星球日报搜索
手机客户端
iPhone · Android
微信公众号
微信公众号

iPhone · Android

微信公众号

热点专题

专题 | DeFi协议bZx遭攻击始末

2 月 15 日,bZx 团队在官方电报群上发出公告,称有黑客对 bZx 协议进行了漏洞攻击。

还原 | DeFi协议bZx遭攻击始末

Front Running:​去中心化交易的阿喀琉斯之踵

Front Running 是 DEX 面临的普遍问题,也是阻碍 DEX 成为主流选择的重要原因。

链闻ChainNews链闻ChainNews·

2020-02-26 20:37:00

DeFi信任危机

借贷协议 bZx 的安全危机正在产生连锁反应。

蜂巢财经News蜂巢财经News·

2020-02-25 09:43:00

闪电贷:DeFi项目新玩法,如何攻击MakerDao获取7亿美金

​如果不引入新治理合约的延迟,您有可能窃取Maker的所有抵押品(7亿美元)并使用闪电贷发行任意数量的Dai。

PeckShield:bZx协议再遭黑客“二连击”背后的技术命门

02月18日,bZx 再次遭遇了类似的攻击,这一次的攻击从技术原理与上一次不同,此次黑客是通过操纵 Oracle 价格对 bZx 合约进行了“蒙骗”。

PeckShieldPeckShield·

2020-02-20 18:21:00

bZx事件引发对DeFi平台风险管理的思考

DeFi 线上的资产,使用范围窄,只能交易,投资,借贷,流动性偏低,这是dZx事件操纵者的获利主因之一。

SoteriaSoteria·

2020-02-20 14:33:00

PeckShield:硬核技术解析,bZx协议遭黑客漏洞攻击始末

这起事件是针对 DeFi 项目间共享可组合流动性的设计进行攻击。

PeckShieldPeckShield·

2020-02-19 09:34:00

bZx事件的启示:利用DeFi协议和产品的一次套利操控

黑客在ETHDenver大会期间对bZx发起攻击,就像是对DeFi精心策划的一次精准伏击。

蓝狐笔记蓝狐笔记·

2020-02-18 14:50:00

慢雾:详解DeFi协议bZx两次被黑始末

两次攻击的核心都在于控制预言机价格,并通过操纵预言机价格获利。

慢雾科技慢雾科技·

2020-02-19 10:40:00

什么是「闪电贷」?如何利用它在13秒内套利36万美元?

闪电贷的出现,让我们看到了 DeFi 应用场景的无限可能。

imTokenimToken·

2020-02-18 10:35:00

闪贷策略:攻击者能取走Maker的7亿美元抵押品吗?

无须持有MKR也可以对Maker发起攻击?

蓝狐笔记蓝狐笔记·

2020-02-21 16:46:00

​Arbs利用DeFi仅几秒钟赚了90万美元,引出DeFi中的问题

更具组合性、更透明、更少的第三方干预和控制,将为DeFi体系带来积极效益。

最新进展

2020-02-24 06:10:32
Quantstamp首席执行官:类似bZx攻击唯一需要匿名的是活动收益

对于bZx遭攻击事件,Quantstamp首席执行官兼联合创始人Richard Ma表示,尽管闪电贷(flash loan)被认为是bZx“攻击”的根源问题,同时还有其他一些理论上的治理攻击,但Ma解释说,许多这样的攻击实际上是可能不使用闪电贷的。不同之处在于,现在的竞争环境在拥有数百万美元资产的人和一无所有的人之间变得平等了。由于混合器的流动性较低,以及KYC在大多数交易所的严格执行,很难用自己的钱来利用这种套利机会。bZx这种攻击更加具有意义,因为使用别人的钱(贷款)来攻击项目,最后归还,与攻击者完全无关,唯一需要匿名的是从活动中获得的收益。Ma还表示,被项目和用户忽视的主要攻击载体之一是拒绝服务(DoS)攻击,这是一种新的攻击变体,可能会在未来削弱无须许可金融服务空间。按照他的说法,这些攻击根本上是由权力集中造成的。(AMBCrypto)[原文链接]

