買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > FTT > Info

TOKEN:BXH盜幣案反思:黑客用最原始的方式「摧毀了」國產機槍池_USD

Author:

Time:1900/1/1 0:00:00

吳說作者|吳卓鋮

本期編輯|ColinWu

10月30日,去中心化收益類協議BXH發生私鑰被盜事件,損失了價值約1.39億美元的加密資產。此次

安全

事故發生在BSC鏈上,據官方聲明顯示,以太坊、OEC和Heco的鏈上資產未受影響,但出于安全考量,所有鏈上的充提功能都被關閉。

事件發生后,根據區塊鏈安全機構慢霧科技的分析,黑客于27日13時(UTC)部署了攻擊合約0x8877,接著BXH的

錢包

地址0x5614于29日8時(UTC)通過grantRole將管理權限賦予了攻擊合約0x8877。30日3時(UTC)攻擊者通過攻擊合約0x8877獲得的權限從BXH金庫中將其管理的資產轉出。30日4時(UTC)錢包地址0x5614暫停了金庫。因此,BXH本次被盜是由于其管理權限被惡意地修改,導致攻擊者利用此權限轉移了項目資產。目前,黑客初始地址里的4000

BXH再次遭受閃電貸攻擊,攻擊者獲利31794 USDT:9月29日消息,據Supremacy安全團隊監測,2022年9月28日,BXH在上次攻擊后更新的TokenStakingPoolDelegate合約再次遭受閃電貸攻擊,合約損失40085 USDT,攻擊者還完閃電貸手續費后獲利31794 USDT。

經過分析,本次攻擊是由合約的getITokenBonusAmount函數中使用getReserves()獲取瞬時報價造成,使得攻擊者可以通過操縱報價完成獲利。[2022/9/29 22:39:58]

ETH

已經從BSC轉移到ETH,還有300BTCB兌換成renBTC轉移到新地址(1Jw...9oU和1Fr...Vow)。區塊鏈安全機構派盾在推特上公布了截止11月1日被盜資金的去向:

派盾:BXH被盜確認由管理密鑰泄露引發:11月1日消息,據派盾官方消息,BXH 被盜事件確認由管理密鑰泄露引發,該密鑰被用于耗盡已部署的 BSC strategies 中的大部分資金。目前,派盾方面仍在調查被盜資金下落。[2021/11/1 6:25:02]

!webp\"data-img-size-val=\"900,494\"\u002F\\>

此事一出,輿論嘩然,大家疑惑的是為什么BXH能將資金管理權限交給黑客,黑客不需要攻克復雜的

智能合約

,僅需獲取私鑰就摧毀了整個協議。這種盜幣手段頗為原始,不免讓人質疑是否是存在內鬼。隨后關于創始人的一系列黑歷史也被扒出。目前官方只是表示此次事件系私鑰泄露,并發布100萬美元懸賞金招攬白帽子團隊追回資金。

慢霧MistTrack:去中心化協議BXH被盜超1.3 億美元,部分資金已跨鏈到以太坊和BTC:10月30日消息,去中心化交易協議 BXH于今日在BSC鏈遭到攻擊,目前,初始黑客獲利地址(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)已將 4000 ETH 從 BSC 鏈轉移到 ETH 鏈,接著將 300 BTCB 兌換為 renBTC 跨鏈到地址 (1Jw...9oU 和 1Fr...Vow)。BXH 團隊表示在?幣?態鏈( Heco)、OEC 以及以太坊上的資產處于安全狀態,但出于安全考慮,官方暫時暫停了存取款服務。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/10/30 6:21:39]

可是,風波并未就此結束,由于BXH已經關閉了提現功能,依靠它產生收益的機槍池項目也被迫關停了提幣功能。目前已有四個機槍池受到牽連,首當其沖的就是Heco上鎖倉量排名第二的Coinwind。Coinwind團隊表示正在全力跟進BXH被盜資產的追回情況、損失情況和開放充提的時間以及資產提取方案的處理進度。

