bzx DeFi токен от bZx был взломан!

[BOMBERuss 7928]

13 сентября был взломан один из токенов DeFi платформы для маржинальной торговли и кредитования bZx. Конкретно из-за бага в смарт-контракте было продублировано несколько токенов iToken.

Данный баг в смарт-контракте мог дублировать токены или изменять их баланс.

 

 

В итоге со счетов было украдено токенов на сумму около 8 000 000 американских долларов в виде таких активов как:

• LINK;
• DAI;
• USDT.

Как говорится в отчете по данной ситуации уже 15 сентября все денежные средства были изъяты у злоумышленника. bZx восстановил систему и зашил ошибку в смарт-контракте.

Но не все еще потеряно, так как в системе 3 ERC-20 токена со своими смарт-контрактами:

• iTokens;
• BZRX; 
• pTokens.

Не думаю что атаки на смарт-контракты bZx остановятся, так как это третья атака за 2020 год.

 

Вы до сих пор думаете что децентрализованные финансовые системы безопасны?

Edited September 18, 2020 by BOMBERuss

[Typpak 16028]

Не думаю, в чем они хороши, так хайпить на каждом углу на данный момент времени. Такие баги в контракте и ломают все, если это уже не первая атака, то и уверенности у людей должно убавиться. 

[BOMBERuss 7928]

10 minutes ago, Typpak said:

Не думаю, в чем они хороши, так хайпить на каждом углу на данный момент времени. Такие баги в контракте и ломают все, если это уже не первая атака, то и уверенности у людей должно убавиться. 

Эта ситуация показывает что DeFi проекты не так безопасны, как кричат на каждом углу их разработчики. 3 раза взломать один и тот же проект за один год это сильно.

В июне у Balancer сперли пол миллиона в долларовом эквиваленте криптой:

• Wrapped Bitcoin;
• Synthetix;
• Chainlink;
• Wrapped Ethereum.

Но тут из за механизма дефляции.

В апреле у Lendf стащили почти 100% эфира и битка, напав на смарт-контракт токена imBTC.

Август тоже не остался в стороне, тогда у Opyn увели 371 тысячу долларов. И тут через смарт-контракт токена OETH двойную транзакцию умудрились провести.

И это все DeFi.

 

[Casual12 15413]

19 minutes ago, BOMBERuss said:

Эта ситуация показывает что DeFi проекты не так безопасны, как кричат на каждом углу их разработчики. 3 раза взломать один и тот же проект за один год это сильно.

В июне у Balancer сперли пол миллиона в долларовом эквиваленте криптой:

• Wrapped Bitcoin;
• Synthetix;
• Chainlink;
• Wrapped Ethereum.

Но тут из за механизма дефляции.

В апреле у Lendf стащили почти 100% эфира и битка, напав на смарт-контракт токена imBTC.

Август тоже не остался в стороне, тогда у Opyn увели 371 тысячу долларов. И тут через смарт-контракт токена OETH двойную транзакцию умудрились провести.

И это все DeFi.

 

В любом случае пока DeFi  будут на слуху , подобные махинации не сильно отразятся на репутации , хоть и очень это странно что уязвимым оказался именно смарт контракт,  в который априори сложно влезть )

[BOMBERuss 7928]

Just now, Casual12 said:

В любом случае пока DeFi  будут на слуху , подобные махинации не сильно отразятся на репутации , хоть и очень это странно что уязвимым оказался именно смарт контракт,  в который априори сложно влезть )

Найденных и очень известных случаев манипуляции смарт-контрактами много. Даже DAO это не обошло стороной. Другой вопрос что написанные с ошибками смарт-контракты всегда были под угрозой. А в данном случае даже замороженные в смарт-контрактах DeFi криптовалюты также не находятся в безопасности, хоть об этом и кричат разработчики разных DeFi проектов.

Кстати про контроль доступа, атакут Race-To-Empty, уязвимости Arithmetic Issues и Bad Randomness можете почитать здесь https://crypto-fox.ru/faq/uyazvimosti-smart-kontraktov-i-kak-s-nimi-borotsya/

[Casual12 15413]

18 minutes ago, BOMBERuss said:

Найденных и очень известных случаев манипуляции смарт-контрактами много. Даже DAO это не обошло стороной. Другой вопрос что написанные с ошибками смарт-контракты всегда были под угрозой. А в данном случае даже замороженные в смарт-контрактах DeFi криптовалюты также не находятся в безопасности, хоть об этом и кричат разработчики разных DeFi проектов.