2020-02-21 17:25:18
受bZx事件影响,MakerDAO进入防御模式并优化GSM治理

本周DeFi平台bZx连续被爆漏洞,受此影响,MakerDAO开始进入防御模式。MakerDAO的社区发展负责人召开了风险会议,并发布了涉及平台治理安全模块(GSM)的治理和更新。GSM是一种机制,通过该机制,MKR代币持有者可以查看进入系统的任何更改,如果认为这些更改是恶意的,则可采取相应的措施。目前该模块被设置为零小时,这将使一个作恶参与者能够实时渗透到系统中,或者在自己受到危害时滥用治理。会议提出一项建议,将GSM延迟24小时,给予MKR持有者一整天的时间来应对任何虚假的治理结果。此外,开发团队还提出了一种暗修复(Dark Fix)机制,它提供了一种预先设定的特定bug修复方法,而不会在链上暴露字节。(Bitcoinist)[原文链接]

2020-02-21 16:42:25
bZx联创称遭1inch团队威胁,1inch予以否认

2月21日,针对1inch.exchange官方发布详述其与bZx团队接触过程的文章,bZx联合创始人Kyle Joseph Kistner在推特上留言称,对于他们的回复,1inch团队威胁了他们。不过,1inch随即回应称,他们并没有行威胁之事:“伙计,我们只是说你不应该在截图上公开我们的照片和名字,否则我们有办法阻止。” 据Odaily星球日报此前消息,1inch.exchange发布官方博客称,曾于1月向DeFi贷款协议bZx团队披露其Flash Loan功能的安全漏洞,但bZx团队虽然处理了该问题,但拒绝了“在打补丁时中停止智能合约”的建议。随后bZx曾表示愿意聘请1inch.exchange团队进行Flash Loan的安全审计服务,但希望把每周2000美元的审计报价降至1500美元,因为他们认为这只是30行代码的工作量,这遭到1inch.exchange团队的拒绝,双方不欢而散。1inch称bZx团队“任由用户资金暴露在风险中”。与此同时,1inch.exchange在文末发表声明称,由于忙于构建1x.ag,所以该团队并非本月bZx价格操纵套利攻击的幕后黑手。[原文链接]

2020-02-21 11:10:03
bZx团队曾事先接到Flash Loan安全漏洞披露,但未完全接受白帽建议

去中心化交易平台1inch.exchange发布官方博客称,曾于1月向DeFi贷款协议bZx团队披露其Flash Loan功能的安全漏洞,但bZx团队虽然处理了该问题,但拒绝了“在打补丁时中停止智能合约”的建议。随后bZx曾表示愿意聘请1inch.exchange团队进行Flash Loan的安全审计服务,但希望把每周2000美元的审计报价降至1500美元,因为他们认为这只是30行代码的工作量,这遭到1inch.exchange团队的拒绝。与此同时,1inch.exchange在文末发表声明称,由于忙于构建1x.ag,所以该团队并非本月bZx价格操纵套利攻击的幕后黑手。[原文链接]

2020-02-20 18:06:12
DeFi保险项目Nexos Mutual决定对bZx遭攻击所致损失进行赔偿

DeFi借贷服务bZx最近在15日和19日两次遭到攻击,Nexos Mutual社区认为这次攻击造成的损失符合赔偿条件,因此为其受害者建立了赔偿程序,它将作为第一个赔偿案实施。(Coinpost.jp)[原文链接]

2020-02-20 12:25:20
PeckShield:bZx协议套利资金发生异动,2371个ETH被转移

星球日报讯 据PeckShield旗下数字资产可视化追踪平台CoinHolmes数据显示,今天上午11点43分至12点15分,bZx黑客账号0xb8c6ad开头的地址发生异动,黑客先往0x6b5a开头的新地址转移了1个ETH,之后再转移2370个ETH,截至目前原地址仅剩18个ETH。PeckShield安全人员分析发现,0xb8c6ad地址开头的黑客于02月18日二次攻击bZx并获利2378个ETH。此次转移存在黑客通过转移资金进行洗钱的可能性,具体原因尚待进一步观察。PeckShield正锁定监控目标资金转移进一步动向,在此提醒广大用户谨慎参与投资,避免数字资产遭到损失,同时呼吁各大交易所应做好地址标记,协助并及时冻结流入的赃款。

2020-02-19 23:18:52
针对bZx事件,Nexus Mutual已接受价值3.1万美元的索赔

星球日报讯 根据在bZx第一次被攻击之前就已购买保险的质押者投票,DeFi保险协议Nexus Mutual已经支付了它的第一批索赔。这揭示了Nexus相互功能的几个细微差别。Nexus Mutual宣布,关于bZx攻击的两项索赔的投票已经结束。评估人投票支持了第121号和第152号两项索赔,总计约3.1万美元。 这标志着Nexus Mutual首次成功地进行保险索赔,并证实了该协议正常运作。但同时也暴露了关于其保险覆盖范围的一些不足之处。据悉,要想在Nexus Mutual上获得特定协议的保险覆盖,你并不需要在协议中有资金。如果一个技术缺陷被确认,那些在事故发生之前就持有保险的人可以得到全部的索赔,即使他们没有损失任何资金。(Crypto Briefing)[原文链接]

