关键事实：

黑客设法利用合同中的错误并复制了bZx令牌。

管理者确保资金安全，并且损失将由系统承担。

周末，来自DeFi贷款协议bZx的800万美元被盗。 攻击者利用了平台智能合约中的一个漏洞，该漏洞使他们可以将iTokens令牌加倍，并提取约4,700 ETH。

这是该分散贷款协议在2020年遭受的第三次黑客攻击，造成的年度损失超过900万美元。最近的一次攻击是最重要的，因为据报道，这800万美元相当于bZx智能合约中冻结的资金的30％。

抢劫之后，bZx团队在其社交网络上报告说，用户资金没有风险因为攻击者没有直接从用户的钱包中窃取，而是产生了人为的金钱。 同样，在一份新闻稿中，他们补充说，由于平台现金流量支持的保险基金，黑客入侵的所有债务都将被系统吸收。 从这个意义上说，被盗的800万美元已经由该公司承担，该公司现在对该基金负有“临时债务”。

该协议的指令已成功追踪了黑客的地址，黑客的活动已在以太坊区块链上进行了注册。 攻击者首先设法通过三笔不同的交易窃取了他们的赃物，并继续通过网络筹集资金。 尚未报告该公司将如何处理此信息，或者是否会就此盗窃行为与当局联系。

审核不能从漏洞中拯救DeFi bZx

尽管对这种攻击可能产生的财务影响的疑虑已经解决，但加密社区的成员正在质疑bZx和其他DeFi应用程序等平台的安全性。

该公司已确保对其合同进行多次审核，并保持开放状态以提高其安全性。 但是，该协议在不到一年的时间内就已经进行了两次黑客攻击。 在一群恶意用户设法使平台的运行崩溃之后，2020年初的攻击造成了超过90万美元的损失。 到那时，开发人员已收到有关此错误的通知，但当时未解决。

历史今天重演，因为这次被黑客利用的安全漏洞已在Bitcoin.com工程师马克·萨伦（Marc Thalen）使用前几小时检测到。 但是，该平台的开发人员目前还没有清醒，无法在对付他们之前解决问题。

攻击者会利用该协议的智能合约的_internalTransferFrom（）函数中的漏洞。 这将是所有以太坊ERC-20代币所拥有的选择权，并负责转让所述资产。 然而，在bZx的特定情况下，它存在一个错误，该错误使用户可以人为地增加其余额，因此被利用来复制其令牌。

bZx代码中的修复程序将防止用户夸大其余额。 资料来源：bZx博客。

bZx董事会指出，他们已经合并了能够转让令牌的新要求，该要求已由两家安全公司Peckshield和Certik进行了审核。 现在，要传输令牌，用户将必须等待交易批准后数分钟才能设置余额减少。 这样可以防止恶意实体人为增加资金。

贷款平台的声明还表明它是“最复杂”的协议之一，这就是为什么他们担心，无论更多的安全专家审核他们的代码，总是会出现无法识别的错误。

分散式金融（DeFi）生态系统的用户应注意，这些项目中的许多项目可能在其智能合约中存在漏洞或键入错误，这些安全漏洞使他们容易遭受货币资金的损失。 公共审计和奖励计划对于检测这些问题是必需的，但的确，DeFi应用程序大部分是实验性的，并且可能具有隐藏的错误。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。