Кстати про контроль доступа, атакут Race-To-Empty, уязвимости Arithmetic Issues и Bad Randomness можете почитать здесь https://crypto-fox.ru/faq/uyazvimosti-smart-kontraktov-i-kak-s-nimi-borotsya/

Спасибо за предоставленную информацию,  становится как то страшно инвестировать после того как видно что практически у всех DeFi есть уязвимость в смарт контрактах 

[Dagamand007 12021]

1 hour ago, BOMBERuss said:

Эта ситуация показывает что DeFi проекты не так безопасны, как кричат на каждом углу их разработчики. 3 раза взломать один и тот же проект за один год это сильно.

В июне у Balancer сперли пол миллиона в долларовом эквиваленте криптой:

• Wrapped Bitcoin;
• Synthetix;
• Chainlink;
• Wrapped Ethereum.

Но тут из за механизма дефляции.

В апреле у Lendf стащили почти 100% эфира и битка, напав на смарт-контракт токена imBTC.

Август тоже не остался в стороне, тогда у Opyn увели 371 тысячу долларов. И тут через смарт-контракт токена OETH двойную транзакцию умудрились провести.

И это все DeFi.

 

Получается что из за ажиотажа и хайпа вокруг DeFi проектов, хакеры начали активно искать уязвимости их системах. По безопасности эти проекты что-то сильно отстают, что будет плохо сказываться на другие подобных проектах.

[J.Assange 12938]

Оу еще не вечер будут и еще взломы.Иногда есть такое чувство,что сами бекдоры оставляют,а потом ой нас взломали и руки чистые.

[Toris 18281]

15 hours ago, J.Assange said:

Оу еще не вечер будут и еще взломы.Иногда есть такое чувство,что сами бекдоры оставляют,а потом ой нас взломали и руки чистые.

Да, определенно такие мысли возникают у меня всегда, когда читаю похожие новости. Что-то подозрительно часто ломают, а не сами ли они придумали механизм слиться с рынка или проводить любые иные манипуляции, цели коих не всегда известны) А на bzx еще много нападок будет, это ожидаемо уже) Просто берем попкорн и наслаждаемся зрелищем, но на самом деле это что-то уже перестает быть забавным.

[Dec 3507]

После этого токен хорошо просел, жаль что я поздно об этом узнал, чем характерно, что разработчики всех уверяли что защита прочна и надёжна, и сразу же взлом , совпадение? 

[Job Anderson 8190]

18 hours ago, BOMBERuss said:

Найденных и очень известных случаев манипуляции смарт-контрактами много. Даже DAO это не обошло стороной. Другой вопрос что написанные с ошибками смарт-контракты всегда были под угрозой. А в данном случае даже замороженные в смарт-контрактах DeFi криптовалюты также не находятся в безопасности, хоть об этом и кричат разработчики разных DeFi проектов.

Кстати про контроль доступа, атакут Race-To-Empty, уязвимости Arithmetic Issues и Bad Randomness можете почитать здесь https://crypto-fox.ru/faq/uyazvimosti-smart-kontraktov-i-kak-s-nimi-borotsya/

Со смарт-контрактами на Эфириуме это встречается довольно часто. Причины тут две -

Первая, - в криптосообществе не хватает тестировщиков. На одного разработчика для проекта нужно иметь 10 тестировщиков, которые все проверят и выявят ошибку. Иногда проекты организовывают специальные баунти, для вознаграждения за каждую выявленную ошибку.

Вторая - просто спешат. Хотят быстро вывести проект на рынок и срубить денег на хайпе. А всякие баги латают уже после их обнаружения☺

[Romeros 6074]

On 18.09.2020 at 14:17, BOMBERuss said:

13 сентября был взломан один из токенов DeFi платформы для маржинальной торговли и кредитования bZx. Конкретно из-за бага в смарт-контракте было продублировано несколько токенов iToken.

Данный баг в смарт-контракте мог дублировать токены или изменять их баланс.

 

 

В итоге со счетов было украдено токенов на сумму около 8 000 000 американских долларов в виде таких активов как:

• LINK;
• DAI;
• USDT.

Как говорится в отчете по данной ситуации уже 15 сентября все денежные средства были изъяты у злоумышленника. bZx восстановил систему и зашил ошибку в смарт-контракте.

Но не все еще потеряно, так как в системе 3 ERC-20 токена со своими смарт-контрактами:

• iTokens;
• BZRX; 
• pTokens.

Не думаю что атаки на смарт-контракты bZx остановятся, так как это третья атака за 2020 год.

 

Вы до сих пор думаете что децентрализованные финансовые системы безопасны?

Есть вариант, что эти ошибки в смарт-контрактах сами разрабы допустили спецом, некую часть сперли - нас взломали. По моему гениально. Но такие проекты же еще живут? Живут конечно, да, репутация подпорчена, но кажется легко восстановить ее, дропчик провел не плохой - вот  тебе и плюс к репутации. 

[Typpak 16028]

On 18.09.2020 at 15:44, BOMBERuss said:

Эта ситуация показывает что DeFi проекты не так безопасны, как кричат на каждом углу их разработчики. 3 раза взломать один и тот же проект за один год это сильно.

