Протокол bZx, принимающий инвестиции и выдающий криптокредиты, подвергся атаке хакеров. Злоумышленники обнаружили баг кода, позволяющий дублировать эмиссию выпущенных смарт-контрактом iToken.
Хакеры выпустили на $1,7 млн iETH, выдав кредиты на $3,4 млн, после жалоб инвесторов разработчики bZx вынуждены были заблокировать на время работу всей платформы.
Баг дублирования обнаружил Антон Буков, соучредитель агрегатора DEX-бирж 1inch.exchange. Он выложил строки кода, где содержалась уязвимость, а также провел мини-расследование движения похищенных средств клиентов в ETH.
По оценкам Букова, сумма похищенных средств составила $1,7 млн, разработчики bZx не указывают точный размер потерь, указывая на их возмещение из средств страхового фонда. Сейчас протокол остановлен на время расследования инцидента, но криптовалюта в пулах не подвергается риску повторной атаки хакеров.
Судя по расследованию Антона Букова, инцидент произошел из-за ошибки в одной строке кода. Она может окончательно «похоронить» доверие к DeFi-проекту bZx. Компания буквально на днях перезапустила платформу, после полного рефакторинга кода, заверив пользователей в многочисленных, глубоких его аудитах.
Глобальные изменения были проведены после двух атак хакеров, использовавших уязвимость оракулов для манипулирования ценами. Потери инвесторов тогда составили $350 тысяч, про убытки от первой атаки, как и факте ее проведения, разработчики bZx предпочли умолчать.
242 / 0