bZxが再び攻撃される
DeFi貸し出しプロトコルbZxが昨夜再び攻撃され、コードの欠陥により800万ドルを失ったことが分かった。この件でbZxの共同創設者であるカイル・キストナー氏は、「重大な」バグがプロトコルの2つの監査会社PeckshieldとCertikによってどのように特定されなかったかを語るのは難しいとThe Blockに向けてコメントしている。
DeFi (分散金融) 融資プロトコルbZxが13日夜に再攻撃され、スマートコントラクトのコード欠陥によって800万ドル(約8億5,000万円)強を失った。欠陥のあるコードによって攻撃者は、資産を複製したり、bZxの有償トークンのiTokenの残高を増やしたりすることがで来たと海外メディアは詳細を報じている。バグに気付いてから数時間後、bZxはiTokenの作成と書き込みを一時停止させ、重複バランスを修正する修正後に一時停止を解除した。
今回攻撃されたバグによって、ハッカーは219,200個のLINKトークン(約2億7,500万円相当)を作成できた。4,503 ETH(約1億7,000万円相当)、1,756,351 USDT(約1億8,000万円相当)、1,412,048 USDC(約1億5,000万円相当)、667,989 DAI(約7,200万円相当)の計810万ドルです。bZxは、損失は保険基金で賄われているため、ユーザーファンドは危険にさらされていないと語った。
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— Marc Thalen (@MarcThalen) September 14, 2020
Bitcoin.comの主任エンジニアであるマーク・ターレン(Marc Thalen)氏は、最初にバグを特定したと主張しており、同氏は2,000万ドルを超えるbZxファンドがリスクにさらされていると述べた。ターレン氏自身がこのエクスプロイトを試し、USDC(100ドル)を使用してローンを作成し、これから、iUSDCを取得した後、これを自分に送って実際に資金を複製。その後、200ドルの請求を作成したと同氏は述べています。
bZxの共同創設者であるカイル・キストナー(Kyle Kistner)氏は、次のように述べた。
この「重大な」バグがプロトコルの2つの監査会社PeckshieldとCertikによってどのように特定されなかったのかを語るのは難しく、企業側は内部の根本的な原因の分析についてすでに準備している。ペックシールドは1つの監査ですべての潜在的な問題を見つけることを保証できない。
今年、bZxへ実行された攻撃は3回目で、2月に同プロトコルは2つの攻撃で約945,000ドルを失っている。最新の攻撃によってbZxのロックされた合計値(TVL)は70%減少しており、約630万ドルにまで下がっている。
If I understand correctly, bZx lost:
$2.6m of $LINK
$1.6m of $ETH
$3.8m of stablecoins
——
$8.0mPlease, please pause operations until this can be re-audited and thoroughly analyzed–instead of saying “no big deal”.
This is NOT how you respond to a hack 🚨 https://t.co/CqZltmNt1o
— 🤖 Leshner (@rleshner) September 14, 2020
一部の業界の専門家は、bZxの運用を停止し、プロトコルの再監査を望んでいる。キストナー氏はユーザーからの信頼をどのように強化させていくのか、というメディアの質問に対して以下のように語っている。
bZxセキュリティ監査人はそのような一連の行動を推奨しなかった。ターレン氏が12,500ドルの賞金を受け取ることになるだろう。DeFi市場では物事が急速に変化する。
