BXH盗币案反思:黑客用最原始的方式 “摧毁了”_合约招商_数字货币代理_海外数字货币招商代理_数字货币招商_元宇宙代理加盟

数字货币代理_海外数字货币招商代理_数字货币招商_元宇宙代理加盟
数字货币平台火爆招募数字货币合约代理

BXH盗币案反思:黑客用最原始的方式 “摧毁了”

更新时间:2021-11-03 12:36:01点击:112

吴说作者

本期的编辑

10月30日,去中心化收益类协议BXH发生私钥被盗事件,损失约1亿3900万美元的加密资产。 这次安全事故发生在BSC链条上。 根据官方声明,以太坊、OEC和Heco链上的资产没有受到影响,但为了安全起见,所有链上的充电功能都被关闭了。

事件发生后,据区块链安全机构慢雾技术分析,黑客27日13时(UTC )部署攻击合同0x8877,随后BXH钱包地址0x5614为29日8时)通过grantRole攻击合同0 x8887 )。 30日3时(UTC )攻击者通过攻击合同0x8877获得的权限将从BXH金库转移管理的资产。 30日4点(UTC )钱包地址0x5614暂时停止了保险柜。 因此,BXH此次被盗是因为其管理权限被恶意修改,攻击者利用其权限转移了项目资产。 目前,黑客初始地址(0x48c 94305 BD DFD 80C 6f 4076963866 d 968 CAC 27D 79 ) 4000 ETH从BSC换成ETH,300 BTCB换成renBTC换成新地址(1jw . 9oc 79 )。 区块链安全机构派盾在推特上公布了截至11月1日被盗资金的下落:

事情一发生,舆论哗然,怀疑为什么BXH能把资金管理权限交给黑客,黑客不需要攻略复杂的智能合约,只需要拿到私钥就破坏了整个协议。 这种偷货币的手段相当原始,让人怀疑是否有内鬼。 之后,关于创业者的一系列黑历史也被挖掘了出来。 目前,政府表示此次事件是私钥泄露,只是宣布100万美元悬赏吸引白帽子队追回资金。

但涟漪并未就此结束,由于BXH已经关闭了取现功能,依托其产生收益的机枪池项目也不得不关闭取现功能。 目前涉及四个机枪池,但首当其冲的是Heco的摇滚量排名第二的Coinwind。 (相关金额达到1.5亿美元。 Coinwind团队表示,正在全力跟进BXH被盗资产的追回情况、损失情况、开放计费时间和资产提取程序的处理进度。

不仅如此,由于Coinwind在Heco的仓库锁定量很高,其他小规模的机枪池会选择直接将资金锁定在Coinwind上,通过杠杆作用扩大收益的“懒人操作”,所以这次事件中也难免会出现这样的项目。 这种现象背后的问题值得深思。

目前,机枪池的盈利模式以不断寻找各种高收益的贷款合同、频繁储蓄和借款获取平台token、最后通过boosting扩大杠杆倍率的“坐乐高”方式向投资者展现出夸张的收益率。 当然,这种方式在扩大收益的同时也扩大了风险,任何一层一旦发生本金损失,整个乐高都有可能崩溃。

因此,每次机枪池操作时,所有资金的去向都必须经常公开,正如公募基金公开持股一样,投资者必须自己选择。 以Yearn为例,机枪池内各资金池的投资战略和资金去向需要DAO组织成员讨论投票,最后公布战略。 如果用户对现金池的投资战略不满意,可以选择不投资。 其他许多机枪池都做了公开透明这种坏事,特别是在国内项目中暗箱操作很多。 在这次事件中,有用户对CoinWind将资产投入到多次备受争议的BXH中感到不满。 他们说如果事先知道的话,就不会把资产存入CoinWind。 但是,CoinWind的反应是,他们对BXH进行了尽职调查,BXH的鉴定报告没有问题,这次的BXH攻击是由于密钥被盗,是不可抗拒的。 但是,当看到晚雾3月份去BXH的鉴定报告时,得知以下事实。

(慢雾还表示,之后的BSC鉴定并不是由他们进行的。 之后的鉴定似乎由灵迹安全进行)

目前,机枪池只是在各贷款协议之间进行循环操作以扩大收益,从传统金融的角度来看,并不明显会持续发展。 在过去的世界里,只有银行、房地产商等大型机构能够通过循环贷款扩大货币乘数,普通人受监管限制无法做到这一点。 由于DeFi世界没有法规,分布式用户可以像组织一样循环贷款,许多用户认为这是DeFi特有的产品,但实际上不是。 监管不允许散户这样操作自然是合理的,但毕竟大多数普通人的风险控制能力很弱。

这也是目前机枪池产品的最大风险,根据风险高低主要分为三类:

低风险简单的战略单一资产担保金库,即稳定的以货币表示的单一货币表示的担保中的风险简单的战略流动性token和平台token的自动复合高风险高级战略以-yearn为例, 具有多个合同的多级战略循环贷款不同类型的战略池的风险水平通常低于单个资产战略池的无常损失风险作为存款资产所需的战略池。 这次货币被盗事件普遍关注的是合同安全风险,其实这是区块链产品共同的问题。 但是,机枪池的存在扩大了这一风险,每次在战略中增加新的协议,黑客的风险就会增加,如果其中任何一个阶段出现问题,都会影响整个机枪池。 我个人认为这才是最应该重视的。

目前出现了几个基于期权组合战略、合成资产套利等瞄准传统金融产品的协议,这些产品在传统领域的盈利模式被验证为可持续发展。 当然,参加这些产品需要更高的技术门槛。 这就是机构投资者的价值,专业的事情交给专家在任何领域都是合理的。 这也是机枪池未来发展的方向,像现在这样的循环贷款技术含量很低。 这样,黑客采用这种原始、技术含量低的盗窃手法,对国内这些“乐高式”机枪池来说似乎也不算什么耻辱。

官方微信