DEX「笨小孩」被盗 殃及两机枪池应用
DeFi 收益能「套娃」,安全事故出现时也会产生「套娃」反应。
10 月 30 日,多链部署的去中心化交易应用(DEX) BXH 被盗,损失了价值约 1.39 亿美元的加密资产,此次安全事故发生在 BSC 链上的 BXH 协议,据该应用官方声明显示,以太坊、OEC 链、Heco 链上的 BXH 协议及资产未受影响,但出于安全考量,关闭了所有链上的对外服务。
事故发生后,根据区块链安全机构慢雾科技的分析,被盗前,BXH 管理钱包地址出现过「赋予攻击合约管理权限」的操作,导致攻击合约通过管理权限从 BXH 策略池资金库将其管理的资产转出,被盗的部分资金已跨链转移。
失窃原因一出,舆论哗然,BXH 不幸地以安全事故的方式反应了它的中文花名「笨小孩」。
有人想不通为何 BXH 能将资金管理权限「拱手让黑客」,也有人质疑该应用监守自盗,该应用的王姓主导人此前的负面信息再次被扒出。BXH 其官方未就舆情进行过多回应,仅表示「私钥泄露」,并发布 100 万美元悬赏金招揽白帽子团队追回资金。
由于 BXH 已经关闭了应用的充提功能,依赖该交易所流动性的机枪池应用 Coinwind 也因安全排查而关闭了其在多条链上的充提功能,而另一个机枪池应用 Earn DeFi 则因 Coinwind 的充提暂停而关了充提。
DeFi 收益能「套娃」,安全事故出现时也会产生「套娃」反应。截至发稿,上述三个应用均未开放充提功能。
BXH 管理权限「被黑」遭质疑
价值 1.39 亿美元的加密资产被盗走一天后,北京时间 10 月 31 日,BXH 在官方社交媒体上公示了其在 BSC 链上的资金池剩余资产,包括 USDT、USDC、BTC、ETH、BUSD、MDX 在内,资产残值约余 1.84 亿美元左右。
当前 BXH 在 BSC 链上的残值剩 1.84 亿美元
BXH 官方表示,剩余资产的提币方案将在第三方安全联合团队确认事故原因和合约安全以及警方调查初步问题以后,出具资产提币公告和其他补偿方案。
此前的公开信息显示,去中心化交易应用 BXH 于今年 3 月初始部署于火币 Heco 链,曾以「短短 10 天内吸引了数万用户以及 12 亿美金的 TVL」的成绩风靡 DeFi 火爆期;今年 7 月 30 日正式部署在 BSC 链上,此后又在以太坊和 OEC 链上「建站」。
事发前的 10 月 25 日,BXH 刚在 BSC 链上启动了借贷池挖矿功能,结果 5 天后就出了事儿。
区块链安全机构、BXH 的审计方之一慢雾科技已在事发后给出了初步分析,据该机构情报,黑客于 27 日 13 时(UTC) 部署了攻击合约 0×8877;接着在 29 日 08 时(UTC), BXH 项目管理钱包地址 0×5614 通过 grantRole 赋予攻击合约 0×8877 管理权限;30 日 03 时(UTC),攻击者通过攻击合约 0×8877 的权限从 BXH 策略池资金库中将其管理的资产转出;30 日 04 时(UTC) 0×5614 暂停了资金库。「因此,BXH 本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。」
追踪也在事发后的 10 月 30 日开始了,慢雾科技于当日的北京时间 16 时 24 分公告,黑客在 BSC 链上的初始获利地址已将 4000 ETH 从 BSC 链转移到 ETH 链,接着将 300 BTCB 兑换为 renBTC,跨链到了两个地址上。
如按照 BXH 事发后的公告,被盗资金的转移链条已经在多个安全机构的追踪中,该应用也已经发布了 100 万美元的悬赏公告,计划招揽白帽子团队进行资金追回。
慢雾科技的「初诊」一出,网上舆论及 BXH 的用户纷纷表示不解,有人疑惑,BXH 的钱包管理权限为何会拱手让予黑客,也有人将此质疑为项目方的监守自盗。BXH 目前没有应对这些舆情,仅表示「私钥泄露」。
官方「私钥泄露」说暴露了该交易应用在私钥管理上的漏洞。DeFi 领域的 KOL 神鱼就有疑问,私钥「为啥不多签,为啥不加时间锁」。对于这类疑惑,BXH 也尚未对外给出答复,有待事后的更详细的安全分析复盘。
媒体《巴比特》援引加密资产存管服务商安全鹭说法称,加密资产的管理者需要更加重视单私钥管理中带来的安全风险,应尽快把 Owner 私钥升级为多签管理的方式,避免私钥单点风险。而通过链上合约多签或者 MPC 多签,均可以实现对 Owner 私钥的多签管理。
