[ad_1]
El protocolo de préstamos de finanzas descentralizadas (DeFi) bZx ha sufrido un tercer exploit, y esta vez los atacantes obtuvieron más de $ 8 millones en criptomonedas al duplicar activos.
El exploit, según el equipo de bZx, permitió a los atacantes usar un código defectuoso para duplicar activos o aumentar su saldo de tokens con intereses en bZx, apodado iTokens. Después de darse cuenta del exploit, bZx detuvo la acuñación y quema de los tokens, y lo reanudó después de que una corrección corrigiera los saldos.
Sin embargo, el error vio al atacante acuñar 2139,199.66 LINK, 4,500.7 ETH, 1.75 millones de USDT, 1.41 millones de USDC y 667,988.8 DAI. En total, el atacante logró obtener más de $ 8 millones con el ataque. El fondo de seguros de la empresa cubrirá las pérdidas, por lo que los fondos de los usuarios no estaban en riesgo.
En su informe, bZx detalla que fue "fuertemente auditado" por las principales firmas de seguridad Peckshield y Certik. Añadió:
Desafortunadamente, las auditorías no son soluciones mágicas. Nuestro protocolo es el protocolo de préstamos más poderoso y completamente funcional del espacio, y esto significa que hay mucho código que cubrir.
Reaccionando al incidente Certik revelado que durante las auditorías "se identificaron y solucionaron varios problemas", y agregó que la vulnerabilidad era el resultado de una "optimización de gas que se aplicaba al código común de transferencia de saldo de ERC mediante el cual los datos se copiaban en la memoria y luego se reutilizaban mientras se modificaban en el almacenamiento. " Para la empresa, "la seguridad es un viaje" y su equipo está comprometido a colaborar más con bZx.
<! –
->
Peckshield reaccionó al señalar que sus auditorías también descubrieron "varios problemas" que se solucionaron. Añadió que uno auditado "no puede garantizar encontrar todos los problemas potenciales". Marc Thalen, el ingeniero principal de Bitcoin.com, encontró el exploit y afirmó que más de $ 20 millones estaban en riesgo.
En un hilo de tweets, Thalen detalló que informó al equipo sobre el exploit y lo usó con un préstamo usando 100 USDC que le permitió recuperar iUSDC, que se envió a sí mismo para prácticamente duplicar los fondos.
Según Thalen, si bZx no detuviera el contrato, el atacante probablemente habría podido obtener los 20 millones de dólares. Según los informes, uno de los fundadores del protocolo dijo que un panel de seguridad independiente recomendó una recompensa de $ 12,500 por su contribución, aunque el programa de la plataforma menciona una recompensa de hasta $ 350,000 por una vulnerabilidad crítica.
Vale la pena señalar que a principios de este año se explotó bZx mediante préstamos flash que vieron a los atacantes ganar casi $ 1 millón en ETH en el transcurso de dos ataques. Los préstamos flash son préstamos tomados y reembolsados en una sola transacción.
Imagen destacada a través de Pixabay.
Los comentarios están cerrados.