去中心化协议 BXH 被盗,两机枪池受影响而关停充

EFI的收益将变成“翠鸟”,在发生安全事故时,“翠鸟”也会做出反应。

原文标题: 《DEX「笨小孩」被盗 殃及两机枪池应用》执笔:茉莉

10月30日,引入多链的dex(BXH )被盗,损失了约1亿3900万美元的加密资产。 这次安全事故发生在BSC链上的BXH合同中。 该APP的官方声明称,以太坊、OEC链和Heco链上的BXH合同和资产未受到影响,但出于安全原因关闭了所有对外服务。

事故发生后,区块链安全机制慢雾技术分析显示,被盗前曾在BXH管理钱包地址进行“授予攻击合同管理权限”操作,攻击合同从BXH战略池资金库中转出受管理资产,然后被盗。

一旦被盗原因曝光,舆论哗然,BXH不幸用安全事故的方法回应了中文花名“傻孩子”。

有人不能理解为什么BXH可以“非法将资金管理权限转让给黑客”,也有人怀疑APP监守被盗,APP王姓主导者此前的负面信息再次被曝光。 BXH对舆论的回应不充分,只表明“私钥泄露”,拿出100万美元悬赏吸引白帽子队追回资金。

由于BXH已经停止了APP充值功能,依赖该交易所流动性的机枪池APP应用Coinwind也为了安全故障诊断而停止了多条链上的充值功能,另一个机枪池APP应用Earn DeFi为coin

EFI的收益将变成“翠鸟”,在发生安全事故时,“翠鸟”也会做出反应。 截至投稿时,这三个APP都没有开放充值功能。

BXH 管理权限「被黑」遭质疑

亿3900万美元的加密资产被盗一天后,北京时间10月31日,BXH在官方社交媒体上公布了BSC链上资金池的剩余资产。 包括USDT、USDC、BTC、ETH、BUSD、MDX在内的资产残值约为1亿8400万美元左右。

去中心化协议 BXH  被盗,两机枪池受影响而关停充提

BXH在目前的BSC链中的残值为1亿8400万美元

BXH官方表示,剩余资产提存方案由第三方安全联合小组确认事故原因和合同安全,警方调查初步问题后,将发布资产提存公告和其他补偿方案。

根据此前的公开消息,中心化交易APP bxh于今年3月率先引入火币Heco链,以“短短10天吸引了数万用户和12亿美元TVL”的成绩风靡DeFi爆发期。 今年7月30日正式部署在BSC链条上,之后在以太坊和OEC链条上建设了“空间站”。

事发前的10月25日,BXH刚在BSC链条上启动了借贷池开采功能,结果5天后就发生了事件。

作为区块链安全机构、BXH鉴证方之一的慢雾技术在事发后进行了初步分析。 根据该机构的信息,黑客于27日13时(UTC )部署了攻击合同0x8877。 接着在29日08时(UTC ),BXH项目管理钱包地址0x5614通过grantRole授予攻击合同0x8877管理权限; 30日03时(UTC ),攻击者通过攻击合同0x8877的权限,将管理的资产从BXH战略池资金库转出; 30日04时(UTC )0x5614暂停了资金库。 “因此,BXH这次被盗是因为管理权限被恶意修改,攻击者利用这个权限转移了项目资产。 “”

跟踪也于事件发生后的10月30日开始。 慢雾技术当天北京时间16时24分宣布,黑客在BSC链的初始盈利地址为4000 ETH从BSC链转移到ETH链,接着将300 BTCB兑换成renBTC,跨越两个地址。

根据BXH事件后的公告,被盗资金的转移链已经在多个安全机构的追踪中,该APP也已经发布了100万美元的悬赏公告,计划吸引白帽子队进行资金回收。

慢雾技术的“初诊”一发表,网络舆论和BXH的用户们就很困惑。 有人质疑BXH的钱包管理权限为什么转让给黑客,也有人质疑项目方的监控盗窃。 BXH目前不应对这种舆论,只表示“私钥泄露”。

官方的“私钥泄露”称,该交易暴露了适用于私钥管理的漏洞。 EFI领域的KOL神鱼质疑私钥“为什么不多签名,为什么不锁时间”。 对这种疑惑,BXH也尚未对外做出答复,有待于事后更详细的安全分析再现。

媒体《巴比特》表示,加密资产的管理者需要更加重视单一私钥管理中的安全性风险,应尽快将Owner私钥升级为多签名管理方式,以避免私钥的单一风险。 另外,通过链上合同的多签名和MPC的多签名,可以实现Owner私钥的多签名管理。