可见,私钥安全风险虽有,但也有技可施,掌管着用户上亿美元资产的 BXH 在私钥管理上失职了。
两个第三方机枪池连环关停充提
尽管事故发生在 BSC 版的 BXH 中,以太坊、OEC 及 Heco 上的资产并未受到影响,但该应用出于安全考量,还是关闭了其在各个链上的服务功能。
BXH 暂时关停服务后,DeFi「套娃」效应的暗黑一面也出现了,依赖 BXH 流动性的第三方机枪池应用 CoinWind 也在 10 月 30 日紧急地关停了其在 BSC、Heco 及以太坊链上的部分充值和提现功能。结果,另一个机枪池应用 Earn DeFi 的官方公告称,因为 CoinWind 暂停充提,他们也停了充提。
BXH 被盗的连锁反应导致三个应用的用户们目前都无法取出存储在其中的资产。
蜂巢财经登陆 CoinWind 应用发现,该应用确实已经暂停了充提功能,收益虽然正常计算,但本金和收益均无法正常提取。Earn DeFi 同样如此。
两个机枪池应用接连关闭充提
10 月 31 日,CoinWind 的公告显示,由于 BXH 关闭了所有主链的充提,目前 CoinWind 无法从 BXH 取回部分投放资金,故跟随暂停了 Heco、BSC、ETH 三条主链的充提,且相关数据暂无法准确计算。该应用表示,BXH 如在确定无风险后开放 Heco、ETH 充提,CoinWind 也将开放。现阶段,Heco、ETH 主链的 CoinWind 用户的本币及收益未受到影响,该应用正在全力跟进 BXH 在 BSC 链本次被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。
CoinWind 暂停充提后,Earn DeFi 仅在用户群中通过小助手发了一纸公告,官网及官方该公告显示,由于 CoinWind 紧急关闭了三条链上的单币质押及 DAO 充提,Earn DeFi 用户在 ETH、BTC、USDT 池的充提会受到影响。具体多少资金被波及,该公告同样没有明说。
从双方的公告看,机枪池应用 CoinWind 的投入及收益来源之一是 BXH,而 Earn DeFi 的部分收益耕种区是 CoinWind,结果,城门失火,殃及池鱼。池是机枪池,鱼是这些应用的用户们。
需要关注的是,很多值得深思的细节问题也在事故发生后浮出水面。
比如,CoinWind 官方社群的管理员就表示,他们与 Earn DeFi 并无关系,双方没有合作,也从未收到过对方前来存币的对接信息,对方自事发后也没有给出与 CoinWind 交互的合约地址。有 CoinWind 用户认为,Earn DeFi 在「甩锅」,仍在使用该应用的用户「要小心了」。
Earn DeFi 也没对对方的说法给出更多回应,但从其自身公告看,Earn DeFi 作为机枪池「寄生」在另一个机枪池的做法多少显得很懒惰,一般情况下,交易应用的挖矿池才应该是机枪池们获取高收益的主要来源,结果 CoinWind 关充提,Earn DeFi 三个主流单币池就受了影响。
再比如,有用户对 CoinWind 将资产投入到屡受争议的 BXH 感到不满,「早知道是投入 BXH,我就不再 CoinWind 存币了。」用户有此情绪皆因今年 7 月,BXH 被多家自媒体深扒了主导成员的「不靠谱」行径,该应用的主导者王小彬被批评连续两年在区块链领域「发币、圈钱」、「10 个项目全是空气」,而王小彬此前在互联网领域创业时曾出现过产品跳票不发货、公司倒闭、欠薪成老赖被限制消费等「黑历史」。
有 CoinWind 用户认为,将用户资产投入到团队有争议的应用中去赚取收益,已经是风险前兆。
CoinWind 社群管理员针对「为什么选 BXH 机枪」作出解释称,他们对 BXH 做了尽职调研,包括对接入的所有其他池子都会做调研评估,BXH 的审计报告没有问题,且基本是实名项目。「作为机枪池,我们的义务就是选择收益高且较为可靠的池子投入,这次 BXH 被攻击是由于私钥被盗,就 CoinWind 而言,这确实属于人力不可抗因素。」
BXH 被盗需要反思自身的私钥管理问题,而对机枪池来说,至少有一些用户建议是值得这类收益管理应用们应该考虑的,特别是一个个 DeFi 应用都在朝着 DAO 发展时——公开、透明的告知用户资金配置的去向。
不要以「机密」为由敷衍用户,配资策略也许是机枪池的生存和竞争的壁垒,但公布资金被分配到了哪些收益耕地中并不太影响机密策略的具体执行,让用户知情权和选择权得到提前满足,这不正是区块链所倡导的精神吗?