BXH今日新增上線JT/BXH流動性挖礦:BXH.com已于2021年4月6日15:00(UTC+8)新增上線JT/BXH流動性挖礦。用戶可以通過質押JT-BXH的LP Token挖礦BXH。 JT(Jubi Token)為聚幣Jubi的數字資產及衍生品交易平臺的平臺通證,昵稱“雞腿”。 Bitcoin deX on Heco(BXH)是部署在Heco上的去中心化交易所,所有的交易都在鏈上進行,支持去中心化數字貨幣交易、流動性挖礦、平臺幣質押分紅等多種玩法。平臺代幣BXH全部由流動性挖礦產生,可在BXH交易場景中廣泛使用,同時也是平臺DAO社區治理投票憑證。[2021/4/6 19:50:49]

!webp\"data-img-size-val=\"488,292\"\u002F\\>

不僅如此,由于Coinwind在Heco上鎖倉量較高,其他小規模的機槍池會直接選擇將資金鎖在Coinwind里并通過杠桿放大收益的“懶人式操作”,因此此次事件中這類項目自然也無法幸免。這現象背后反映的問題值得深思。

Converter新增BXH平臺bxh/usdt等9個流動性資金池:據官方消息,Converter與BXH.com達成戰略合作,將全面支持BXH的機槍池策略,目前已上線HUSD-BXH、HUSD-ETH、HUSD-USDT、HUSD-HBTC、ETH-HBTC等9個資金池的流動性挖礦,用戶可在BXH上添加流動性,并將LP質押到Converter上,即可獲取BXH的復投收益和CON代幣收益,實現“一礦雙挖”。[2021/3/28 19:24:31]

目前,機槍池的盈利模式就是不斷地尋找各種高收益的借貸協議,然后頻繁地存錢和借錢來賺取平臺token,最后通過boosting放大杠桿倍數,用這種“搭樂高”方式呈現給

投資

者夸張的收益率。當然,這種方式在放大了收益的同時也放大的風險,任何一層發生本金損失都可能導致整個樂高坍塌。

因此機槍池的每一步操作,每一筆資金去向應當時時公開,就像公募基金公開持倉股一樣,讓投資人自行做出選擇。以Yearn為例,其機槍池中每一個資金池的投資策略和資金去向都需要

DAO

組織成員討論并投票,最后公布策略。如果用戶對某個資金池的投資策略不滿意,可以選擇不投。而其他很多機槍池在公開透明這塊做的很糟糕,尤其是國內項目,暗箱操作頗多。此次事件,就有用戶對CoinWind將資產投入到屢受爭議的BXH感到不滿,他們表示如果事先知道就不會將資產存入CoinWind。而CoinWind的回應卻是,他們對BXH做了盡職調研,BXH的審計報告沒有問題,這次BXH被攻擊是由于私鑰被盜,屬于不可抗風險。然而,查看慢霧在3月份給BXH做出的審計報告卻發現:

!webp\"data-img-size-val=\"728,283\"\u002F\\>

目前機槍池只是在各借貸協議之間循環操作放大收益,從傳統

金融

的角度來看這顯然不可能持續性發展的。傳統世界只有銀行或一些大機構(例如房地產商)可以循環借貸放大

貨幣

乘數,普通人受監管限制不能這么做。

DeFi

世界沒有監管,因此散戶可以像機構那樣循環借貸,不少用戶甚至以為這是DeFi特有的產品,事實上并非如此。監管不允許散戶這么操作自然是合理的,畢竟大多普通人的風險控制能力較弱。

這也是當下機槍池類產品最大的風險所在,根據風險高低主要分為三類:

