bZx, una plataforma descentralizada de préstamos de dinero, ha sido pirateada por tercera vez este año, provocando la pérdida de más de $ 8 millones en las tiendas de los clientes. Esto supuestamente habla del 30% del valor total asegurado en la convención bZx.
Como lo indica la exposición de ocurrencia de bZX, el infractor es una línea de código colocada en un área inapropiada en el acuerdo para sus «iTokens», el token que habla de la oferta de un cliente en el grupo de recursos proporcionados, básicamente un saldo de tienda tokenizado.
Se transmitió una solución de inmediato para prevenir más eventos. Como destacó Anton Bukov, jefe oficial de innovación en 1inch.exchange, la solución esencialmente movió una línea de código a algunas situaciones debajo.
El error copiaba tokens cuando un cliente se enviaba un intercambio a sí mismo a través de una capacidad específica. En el motor, el acuerdo esencialmente quita la estimación del intercambio de la del remitente y la agrega a la del receptor. El acuerdo hizo que los factores no permanentes hablaran de los ajustes subyacentes del remitente y el destinatario, y los utilizó para actualizarlos.
No obstante, para la situación en la que el beneficiario y el remitente son equivalentes, la deducción se produjo después de que se establecieron los factores de compensación subyacentes. Esto implicaba que la deducción no tenía impacto, por lo que los agresores básicamente podían hacer nuevas fichas de forma voluntaria.
Marc Thalen, ingeniero principal de Bitcoin.com, afirmó haber notificado al equipo de bZx sobre el hecho de que los usuarios pudieron duplicar «tokens i» en el protocolo, poniendo en riesgo casi $ 20 millones. «En este punto, ninguno de los fundadores se había levantado», dijo Thalen en un tuit.
Los tokens copiados se recuperaron luego para su garantía básica, y los programadores actualmente «poseen» un nivel mucho más alto del grupo que les permite canalizar 219,199.66 LINK, 4,502.70 Ether (ETH), 1,756,351.27 Tether (USDT), 1,412,048.48 USD Coin (USDC) ) y 667,988.62 (DAI) – un total de $ 8 millones en estima.
La experiencia pasada llevó a bZX a hacer una reserva de protección para cubrir estas “ocasiones de cisne oscuro”, y las monedas tomadas se cargaron de esta manera en la tienda, que obtiene el 10% de los ingresos de la convención a través de los costos de los préstamos. Por cierto, la convención Fulcrum se quedó con solo $ 6 millones en valor absoluto después de la ocurrencia.
Por el contrario, el fundador de Aave, Stani Kulechov, recurrió a Twitter para brindar apoyo al equipo de bZx. El incidente de “bZx demostró recientemente que es más fácil bifurcar que hacer. Tuvieron múltiples auditorías, verificación formal y tomaron un tiempo considerable antes de volver a la red principal y, sin embargo, toda la diligencia no garantiza la seguridad ”, dijo Kulechov.
Del mismo modo, con cada avance criptográfico, se desarrollarán agonías. Sin embargo, 10 millones de dólares son difíciles de digerir.
