Site icon ruCoins.info

Взломан DeFi-протокол bZx

Протокол кредитования децентрализованного финансирования bZx переживает не лучший год. Спустя семь месяцев после того, как он перенес два серьезных взлома из-за которых был утерян почти миллион долларов, протокол подвергся очередной атаке. На этот раз ущерб составил более 8 миллионов долларов или 30% от общей заблокированной суммы в bZx.

Уязвимость нашел ведущий инженер Bitcoin.com Марк Телан и сообщил о ней проекту, но к тому времени, когда администраторы отреагировали, злоумышленники украли из протокола монеты Dai и USDC. Телан уверен, что если бы разработчики действовали еще медленнее, то хакеры опустошили бы весь пул — это более $20 млн.

Ошибка позволила злоумышленникам создать 219200 токенов LINK (на сумму около $2,6 мн); 4503 ETH (~ $1,6 млн); 1756351 USDT (~ $1,7 млн); 1412048 USDC (~ $1,4 млн) и 667989 DAI (~ $680000). Итого хакеры получили 8,1 миллиона долларов.

Сами разработчики bZx пояснили, что произошел «инцидент с дублированием нескольких токенов контракта iToken». Они заявили, что пользователи не пострадают, поскольку убытки покрываются страховым фондом.

«Благодаря дизайну протокола, который предвидит и учитывает внезапные события, этот инцидент является преодолимым. Долг будет списан, и протокол будет беспрепятственно продвигаться вперед», — говорится в официальном заявлении.

Проверку кода протокола проводили две аудиторские фирмы — Peckshield и Certik. Соучредитель bZx Кайл Кистнер не понимает, как такая критическая ошибка осталась ими незамеченной.

Этот инцидент снова поднял вопрос о том, насколько безопасны пользовательские средства в протоколах DeFi. Однако у bZx нашлись защитники. По словам основателя Aave Protocol Стани Кулечева, пользователи сами должны осознавать риски и быть готовы к такому исходу.

«Инцидент с bZx показал, что разветвить код проще, чем сделать с нуля. У них было несколько аудитов и формальная проверка, им потребовалось много времени, прежде чем они запустили основную сеть, но все же эти усилия не гарантируют безопасность. Это то, что должен понимать каждый пользователь DeFi», — сказал Кулечев.

Некоторые отраслевые эксперты хотят, чтобы bZx остановил работу и повторно проверил протокол. Однако Кистнер сказал, что аудиторы безопасности «не рекомендовали такой курс действий» и протокол продолжит работу. Телан получит за нахождение ошибки вознаграждение в размере $12500.

Exit mobile version