2020-02-19 11:55:56
bZx使用管理员密钥取消智能合约时间锁功能

DeFi协议bZx宣布已使用管理员密钥移除了智能合约中的时间锁,以应对最近频繁发生的黑客套利事件。bZx称,一旦平台通过测试,将会恢复时间锁功能。据此前报道,bZx最近连续两次遭到攻击。[原文链接]

2020-02-19 07:57:27
bZx:第二次攻击是Oracle操作攻击,与此前不同

Defi协议bZx昨日再次遭受攻击。对此,BZX发推称,第二次攻击是一次Oracle操作攻击,与第一次攻击完全不同。攻击者从系统中获得了大约60万美元的净利润。Kyber上的sUSD储备金包含APR和Uniswap池。我们认为,攻击者能够同时操纵这两者,并绕过相关检查。我们将实施一项更改,允许交易者和借款方平仓。在此期间我们将加强协议安全以确保不会再次发生类似事件。另外,我们正在与Chainlink和其他Oracle网络合作,以创建更安全的Oracle网络和缩小协议可攻击范围。 据此前报道,Bitcoinist指出,bZx遭受二次攻击表明需要对DeFi智能合约进行彻底审计。[原文链接]

2020-02-19 07:45:01
分析:bZx遭受二次攻击表明需要对DeFi智能合约进行彻底审计

昨日去中心化金融(DeFi)贷款协议bZx再次被攻击。第一次攻击后,该平台被关闭并离线,开发人员试图修复合同约,保证恶意行为体无法执行另一次攻击。第二次攻击虽然不完全相同,但非常相似,似乎以太坊开发者还没有完全理解“Oracle问题”。第一次攻击让加密社区措手不及,因为闪电贷Flash Loan是DeFi平台提供的新产品。第二次攻击表明,需要对DeFi智能合约进行非常彻底的审计。bZx在两次攻击中都冻结了平台,这一事实表明,即使将其作为DeFi进行销售,但最终它是一个集中化平台,开发者可以使用“管理密钥”来关闭平台上的交易。(Bitcoinis)[原文链接]

2020-02-18 18:35:12
bZx再次遭受攻击后,DeFi中锁定资产总价值数小时内大幅减少

在DeFi贷款协议bZx再次遭受攻击,DeFi生态中锁定资产价值在数小时内下跌了近1.42亿美元。 本月,Defi协议中锁定的资产总价值首次突破10亿美元大关,此后在2月15日再度创下历史新高,达到12.2亿美元。今日早些时候,锁定资产总价值已逐步减少至11.49亿美元,随着bZx再次遭受攻击,该数字进一步下跌,逼近10亿美元。(CryptoNews)[原文链接]

2020-02-18 16:45:44
Compound创始人:bZx平台应该立刻关闭业务

以太坊去中心化借贷协议Compound创始人Robert Leshner表示,bZx团队最近的表现已经多次证明他们并不能保管好用户的资产,他们应该立刻暂停业务,好好审核一下平台。 据此前消息,bZx平台已经出现第二起闪电贷Flash Loan攻击事件,攻击者获利2,388个 ETH,约合64万美金。(The Block Crypto)[原文链接]

2020-02-18 14:28:26
疑似bZx闪电贷攻击再次发生,攻击者或获利64万美金

以太坊爱好者、Ethhub创始人Eric Conner在Twitter上表示,bZx闪电贷Flash Loan攻击疑似再次出现,如果确认的话,这一次攻击者获利2,388个ETH,约64.4万美金。 这次疑似新的闪电贷攻击发生在以太坊网络区块高度9504627,攻击者借了7500个ETH,换成WETH后,抛售换成Synthetix合成的sUSD,然后在买回WETH获利。Eric表示攻击者疑似获利2,388个ETH。 bZx闪电贷是一种无抵押贷款,要求就是借款和还款必须要在同一个以太坊网络区块上完成,相隔时间仅有十几秒钟。[原文链接]