低風險–簡單策略–單一資產抵押金庫

中風險–簡單策略–流動性token與平臺token的自動復合

高風險–高級策略–使用多個協議的多層策略循環借貸

不同類型的策略池風險等級不同,通常單一資產的策略池無常損失風險低于需要流動性token作為存款資產的策略池。這次盜幣事件大眾的關注點都在合約安全風險,其實這是區塊鏈產品共同的問題。但是機槍池的存在放大了這種風險,每次在策略中加入新協議時,都會增加一層黑客風險,其中任何一個環節出現問題都會影響整個機槍池。個人認為這才是最值得引起重視的。

現在已經出現一些基于

期權

組合策略、合成資產套利等對標傳統金融產品的協議,這些產品在傳統領域已經被驗證其盈利模式是可持續的。當然參與這些產品需要更高的技術門檻,這正是機構投資人的價值所在,專業的事交給專業的人去做在任何領域都是合理的。這也是機槍池未來發展的方向,像如今這種循環借貸實在技術含量偏低。如此看來,黑客采用這種頗為原始且似乎沒什么技術含量的盜竊手法,對國內這些“樂高式”機槍池來說也不算辱沒。

吳說:獨立可信的報道者歡迎在這里關注我們

中文推特https:\u002F\u002Ftwitter.com\u002Fwublockchain12

電報

Telegram

中文頻道https:\u002F\u002Ft.me\u002Fwublock

官方網站https:\u002F\u002Fwww.wu-talk.com\u002F

根據央行等部門發布“關于進一步防范和處置虛擬貨幣交易炒作風險的通知”,本文內容僅用于信息分享,不對任何經營與投資行為進行推廣與背書,請讀者嚴格遵守所在地區法律法規,不參與任何非法金融行為。吳說內容未經許可,禁止進行轉載、復制等,違者將追究法律責任。

Tags:BXHUSDCOINTOKENbxh幣行情usdt幣怎么獲取BEAR CoinVTube Token

FTT
ARA:嘉楠科技三季報:當季總營收總算力均創新高,預計Q4環比增3-5成_區塊鏈

北京時間11月16日,嘉楠科技公布了2021年第三季度財務報告。報告顯示,公司在本季度錄得總營收13.2億元人民幣,創下歷史單季最佳營收記錄.

1900/1/1 0:00:00
CAP:紅杉資本:將重塑投資結構,增加對加密資產的投資_Sharpe Capital

本文來自 medium ,原文作者: RoelofBotha Odaily星球日報譯者|Luara據紅杉資本合伙人RoelofBotha周二的一份公告.

1900/1/1 0:00:00
MUTE:一文探討如何在智能合約里實現鏈上數據的讀取權限?_INTER

來源|FISCOBCOS開源社區責編|Carol 經常有人問到一個問題:“怎么在合約里實現鏈上數據的讀取權限?”這樣的需求背后,是開發者想把一些數據上鏈,讓智能合約管理和運算.

1900/1/1 0:00:00
LYM:讀懂OlympusDAO:Defi2.0的扛旗者,不穩定的算法穩定幣_gusd幣會因為什么漲跌

吳說作者|劉全凱本期編輯|ColinWu流動性以驚人的速度離開農場。“在農場啟動當天進入農場的農民,有42%的用戶在24小時內退出,約16%的用戶會在48小時內離開,到了第三天,70%的用戶將會.

1900/1/1 0:00:00
INT:Footprint周報:比特幣再破6萬美元,創5月19日后新高_區塊鏈專業方向好就業嗎

撰文:Footprint分析師Simon(simon@footprint.network)日期:2021年10月10日-10月16日本周排行榜:TVL大于100M且上線超過30天的協議中.

1900/1/1 0:00:00
DOT:Polkadot 生態熱度不減,如何驗證一個靠譜項目?查看官方建議!_POLK

加入PolkaWorld社區,共建Web3.0! PolkaWorld在前段時間發布了一篇關于判斷項目是否合法必須滿足的一些硬指標,今天是這個系列文章的下篇,除了硬指標.

1900/1/1 0:00:00
ads