A última atualização do hack Defi de US$ 130 milhões do protocolo BXH revelou que a exploração ocorreu devido a uma modificação nos privilégios administrativos da rede, o que levou os invasores a usar esse privilégio para transferir ativos do projeto. Segundo o jornalista chinês, Colin Wu, o protocolo BXH consignou irresponsavelmente a autoridade de gestão de fundos aos invasores, o que levou ainda mais ao hack mais conveniente da história recente. Isso desencadeou o apelido de “garoto estúpido” na comunidade chinesa para o protocolo, já que BXH tem as mesmas iniciais de “BenXiaoHai”, que se traduz no apelido popular.
“De acordo com a análise da agência de segurança blockchain SlowMist Technology, o hacker implantou o contrato de ataque 0x8877 às 13 horas do dia 27 (UTC), depois às 8 horas do dia 29 (UTC) o endereço da carteira de gerenciamento de projetos BXH 0x5614 concedeu privilégios administrativos ao contrato de ataque 0x8877 via grantRole. Às 3 horas do dia 30 (UTC), o invasor transferiu seus ativos gerenciados da biblioteca de fundos de pool estratégico BXH por meio da autoridade do contrato de ataque 0x8877.”, Wu notado.
Além disso, as especulações do mercado também realçaram o aspecto de um potencial trabalho interno, dada a recentemente revelada série de más condutas por parte do fundador. As más condutas de Wang Xiaobin, fundador da BXH durante seus primeiros dias na indústria da Internet, incluem “atraso do produto sem entrega, falência da empresa e restrição ao consumo devido a atrasos salariais”. No entanto, em referência ao hack do BXH, Wang Xiaobin negou qualquer relação com eventos passados, argumentando que a exploração é apenas uma chave privada. Além disso, ele anunciou um programa de recompensas de US$ 1 milhão, buscando chapéus brancos para ajudar o protocolo na recuperação dos fundos roubados.
Histórico de hackers BXH
CoinGape coberto o hack BXH no fim de semana, revelando a série de eventos de exploração. No sábado passado, o Twitter oficial do protocolo BXH alertou seus usuários sobre o ataque. Eles observaram ainda que o ataque foi limitado ao BSC e que os ativos no Ethereum, OEC e HECO permaneceram seguros. Juntamente com a divulgação de endereços de hackers para sugerir trocas centralizadas e DEX plataformas para congelar ainda mais essas contas, o Defi O protocolo também apelou aos invasores para que devolvessem os fundos e também ofereceu uma recompensa.