В июне у Balancer сперли пол миллиона в долларовом эквиваленте криптой:

• Wrapped Bitcoin;
• Synthetix;
• Chainlink;
• Wrapped Ethereum.

Но тут из за механизма дефляции.

В апреле у Lendf стащили почти 100% эфира и битка, напав на смарт-контракт токена imBTC.

Август тоже не остался в стороне, тогда у Opyn увели 371 тысячу долларов. И тут через смарт-контракт токена OETH двойную транзакцию умудрились провести.

И это все DeFi.

 

Верно, что на слуху они будут. Один хороший пропиаренный дефи будет сидеть долго в головах людей, чем какой нибудь взлом. Всё эти взломы наводят на мысль, что очень у них бабок, раз так воруют)) 

[BOMBERuss 7928]

On 18.09.2020 at 17:18, Dagamand007 said:

Получается что из за ажиотажа и хайпа вокруг DeFi проектов, хакеры начали активно искать уязвимости их системах. По безопасности эти проекты что-то сильно отстают, что будет плохо сказываться на другие подобных проектах.

Сейчас тема создания смарт-контрактов хорошо изучена программистами и дыры в них находят многие. Ранее работа со смарт-контрактами не имела такой огласки и изученности.

Помните хайп вокруг ICO? Тогда наплодилось очень много мошенников, теперь же начали искать ошибки в коде.

On 18.09.2020 at 17:40, J.Assange said:

Оу еще не вечер будут и еще взломы.Иногда есть такое чувство,что сами бекдоры оставляют,а потом ой нас взломали и руки чистые.

Любопытное мнение. При покупке токенов через DEX биржи по сути разработчики ответсвенности не несут, так как нет централизации и договора использования. Да и сейчас на DEX много поддельных DeFi токенов с тикером и названием как у известных. Тут надо смотреть на адрес смарт-контракта.

On 19.09.2020 at 18:00, Romeros said:

Есть вариант, что эти ошибки в смарт-контрактах сами разрабы допустили спецом, некую часть сперли - нас взломали. По моему гениально. Но такие проекты же еще живут? Живут конечно, да, репутация подпорчена, но кажется легко восстановить ее, дропчик провел не плохой - вот  тебе и плюс к репутации. 

Выше немного упомянул об этом. Проекты живут и с подпорченной репутацией. Крупные блокчейны были атакованя, но до сих пор майнеры майнят, биржи листят, инвесторы холдят...

[Job Anderson 8190]

1 hour ago, BOMBERuss said:

Сейчас тема создания смарт-контрактов хорошо изучена программистами и дыры в них находят многие. Ранее работа со смарт-контрактами не имела такой огласки и изученности.

Помните хайп вокруг ICO? Тогда наплодилось очень много мошенников, теперь же начали искать ошибки в коде.

Любопытное мнение. При покупке токенов через DEX биржи по сути разработчики ответсвенности не несут, так как нет централизации и договора использования. Да и сейчас на DEX много поддельных DeFi токенов с тикером и названием как у известных. Тут надо смотреть на адрес смарт-контракта.

Выше немного упомянул об этом. Проекты живут и с подпорченной репутацией. Крупные блокчейны были атакованя, но до сих пор майнеры майнят, биржи листят, инвесторы холдят...

Все возможно, но проекты должны своевременно устранять такие баги, а главное быть ответственными и не спешить выводить продукт на рынок без основательной проверки. Перед выводом на рынок по идее нужно организовать хорошо оплачиваемое баунти для тестировщиков. И только после основательной проверки можно запускаться☺

[BOMBERuss 7928]

7 minutes ago, Job Anderson said:

Все возможно, но проекты должны своевременно устранять такие баги, а главное быть ответственными и не спешить выводить продукт на рынок без основательной проверки. Перед выводом на рынок по идее нужно организовать хорошо оплачиваемое баунти для тестировщиков. И только после основательной проверки можно запускаться☺

Должны, но не устраняют. Все из-за того что сейчас бум на DeFi проекты и их начали лепить на коленке из гомна и палок в надежде на привлечение инвесторов и взлет цены на токен. Такие разработчики спешат обогатится и не привлекают специалистов, так как на поиск уязвимостей нужно время и деньги. 

Ошибку в смарт-контракте Parity наши как злоумышленники, так и белые хакеры - исследователи. Но баг-репорты не полетели пачками, так как не было программы Bug-bounty. Только после взлома Parity начали просить у сообщества и пользователей скинуться деньжатами на обеспечение безопасности. Всем же нужна моментальная прибыль, а затраты на безопасность покрывает жадность.

[Dagamand007 12021]

6 hours ago, BOMBERuss said:

Сейчас тема создания смарт-контрактов хорошо изучена программистами и дыры в них находят многие. Ранее работа со смарт-контрактами не имела такой огласки и изученности.

