DeFi-протокол кредитования bZx был снова атакован и потерял более $8 млн из-за ошибки в коде смарт-контракта. Об этом сообщает The Block.
Ошибка в коде позволила злоумышленнику продублировать свой баланс в токенах iToken (процентные токены bZx). Через несколько часов после обнаружения ошибки bZx приостановил создание и сжигание iToken.
Ошибка позволила хакеру получить 219 200 токенов LINK (~$2,6 млн); 4503 ETH (~$1,6 млн); 1.7 млн USDT; 1.4 млн USDC и 667 989 DAI. Всего около $8.1 млн. Команда bZx заявила, что средствам пользователей ничего не угрожает, а убытки покрываются страховым фондом.
Ведущий разработчик Bitcoin.com Марк Тален утверждает, что он первый обнаружил ошибку. Сам Тален проверил уязвимость и создал заем в размере 100 USDC. «Из них я получил iUSDC. Затем я отправил эти деньги себе, практически дублируя средства. Затем я создал заявку на $200», ― сказал Тален.
Соучредитель bZx Кайл Кистнер в комментарии для The Block сказал, что сейчас «сложно сказать», как такую «критическую» ошибку не смогли обнаружить аудиторские компании Peckshield и Certik. По словам Кистнера, сейчас компании проводят анализ этой ситуации. Peckshield заявила, что «один аудит не может гарантировать устранение всех потенциальных проблем».
Тален рассчитывает получить вознаграждение от bZx за обнаружение ошибки. Кистнер сказал The Block, что Тален получит вознаграждение в размере $12 500, поскольку он сообщил об «инциденте, который уже расследовался».
Это уже третья атака на bZx в этом году. В феврале в результате двух атак протокол потерял около $945 000.
На вопрос о том, как bZx планирует вернуть доверие пользователей на фоне этих атак, Кистнер сказал следующее: «Мы хотим создавать продукты и стимулы, которые настолько привлекательны, что пользователи будут использовать их независимо от того, как они относятся к нашему бренду».