DeFi協議bZx再次遭遇攻擊損失超過800萬美元_DEF:DEFI

Author：

Time：1900/1/1 0:00:00

北京時間9月14日消息，DeFi借貸協議bZx再次遭到攻擊，而這次攻擊共造成了大約800萬美元的損失，據bZx聯合創始人Kyle Kistner最初提到稱：“這似乎是一次預言機操縱攻擊。”

在攻擊被發現后，bZx團隊立即使用管理密鑰暫停了協議，據悉這次攻擊交易利用了閃電貸和Synthetix，“但它不會影響Synthetix系統，盡管它確實涉及了sUSD，” bZx在twitter上寫道。

而在bZx官方公布的安全報告中提到：

以下是這次安全事故的時間線：

bZx團隊注意到協議鎖定值（TVL）出現了異常變動；

DeFi借貸項目steadefi受攻擊損失截至現在金額已達約114萬美元:金色財經報道，根據MetaTrust Alert推文，部署在Arbitrum和Avalanche上的DeFi借貸項目steadefi截至現在，遭受攻擊損失金額已達約1,140,000美元。所有金庫的owner已被入侵所有權已被轉移到攻擊者的錢包(0x9cf71)。攻擊者調用特權函數獲得了Arbitrum和Avalanche上的所有可借用資產，然后將其交換為ETH，并將ETH橋接到以太坊。以太坊上的錢包現在持有624ETH（價值114萬美元）。[2023/8/8 21:31:09]

發現iToken合約有異常，該異常的發生與 _internalTransferFrom() 函數相關；

DeFi Kingdoms 1月份交易額超過Axie Infinity:金色財經報道，DappRadar的數據，2022 年 1 月，玩賺錢游戲DeFi Kingdoms交易額約 18.4 億美元，是Axie Infinity的三倍。分析師在一份報告中表示，基于Harmony?(?ONE?) 區塊鏈的DeFi Kingdoms 上個月持有 7.75 億美元，占鎖定總價值 (TVL) 的 64.6% 。[2022/2/19 10:02:56]

在確定修復方案后，iToken的鑄造和燃燒被暫停（借款和交易不受影響）；

受影響的iToken合約的新版本得到部署，余額得到更正；

中幣（ZB）DeFi數據：DeFi挖礦總鎖倉量約3954萬美元:根據中幣（ZB）平臺數據，今日DeFi挖礦總鎖倉量約為3954萬美元，其中存USDT、存ZB和存QC挖礦的鎖倉量小幅上漲，存ETH挖礦的鎖倉量不變。[2020/10/15]

團隊將補丁代碼發送給派盾（Peckshield）和Certik進行審查；

iToken的鑄造及燃燒恢復；

每個ERC20代幣都有一個 transferFrom()函數是用于負責傳輸代幣的。可以調用這個函數來創建一個 iToken并將其傳遞給自己，從而允許你人為地增加余額。

幣贏CoinW將于8月12日19:00在DeFi專區上線STAKE:據官方消息，幣贏CoinW將于8月12日19:00在DeFi專區上線STAKE/USDT交易對，開啟“充值送STAKE,-0.1%Maker費率\"活動；據悉，xDai Chain是一個由MakerDAO基金會與POA Network聯合推出的美元穩定幣區塊鏈，也是一個與以太坊兼容的側鏈，其使用穩定幣xDai（由以太坊上的去中心化穩定幣Dai在側鏈上按照1:1比例兌換而來）作為基礎代幣用于交易和支付gas費用，并通過STAKE代幣，借助獨特的權益證明算法—POSDAO來進行記賬和治理。[2020/8/12]

下面是攻擊涉及的技術細節：

使用相同的_from和 _to地址調用了傳輸函數；

用相同的參數調用Immediately _internalTransferFrom；

下面的代碼行存在故障：