Помните хайп вокруг ICO? Тогда наплодилось очень много мошенников, теперь же начали искать ошибки в коде.

Да хайп на ИСО был серьзный, каждый пытался создать токен и сделать деньги не откуда. Было очень много мошеников которые исчещали с большими деньгами. Сейчас подобное наблюдается в DeFi проектах.

[BOMBERuss 7928]

1 hour ago, Dagamand007 said:

Да хайп на ИСО был серьзный, каждый пытался создать токен и сделать деньги не откуда. Было очень много мошеников которые исчещали с большими деньгами. Сейчас подобное наблюдается в DeFi проектах.

Скажу больше - огромное количество токенов проданных по ICO до сих пор не торгуются. Их можно продать на DEX биржах, если найдется заинтересованный покупатель, но ордер будет висеть годами.

Из-за сегодняшнего хайпа на DeFi инвесторы также скупают много неликвида и поддельных токенов, а разработчики вроде бы серьезных проектов только обогащаются, но не заботятся о безопасности активов инвесторов.

[adddin555 12920]

On 18.09.2020 at 17:40, J.Assange said:

Оу еще не вечер будут и еще взломы.Иногда есть такое чувство,что сами бекдоры оставляют,а потом ой нас взломали и руки чистые.

значит пока что закупать токены дефи не стоит.мало ли что еще может произойти.ведь на верняка те кто еще до взлома закупил монеты  потеряли на этом много денег.я уверен что такие люди есть.многие надеялись на то что проэкт будет надежным а в итоге вот что получилось.

[Dagamand007 12021]

12 hours ago, BOMBERuss said:

Скажу больше - огромное количество токенов проданных по ICO до сих пор не торгуются. Их можно продать на DEX биржах, если найдется заинтересованный покупатель, но ордер будет висеть годами.

Из-за сегодняшнего хайпа на DeFi инвесторы также скупают много неликвида и поддельных токенов, а разработчики вроде бы серьезных проектов только обогащаются, но не заботятся о безопасности активов инвесторов.

Насчет ИСО вы правы, много токенов вообще не вышли, хотя обещали золотые горы. Да люди из за хайпа вокруг DeFi скупают откровенно говоря скам, который вообще не будет торговаться. Но многие хотят на этом заработать.

[BOMBERuss 7928]

28 minutes ago, Dagamand007 said:

Насчет ИСО вы правы, много токенов вообще не вышли, хотя обещали золотые горы. Да люди из за хайпа вокруг DeFi скупают откровенно говоря скам, который вообще не будет торговаться. Но многие хотят на этом заработать.

Вот как раз из-за желания заработать их и скупают, даже не проверяя адрес контракта и что это за контора. А конторы лепят DEFi токены не проверяя ошибки в контрактах или изменяя чужие DeFi контракты на свой лад, при этом добавляется еще много косяков в коде. Обе стороны хотят легкой наживы.

[Dagamand007 12021]

11 minutes ago, BOMBERuss said:

Вот как раз из-за желания заработать их и скупают, даже не проверяя адрес контракта и что это за контора. А конторы лепят DEFi токены не проверяя ошибки в контрактах или изменяя чужие DeFi контракты на свой лад, при этом добавляется еще много косяков в коде. Обе стороны хотят легкой наживы.

Некоторые конторы просто лепят контракты просто чтоб собрать денюжку и красиво уйти. А инверторы которые поверили в это остаются не с чем. Сейчас нужно очень тщательно проверять проекты в которые хочется инвестировать, тем более DeFi.

[BOMBERuss 7928]

16 minutes ago, Dagamand007 said:

Некоторые конторы просто лепят контракты просто чтоб собрать денюжку и красиво уйти. А инверторы которые поверили в это остаются не с чем. Сейчас нужно очень тщательно проверять проекты в которые хочется инвестировать, тем более DeFi.

Их всегда нужно чательно проверять как перед инвестированием в DeFi токены, так и при покупке токенов при проведении ICO. Большинство уже и перед участием в airdrop проверяют команду, дорожную карту, белую бумагу и другие показатели проекта. Всем советую.

[Rt2020 7048]

Взлом говорит о популярности! Хакеры не станут взламывать какой-то неизвестный токен, который ничего не стоит. Они проявляют интерес только к тому, что востребовано. Если, конечно, это и на самом деле взлом, а не имитация...

Edited September 25, 2020 by Rt2020

[BoloYeungOFF 947]

On 18.09.2020 at 15:24, Typpak said:

Не думаю, в чем они хороши, так хайпить на каждом углу на данный момент времени. Такие баги в контракте и ломают все, если это уже не первая атака, то и уверенности у людей должно убавиться. 

По моему доверие вообще должно пропасть , это второй взлом bZx , первый раз их взломали кажется в феврале .