Hackers stjäl kryptovalutor till ett värde av 8 miljoner dollar från DeFi-protokollet bZx

Hackare har infiltrerat DeFi-utlåningsprotokollet bZx och stal mer än 8 miljoner dollar i kryptovalutor. Det är inte första gången DeFi-protokollet attackeras i år.

Den här gången var hackarna betydligt starkare än den tidigare attacken mot plattformen och lyckades utnyttjade en sårbarhet som lät dem stjäla USDC, USDT, ETH och LINK, till ett värde av över 8 miljoner dollar.

Anton Bukov, en teammedlem i bZx-gruppen, delade en tråd på Twitter för att upplysa om att företaget drabbades av en andra attack. Han sa också att hackingen kunde ske på grund av ett fel i koden för ett smart kontrakt. Attacken lyckades efter att hackarna initierade iToken-transaktionerna för att stjäla ETH.

Hur attacken inträffade

När forskare grävde djupare för att ta reda på hur hackarna kunde infiltrera DeFi-protokollet igen, visade rapporten att det fanns en sårbarhet i "transferfrom0-protokollet", vilket möjliggjorde en lyckad överföring av ERC20 mellan protokoll.

Detta gjorde det lättare att starta funktionen när iToken skapades eller överfördes, vilket gav hackarna möjlighet att öka sin egen balans. Hackarna kunde initiera en överföringsfunktion med samma formulär och mottagaraddress som huvudfunktionen. Omedelbart efter det använde de en InternalTransferFrom-funktion med ett enda argument, vilket utnyttjade felet i koden.

Därefter kunde hackarna öka balansen för –balanceTo och samtidigt minska –balanceFrom, enligt rapporten. Efter att ha stulit 8 miljoner dollar från DeFi-protokollet så uppdaterade hackarna omedelbart den felaktiga koden.

Det här är inte första gången bZx attackeras

Med det ökade antalet attacker sista tiden verkar det som om bZx står inför ett besvärligt år. Enligt en rapport stal en hackare ETH för 1 miljon dollar från portalen vid två framgångsrika försök i februari.

I den första attacken som inträffade den 14 februari använde hackaren olika metoder i attackerna. Först tog hackaren 10 000 ETH från dYdX och sedan ett lån på 112 wBTC med 5 500 ETH.

I den andra attacken, som inträffade fyra dagar senare, stal angriparen 600 000 dollar genom att utnyttja "oracle manipulation" för att lura systemet.