Протокол Fulcrum DeFi, разработанный bZX, который недавно был перезапущен после серии взломов в феврале, вынудившей команду перегруппироваться, был снова взломан на сумму около 8 миллионов долларов.
Согласно раскрытию инцидента bZX, виновником является одна строка кода, размещенная в неправильном месте в контракте для ее «iTokens», токена, представляющего долю пользователя в пуле предоставленных активов – по сути, токенизированный баланс депозита.
Исправление было быстро развернуто, чтобы предотвратить дальнейшее возникновение.Как подчеркнул Антон Буков, технический директор 1inch.exchange, исправление просто переместило одну строку кода на несколько позиций ниже.
Ошибка дублировала токены, когда пользователь отправлял транзакцию самому себе через определенную функцию.Под капотом контракт просто вычитает стоимость транзакции от отправителя и добавляет ее к получателю.Контракт создал временные переменные, представляющие начальные балансы отправителя и получателя, и использовал их для их обновления.
Однако в случае, когда получатель и отправитель совпадают, вычитание происходило после того, как были установлены начальные переменные баланса.Это означало, что вычитание не имело никакого эффекта, поэтому злоумышленники могли просто создавать новые токены по своему желанию.
Дублированные токены затем были выкуплены за их базовое обеспечение, и теперь хакеры «владеют» гораздо более высокой долей пула, что позволило им истощить 219,199,66 ССЫЛКИ, 4,502,70 эфира (ETH), 1,756,351,27 привязки (USDT), 1,412,048,48 доллара США (USDC).и 667 988,62 дай (DAI) на общую сумму 8 миллионов долларов.
Прошлый опыт побудил bZX создать страховой фонд для покрытия этих «событий черного лебедя», и, таким образом, украденные монеты были списаны с фонда, который получает 10% доходов протокола в виде процентных ставок.Тем не менее, после инцидента у протокола Fulcrum осталось всего 6 миллионов долларов.
Таким образом, погашение этого долга может потребовать значительного количества времени и зависит от успеха протокола, несмотря на наличие этих ошибок.Команда bZX взяла на себя твердое обязательство по обеспечению безопасности благодаря многочисленным аудитам со стороны Certik и PeckShield, а также обновленной программе поощрения ошибок.
Этого оказалось недостаточно, что подчеркивает, что создание безопасного протокола DeFi сложнее, чем может показаться.
WisdomTree Funds, нью-йоркская фирма по управлению активами, зарегистрировала в штате Делавэр биржевой торговый фонд XRP…
У трейдеров было жаркое начало недели: за последние 24 часа с криптовалютного рынка было ликвидировано…
Babylon Labs и Lombard Protocol готовятся перенести ликвидные ставки Биткоин (BTC) в Sui, растущую сеть…
В Соединенных Штатах была запущена новая краудфандинговая платформа, посвященная биткоин-стартапам, целью которой является объединение криптовалютных…
MicroStrategy, публичная компания по бизнес-аналитике и программному обеспечению, сообщила о существенном расширении своих биткоин-активов в…
Недавний анализ показывает, что цена Эфириума может работать в рамках 8-летнего цикла, отличающегося от установленного…