2020-02-18 13:21:02
bZx再次暂停贷款协议,官方称不会影响Synthetix系统

去中心化金融(DeFi)贷款协议bZx官方刚刚发布消息称,鉴于使用快速贷款和在Synthetix上进行的可疑交易,bZx再次点击了协议上的暂停按钮。尽管确实涉及sUSD,但它不会影响Synthetix系统。今日早间消息,经历被操纵导致以太坊损失后,bZx表示已部署合同升级,使系统提升对抗攻击的抵抗力。此外,Synthetix官方早间发布消息称,将于本周升级数项协议,期间无法进行SNX转账。[原文链接]

2020-02-17 06:05:00
bZx将通过Oracle网络Chainlink使其价格来源多样化

DeFi贷款协议bZx将通过Oracle网络Chainlink使其价格来源多样化。此前消息,bZx被操纵导致价值35万美元的以太坊遭遇损失。文章评论称,Chainlink可以整合许多智能合约的价格信息。即使有如此多的价格反馈,仍有可能操纵市场,但要做到这一点,难度要大得多。(Trustnodes)[原文链接]

2020-02-16 11:24:39
bZx事件操纵者已将资金转移到Compound

链上数据显示,bZx事件的操纵者已将操纵所获资金转移到了Compound。DeFi观察者Chris Blec发布推文称,理论上Compound是可以使用管理员密钥没收资金,但会有2天延迟,因此犯罪者有时间逃跑,Chris Blec发起投票“是否支持Compound没收资金”,其中支持者占12.3%,反对者占69.5%。此前,去中心化金融(DeFi)贷款协议bZx被操纵导致以太坊损失,联合创始人Kyle Kistner在最初表示,“部分ETH(已)损失,此次事件是因为一个合约被利用导致的,目前bZx已暂时关闭该合约。”安全研究人员目前在调查导致事故的确切原因,并表示,会发布详细的事后调查报告,目前剩余的资金是安全的。因为此次事件,bZx关闭了Fulcrum交易平台进行维护。DeFi Pulse的数据显示,过去的24小时内,bZx协议中提出ETH达3300枚,约合93.2万美元,业内人士估测,此次损失金额约为35万美元。dForce & Blockpower创始人杨民道称此次事件是利用了四个DeFi协议之间做的操纵。[原文链接]

2020-02-16 08:06:49
DeFi贷款协议bZx声明:并没有用Uniswap喂价

DeFi贷款协议bZx发表声明称,此次操纵事件导致市面上出现不实流传,但bZx并没有用Uniswap喂价,Uniswap只是多个流动性来源之一。此前,去中心化金融(DeFi)贷款协议bZx被操纵导致以太坊损失,联合创始人Kyle Kistner表示,“部分ETH(已)损失,此次事件是因为一个合约被利用导致,目前bZx已暂时关闭该合约。”安全研究人员目前在调查导致事故的确切原因,并表示,会发布详细的事后调查报告,目前剩余的资金是安全的。因为此次事件,bZx关闭了Fulcrum交易平台进行维护。DeFi Pulse的数据显示,过去的24小时内,bZx协议中提出ETH达3300枚,约合93.2万美元,业内人士估测,此次损失金额约为35万美元。dForce & Blockpower创始人杨民道称此次事件是利用了四个DeFi协议之间做的操纵。整个操作路径是,操纵人从dydx的闪贷借出1万ETH,使用其中5000ETH在Compound借出112 WBTC,5000ETH到bZx上开了WBTC的空单,用Compound借的WBTC去Uniswap砸盘,导致bZx空仓大赚,bZx的ETH出借人亏损。[原文链接]

2020-02-15 21:54:12
DeFi贷款协议bZx被爆漏洞,被盗ETH或达35万美元

DeFi贷款协议bZx的联合创始人Kyle Kistner表示,DeFi贷款协议bZx被非法利用,导致一部分ETH已经丢失,目前尚不清楚被盗ETH的确切数量,bZx已关闭其Fulcrum交易平台进行维护。周六,Kistner通过bZx的官方电报频道透露了细节,称存在针对一份合约的“利用行为”,该公司已经暂停了该合约。Kistner表示,bZx仍在咨询安全研究人员,以了解问题发生的确切原因,并补充称:“我们将发布更深入的调查结果,剩下的资金是安全的。” 根据DeFi Pulse的数据,过去24小时内已从bZx协议中提取了3300枚ETH(约合932000美元)。有分析人士指出,被盗ETH金额约为35万美元。(The Block)[原文链接]

分享至

打开微信"扫一扫",

打开网页后点击屏幕

右上角"分享"按钮