由bZX建立的Fulcrum DeFi盟约再次遭到黑客入侵,导致价值800万美元的加密代币损失。 可以记住,DeFi协议是在2月份被黑客入侵的,这促使核心团队进行了重新设计,然后于本月初重新推出该协议。
根据bZX披露的详细信息,黑客事件的发生是由于代码行在智能合约中的错误位置“ IToken”,反映了用户在所提供的资产存量中所占的份额,基本上是令牌化形式的存款余额。
该错误被迅速删除以避免进一步的事故。 1inch.exchange的CTO Anton Bukov强调指出,仅通过在下面移动一行代码即可删除该错误。 当用户以自己作为接收者发起事务时,该错误会复制令牌。
基本上,合同从发送方持仓中扣除交易价值,并将其添加到接收方的持仓中。 在此过程中,合同建立了临时变量,这些临时变量反映了接收方和发送方的原始余额,后来又用它来更新最终的持有量。
如果接收方和发送方相同,则在建立原始余额变量后进行扣除。 这意味着扣除没有影响,因此黑客可以根据自己的意愿轻松添加新令牌。
我们在@bZxHQ上的小型调查线程(使用@semenov_roman_) "复制事件".https://t.co/en6LGTnW5z
—安东·布科夫| k06a.eth(@ k06a)2020年9月13日
复制的令牌与基础资产交换,从而使黑客拥有更高百分比的加密资产。 黑客利用此漏洞骗取了4,502.70以太网(ETH),219,199.66 LINK,667,988.62 Dai(DAI),1,756,351.27 Tether(USDT),1,412,048.48和USD Coin(USDC),总价值为800万美元。
较早的黑客事件为bZX创建保险基金以解决此类问题铺平了道路“黑天鹅事件”。作为由该基金持有的硬币的回报,将使用该盟约产生的收入支付10%的利息。 但是,黑客事件发生后,Fulcrum盟约只有600万美元的代币。
因此,解决这个问题可能需要花费相当长的时间,并将对协议的成功产生影响。 bZX团队致力于遵循可靠的安全实践,除了重新制定的漏洞赏金计划外,还包括PeckShield和Certik进行的多次审核。 这似乎还不够,强调开发安全的DeFi公约比看起来要困难得多。