比推快讯
更多 >>- Trump承诺若再当选将减免“丝绸之路”创始人刑期
- Web3娱乐工作室Feature完成190万美元融资
- 华裔女子因比特币洗钱在伦敦获刑6年8个月,涉案资产或归英国警方和内政部
- 核心开发人员计划于 2025 年第一季度末推出以太坊的下一个升级 Pectra
- 美特拉华州最高法院裁定 BitGo 对 Galaxy Digital 提起的 1 亿美元诉讼可以继续进行
- 过去十天价值近 10 亿美元的ETH已存入Ether.fi
- 过去24小时Aptos链上交易量达1640万笔,超过Sui Network升至第二位
- Marathon Digital与肯尼亚合作开展可再生能源项目,预计投资将超过 8000 万美元
- 比特币向上触及69000美元,日内涨2.03%
- Coinbase将Core(CORECHAIN)列入上币路线图
- 独立调查发现 FTX 破产律师未与该交易所合谋进行欺诈
- 美SEC前主席:SEC 仍没有明确表示以太坊的底层交易不属于证券
- 加密治理咨询公司MetaLeX完成275万美元融资,估值达到 2750 万美元
- Coinbase 就其与美SEC法律纠纷的核心问题提起临时上诉
- Polygon联创:区块链协议构建是一个至少需要十年的过程
- Tether CEO:Tether 的下一个大赌注是人工智能
- Fireblocks集成Injective,以扩大机构访问权限
- 以太坊基金会执行董事:正在制定正式政策,以解决潜在的利益冲突问题
- 马斯克再度发文悼念DOGE原型柴犬KABOSU
- Arbitrum: One 和 Nova 网络已处理超过 10 亿笔交易
- 黑山法院撤销将 Do Kwon 引渡到韩国的命令
- BTC突破68000美元
- 摩根大通:现货以太坊ETF或在 11 月美国大选之前开始交易
- Biswap:新战略路线图将聚焦于多链和流动质押等新功能
- 华人钱志敏因洗钱6万枚比特币被英国法院判6年有期徒刑
- Glassnode:近几周比特币长期持有者卖压显著降低
- DOGE原型柴犬KABOSU去世,马斯克发推悼念
比推专栏
更多 >>观点
项目
比推热门文章
- Trump承诺若再当选将减免“丝绸之路”创始人刑期
- Web3娱乐工作室Feature完成190万美元融资
- 华裔女子因比特币洗钱在伦敦获刑6年8个月,涉案资产或归英国警方和内政部
- 【比推一周Web3新闻精选】美国众议院投票通过共和党支持的加密FIT21法案;美 SEC 已批准 8 只现货以太坊 ETF 的 19B-4 表格,正式上市仍需时日;以太坊的下一个升级 Pectra计划于 2025 年第一季度末推出
- FIT21:美国历史上最重要的加密监管法案?
- 【比推每日新闻精选】以太坊的下一个升级 Pectra计划于 2025 年第一季度末推出;过去十天价值近 10 亿美元的ETH已存入Ether.fi;Coinbase将Core(CORECHAIN)列入上币路线图
- 【比推每日市场动态】市场消化ETF利好,3800美元或为ETH关键位
- 核心开发人员计划于 2025 年第一季度末推出以太坊的下一个升级 Pectra
- 美特拉华州最高法院裁定 BitGo 对 Galaxy Digital 提起的 1 亿美元诉讼可以继续进行
- 过去十天价值近 10 亿美元的ETH已存入Ether.fi