稍早lending protocol bZx 被黑了,黑客总共取走了现值$8m 的数字资产。
详细的官方事件报告在这https://bzx.network/blog/incident
这整个漏洞长话短说:他们的iToken合约的transferFrom()内部实作有个逻辑漏洞。一但from地址跟to地址一样,正确的作用是什么事都没发生才对,但是那个逻辑漏洞会让该地址的余额倍增…..。
bZx 在紧急暂停合约后,上了修复,又再度将合约重启。
虽然对外宣称这个漏洞并没有对用户资产造成影响,实际上负担损失的是他们的保险基金。
bZx 已经被两家智能合约审计公司(Peckshield 以及Certik) 进行了总共累计19 个人周的审计…. 但还是出了纰漏。
然后这不是bZx第一次被黑了,他们在2月时短短几天内总共被黑了两次。
- 市场上还有比bZx 更复杂的合约
- 市场上还有比bZx 管理更多资产的合约
- 通过审计!= 安全无虞