Najnowsza aktualizacja wartego 130 milionów dolarów hacka Defi na protokół BXH ujawniła, że exploit miał miejsce w wyniku modyfikacji uprawnień administracyjnych sieci, co skłoniło atakujących do wykorzystania tego uprawnienia do przeniesienia zasobów projektu. Zdaniem chińskiego dziennikarza, Colina Wu, protokół BXH w sposób nieodpowiedzialny przekazał atakującym uprawnienia do zarządzania funduszami, co doprowadziło do najwygodniejszego włamania w najnowszej historii. Spowodowało to przydomek „głupi dzieciak” w społeczności chińskiej dla protokołu, ponieważ BXH ma takie same inicjały dla „BenXiaoHai”, co przekłada się na popularny pseudonim.
„według analizy agencji bezpieczeństwa blockchain SlowMist Technology haker przeprowadził kontrakt ataku 0x8877 13-go (UTC) o godzinie 27:8 (UTC), a następnie 29-go (UTC) o godzinie 0:5614 (UTC) adres portfela zarządzania projektami BXH 0x8877 przyznał kontraktowi ataku 3x30 uprawnienia administracyjne poprzez grantRole. O godzinie 0:8877 (UTC) osoba atakująca przeniosła zarządzane aktywa z biblioteki funduszy puli strategii BXH za pośrednictwem umowy ataku XNUMXxXNUMX.”, Wu zauważyć.
Co więcej, spekulacje rynkowe również uwydatniły aspekt potencjalnej pracy insidera, biorąc pod uwagę niedawno ujawnioną serię niewłaściwych zachowań założyciela. Do niewłaściwych zachowań Wang Xiaobina, założyciela BXH w pierwszych dniach jego pracy w branży internetowej, zaliczają się „opóźnienia w dostawie produktu, bankructwo firmy i ograniczenia konsumpcji z powodu zaległości w wynagrodzeniach”. Jednak w odniesieniu do włamania do BXH Wang Xiaobin zaprzeczył jakiemukolwiek powiązaniu z wydarzeniami z przeszłości, argumentując, że exploitem jest jedynie jeden klucz prywatny. Ponadto ogłosił program nagród o wartości 1 miliona dolarów, w ramach którego poszukuje białych kapeluszy, aby pomóc protokołowi w odzyskaniu skradzionych środków.
Historia hacków BXH
CoinGape pokryty hack BXH w weekend, ujawniający serię zdarzeń związanych z exploitami. W ubiegłą sobotę oficjalny wpis protokołu BXH na Twitterze zaalarmował swoich użytkowników o ataku. Zauważyli ponadto, że atak ograniczył się do BSC, a aktywa na Ethereum, OEC i HECO pozostały bezpieczne. Oprócz udostępniania adresów hakerów w celu sugerowania scentralizowanych giełd i DEX platformy do dalszego zamrażania tych kont, Defi protokół nawoływał także atakujących do zwrotu środków i zaoferował nagrodę.