróbuj
YouHodler YouHodler Wypróbuj
Coinrule Coinrule Wypróbujo
Najlepsze platformy dla krypto inwestorów
eToro eToro
YouHodler YouHodler
Wirex Wirex
Coinrule Coinrule
MEXC MEXC

Wyjaśnienie

Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.

Zbudowane przez Ari10. Możliwość płatności BLIK
Zbudowane przez Ari10. Możliwość płatności BLIK
david-thomas.jpg
David Thomas ukończył z wyróżnieniem studia na Uniwersytecie Kwa-Zulu Natal w Durbanie w Republice Południowej Afryki. Przez osiem lat pracował jako inżynier, opracowując oprogramowanie dla procesów przemysłowych w południowoafrykańskiej firmie Autotronix (Pty) Ltd., systemy sterowania górnictwem dla AngloGold Ashanti oraz produkty konsumenckie w Inhep Digital Security, firmie zajmującej się bezpieczeństwem krajowym, należącej w całości do szwedzkiego konglomeratu Assa Abloy. Ma...
PRZECZYTAJ PEŁNE BIO
Sponsorowane
Sponsorowane