Ещё один технический сбой создал проблемы для протокола DeFi кредитования bZx, на который команда отреагировала сообщением, что средства заёмщиков и кредиторов не подвергаются риску.
Уязвимость в функции передачи токенов позволила использовать её для создания и перевода токенов пула iTokens самим себе, искусственно завышая свой баланс.
The official iToken duplication incident report is out.
Read more here ??https://t.co/Cq3O9UXgUF
— bZx (@bZxHQ) September 14, 2020
Это привело к накоплению долга в фонде страхования протокола, но, как заявила команда, он будет списан и протокол продолжит двигаться вперёд. Новая версия смарт-контрактов iToken была развёрнута с исправлением балансов.
Компания, занимающаяся безопасностью блокчейнов Peckshield Inc., провела аудит кода, обнаружив и исправив ряд проблем. Причём разработчик DeFi Марк Тален рассказал, что обнаружил уязвимость до того, как были украдены миллионы долларов.
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— Marc Thalen (@MarcThalen) September 14, 2020
Основатель Compound Finance Роберт Лешнер высказал мнение, что bZx слишком легкомысленно относится к делу:
Правильно ли я понял, что bZx лишился:
$ 2,6 млн в LINK
$ 1,6 млн в ETH
$ 3,8 млн стейблкоинов
——
$ 8,0 млн
Пожалуйста, приостановите операции до тех пор, пока не пройдёт повторная проверка и всё не будет тщательно проанализировано. Не стоит вместо этого говорить «ничего страшного».
ТАК на взлом не реагируют ??
If I understand correctly, bZx lost:
$2.6m of $LINK
$1.6m of $ETH
$3.8m of stablecoins
——
$8.0m
Please, please pause operations until this can be re-audited and thoroughly analyzed—instead of saying "no big deal".
This is NOT how you respond to a hack ?? https://t.co/CqZltmNt1o
— ?? Leshner (@rleshner) September 14, 2020
Затем он добавил:
Протокол совершенно неплатёжеспособен, при этом полагается на нетребовательных пользователей, которые думают, что это нормально.
Согласно Defipulse, залог по протоколу упал до самого низкого уровня более чем год и составил менее $ 500 тысяч.
Относительно февраля 2020 года эта потеря составляет более 97% от рекордного максимума в размере $ 20 млн. Ранее протокол был дважды взломан, во время одного из эпизодов потери составили почти миллион долларов.
Комментируя последний инцидент, партнёр Cinneamhain Ventures Адам Кокран считает, что только въедливый аудит — это путь вперёд:
Это третий крупный взлом, верно? Даже если они покроют средства, гораздо дешевле провести несколько хороших проверок…
На момент написания статьи нативный токен платформы BZRX упал на 33% до $ 0,44, таковы данные Coingecko.com.