Протокол кредитования децентрализованного финансирования bZx переживает не лучший год. Спустя семь месяцев после того, как он перенес два серьезных взлома из-за которых был утерян почти миллион долларов, протокол подвергся очередной атаке. На этот раз ущерб составил более 8 миллионов долларов или 30% от общей заблокированной суммы в bZx.
Уязвимость нашел ведущий инженер Bitcoin.com Марк Телан и сообщил о ней проекту, но к тому времени, когда администраторы отреагировали, злоумышленники украли из протокола монеты Dai и USDC. Телан уверен, что если бы разработчики действовали еще медленнее, то хакеры опустошили бы весь пул — это более $20 млн.
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— Marc Thalen (@MarcThalen) September 14, 2020
Ошибка позволила злоумышленникам создать 219200 токенов LINK (на сумму около $2,6 мн); 4503 ETH (~ $1,6 млн); 1756351 USDT (~ $1,7 млн); 1412048 USDC (~ $1,4 млн) и 667989 DAI (~ $680000). Итого хакеры получили 8,1 миллиона долларов.
Сами разработчики bZx пояснили, что произошел «инцидент с дублированием нескольких токенов контракта iToken». Они заявили, что пользователи не пострадают, поскольку убытки покрываются страховым фондом.
«Благодаря дизайну протокола, который предвидит и учитывает внезапные события, этот инцидент является преодолимым. Долг будет списан, и протокол будет беспрепятственно продвигаться вперед», — говорится в официальном заявлении.
Проверку кода протокола проводили две аудиторские фирмы — Peckshield и Certik. Соучредитель bZx Кайл Кистнер не понимает, как такая критическая ошибка осталась ими незамеченной.
Этот инцидент снова поднял вопрос о том, насколько безопасны пользовательские средства в протоколах DeFi. Однако у bZx нашлись защитники. По словам основателя Aave Protocol Стани Кулечева, пользователи сами должны осознавать риски и быть готовы к такому исходу.
«Инцидент с bZx показал, что разветвить код проще, чем сделать с нуля. У них было несколько аудитов и формальная проверка, им потребовалось много времени, прежде чем они запустили основную сеть, но все же эти усилия не гарантируют безопасность. Это то, что должен понимать каждый пользователь DeFi», — сказал Кулечев.
Некоторые отраслевые эксперты хотят, чтобы bZx остановил работу и повторно проверил протокол. Однако Кистнер сказал, что аудиторы безопасности «не рекомендовали такой курс действий» и протокол продолжит работу. Телан получит за нахождение ошибки вознаграждение в размере $12500.