这样,虽然有私钥的安全风险,但也有技术,负责用户亿美元资产的BXH因私钥管理而失职。

两个第三方机枪池连环关停充提

事故发生在BSC版的BXH,以太坊、OEC及Heco上的资产未受到影响,但该APP为了安全,关闭了各链条上的服务功能。

BXH暂时停止服务后,也出现了DeFi“套套”效应的阴暗面,依赖BXH流动性的第三方机枪池应用CoinWind也于10月30日紧急停止了BSC、Heco、以太坊在链条上的充值和取现功能的一部分。 结果,另一个机枪池根据Earn DeFi的官方公告称,由于CoinWind暂停充值,他们也停止了充值。

由于BXH被盗的连锁反应,三个APP的用户目前无法取出存储的资产。

据蜂巢登记coin wind APP介绍,该APP确实停止了充值功能,收益计算正常,但本金和收益都没有正常提取。 Earn DeFi也一样。

去中心化协议 BXH  被盗,两机枪池受影响而关停充提

两个机枪池应用相继关闭并充值

10月31日,根据CoinWind公告,BXH关闭所有主链充值,目前CoinWind无法从BXH取回部分投入资金,因此暂停Heco、BSC、ETH三条主链充值,相关数据屡见不鲜。 根据该应用,在确定BXH无风险后,一旦放开Heco、ETH充电,CoinWind也将放开。 目前,Heco、ETH主链CoinWind用户的本币和收益未受影响,该APP市场正在全力跟进BSC链上BXH此次被盗资产的追回情况、亏损情况和开放费的时间和资产提取方案的处理进度。

在CoinWind暂停充值后,Earn DeFi在用户群里只通过助手发布了一张公告,根据官网和官方发布的消息,CoinWind紧急关闭了三条链条上的一个硬币的当铺和DAO充值,因此Earn DeFi 关于具体波及了多少资金,这个公告也没有明确表示。

根据双方公告,机枪池应用CoinWind的投入和收益来源之一是BXH,而Earn DeFi的部分收益农业区是CoinWind,结果导致城门失火,危害池鱼。 池塘是机枪池,鱼是这些APP的使用者们。

值得注意的是,许多值得深思的详细问题也在事故发生后浮出水面。

例如,CoinWind官方社区的管理者表示,他们与Earn DeFi没有关系,双方没有合作,也没有收到对方来存款的对接信息,对方在事件发生后也没有表明与CoinWind对话的合同方。 一位CoinWind用户认为Earn DeFi“甩锅”,还在使用该APP的用户认为“请小心”。

Earn DeFi也没有进一步回应对方的说法,但根据自己的公告,Earn DeFi作为机枪池“寄生”到另一个机枪池的做法多少有些懒散。 一般来说,用于交易的开采池才应该是机枪池们获得高收益的主要来源。 结果,CoinWind关闭,Earn DeFi三个主要的单一货币池受到影响。

例如,有用户不满将资产投入到CoinWind经常讨论的BXH上,他说:“如果我知道要投入BXH,我就不会在CoinWind上存硬币了。 “用户之所以有这种情绪,是因为今年7月,BXH向多家媒体深入挖掘了主导成员的“不可靠”行为。 该APP的主导者王小彬连续两年在区块链领域被批评为“投币、圈钱”、“10个项目都是空气”,但王小彬此前在互联网领域创业时,产品跳票不上市、公司倒闭、

一位CoinWind用户认为,团队将用户资产投入到有争议的APP应用中以获取收益是风险的前兆。

CoinWind社区管理者就“为什么选择BXH机枪”进行了说明。 他们对BXH进行尽职调查,对访问的所有其他池塘进行调查评价,BXH的鉴定报告没有问题,基本上是实名项目。 “作为机枪池,我们的义务是选择收益性高、可靠性高的游泳池进行投放。 这次BXH攻击是由于私钥被盗,对CoinWind来说,这确实是人力不可抗力。 “”

虽然BXH被盗需要反思自身的私钥管理问题,但对机枪池来说,至少部分用户的建议是这样的收益管理APP们应该考虑的,特别是在每个defi APP应用都在向DAO发展的时候,——是用户

请勿以“机密”为理由欺骗用户。 筹资战略可能是机枪池生存和竞争的壁垒,但公布资金分配给了哪些盈利耕地对机密战略的具体执行没有多大影响。 确保尽早满足用户的知情权和选择权,不正是区块链倡导的精神吗?

上一篇:大型机构看好以太坊后市,杠杆基金大举加仓但
下一篇:黑客松 DAO:从产业化黑客松到去中心化黑客运动

欢迎扫描加微信!

欢迎扫描加微信!