Des hackers volent 8 millions $ de crypto-monnaies au protocole DeFi BZx

Les pirates ont pu infiltrer le protocole de prêt DeFi bZx et ont volé plus de 8 millions de dollars de crypto-monnaies. Ce n'est pas la première fois que le protocole DeFi est attaqué cette année.

Cette fois, les hackers étaient 8 fois plus puissants que l'attaque précédente contre la plateforme de trading et de prêt basée sur la marge et l'effet de levier. Les pirates ont exploité une vulnérabilité de duplication qui leur a donné accès à détourner USDC , USDT , ETH et LINK, pour une valeur combinée de plus de 8 millions de dollars.

Anton Bukov, un membre de l'équipe du groupe bZx a publié un message sur Twitter pour admettre que l'entreprise avait été touchée par une autre attaque. Il a également déclaré que le piratage avait été initié en raison d'une faute dans la ligne de code d'un contrat intelligent. Le piratage a réussi après que les pirates informatiques ont lancé les transactions iToken pour détourner des ETH.

Comment l'attaque s'est produite

Lorsque les chercheurs ont fouillé plus en profondeur pour découvrir comment les pirates ont pu à nouveau infiltrer le protocole DeFi, le rapport a montré qu'il y avait une vulnérabilité dans le «transferfrom0 protocol», qui a permis le transfert réussi d'ERC20 entre les protocoles.

Cela a facilité le lancement de la fonction lors de la création et du transfert de l'iToken, donnant aux pirates informatiques la possibilité d'augmenter leur équilibre. Les pirates ont pu lancer une fonction de transfert en utilisant le même formulaire et à l'adresse de la fonction principale. Immédiatement après cela, ils ont utilisé une fonction InternalTransferFrom avec un seul argument, permettant aux lignes de coder en défaut.

Par la suite, les hackers ont pu augmenter l'équilibre des –balancesTo tout en réduisant les –balancesFrom, sur la base du rapport. Après avoir volé 8 millions de dollars au protocole DeFi, les pirates bZx ont immédiatement corrigé le code défectueux. Après l'approbation des sociétés de codage Peckshield et Certik, le protocole de prêt DeFi a décidé de corriger le code.

Ce n'est pas la première fois que bZx est attaqué

Avec cette récente vague d'attaques, il semble que bZx traverse une période difficile cette année. Sur la base d'un rapport précédent, un pirate informatique a réussi à voler 1 million de dollars d'ETH sur le portail lors de deux tentatives réussies en février.

Lors de la première attaque survenue le 14 février, le pirate a utilisé différentes méthodes lors des attaques. Tout d'abord, le pirate a pris 10 000 ETH de dYdX et a contracté un prêt de 112 wBTC en utilisant 5500 ETH.

Lors de la deuxième attaque, qui a eu lieu quatre jours plus tard, l'attaquant a vidé le système de 600 000 $ en tirant parti de la «manipulation d'oracle» pour tromper le système.