DeFi平台bZX从一条错位的代码行中发现了800万美元的新黑客

bZX开发的Fulcrum DeFi协议在2月份遭到一系列黑客攻击后迫使团队重新组建，最近又重新启动了该协议，该协议再次遭到黑客入侵，金额约为800万美元。

根据bZX的事件披露，罪魁祸首是针对其“ iTokens”在合同中错误位置放置的一行代码，该令牌代表用户在所提供资产池中的份额-本质上是令牌化的存款余额。

已迅速部署了修复程序，以防止进一步发生。 正如1inch.exchange首席技术官安东·布科夫（Anton Bukov）所强调的那样，此修复程序只是将一行代码移到了下面的几个位置。

当用户通过特定功能向自己发送交易时，该错误会复制令牌。 在幕后，合同简单地从发送者的交易中减去交易的价值，然后将其添加到接收者的交易中。 合同创建了代表发送方和接收方初始余额的临时变量，并使用它们来更新它们。

但是，在接收方和发送方相同的情况下，在设置初始余额变量后会发生相减。 这意味着减法无效，因此攻击者可以随意创建新令牌。

然后，重复的令牌被赎回作为其潜在的抵押品，黑客现在“拥有”了池中更高的百分比，从而使他们耗尽了219,199.66 LINK，4,502.70醚（ETH），1,756,351.27Tether（USDT），1,412,048.48 USD硬币（USDC） 667,988.62戴（DAI），总价值为800万美元。

过去的经验使bZX创建了一个保险基金来支付这些“黑天鹅事件”的费用，因此，被盗的硬币被记入该基金的借方，该基金通过利率获得协议收入的10％。 然而，事件发生后，Fulcrum协议的总价值只剩下600万美元。

因此，偿还该债务可能需要大量时间，并且尽管该协议遇到了这些错误，但要根据协议能否成功来进行。 bZX团队通过Certik和PeckShield的多次审核以及重新启动的漏洞赏金计划，对安全实践做出了坚定的承诺。

这似乎还不够，这说明创建安全的DeFi协议比看起来要难。

—-

原文链接：https://cointelegraph.com/news/defi-platform-bzx-sees-new-8m-hack-from-one-misplaced-line-of-code

原文作者：Cointelegraph By Andrey Shevchenko

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。