去中心化交易協議 BXH 被盜,兩機槍池受影響關停充提


10 月 30 日,多鏈部署的去中心化交易應用(DEX) BXH 被盜,損失了價值約 1.39 億美元的加密資產,此次安全事故發生在 BSC 鏈上的 BXH 協議,據該應用官方宣告顯示,以太坊、OEC 鏈、Heco 鏈上的 BXH 協議及資產未受影響,但出於安全考量,關閉了所有鏈上的對外服務。

事故發生後,根據區塊鏈安全機構慢霧科技的分析,被盜前,BXH 管理錢包地址出現過「賦予攻擊合約管理許可權」的操作,導致攻擊合約通過管理許可權從 BXH 策略池資金庫將其管理的資產轉出,被盜的部分資金已跨鏈轉移。

失竊原因一出,輿論譁然,BXH 不幸地以安全事故的方式反應了它的中文花名「笨小孩」。

有人想不通為何 BXH 能將資金管理許可權「拱手讓黑客」,也有人質疑該應用監守自盜,該應用的王姓主導人此前的負面資訊再次被扒出。BXH 其官方未就輿情進行過多回應,僅表示「私鑰洩露」,併發布 100 萬美元懸賞金招攬白帽子團隊追回資金。

由於 BXH 已經關閉了應用的充提功能,依賴該交易所流動性的機槍池應用 Coinwind 也因安全排查而關閉了其在多條鏈上的充提功能,而另一個機槍池應用 Earn DeFi 則因 Coinwind 的充提暫停而關了充提。

DeFi 收益能「套娃」,安全事故出現時也會產生「套娃」反應。截至發稿,上述三個應用均未開放充提功能。

BXH 管理許可權「被黑」遭質疑

價值 1.39 億美元的加密資產被盜走一天後,北京時間 10 月 31 日,BXH 在官方社交媒體上公示了其在 BSC 鏈上的資金池剩餘資產,包括 USDT、USDC、BTC、ETH、BUSD、MDX 在內,資產殘值約餘 1.84 億美元左右。


BXH 官方表示,剩餘資產的提幣方案將在第三方安全聯合團隊確認事故原因和合約安全以及警方調查初步問題以後,出具資產提幣公告和其他補償方案。

此前的公開資訊顯示,去中心化交易應用 BXH 於今年 3 月初始部署於火幣 Heco 鏈,曾以「短短 10 天內吸引了數萬使用者以及 12 億美金的 TVL」的成績風靡 DeFi 火爆期;今年 7 月 30 日正式部署在 BSC 鏈上,此後又在以太坊和 OEC 鏈上「建站」。

事發前的 10 月 25 日,BXH 剛在 BSC 鏈上啟動了借貸池挖礦功能,結果 5 天后就出了事兒。

延伸閱讀  BTC 價格“正在向 9 萬美元邁進”--本週比特幣的 5 件大事值得關注

區塊鏈安全機構、BXH 的審計方之一慢霧科技已在事發後給出了初步分析,據該機構情報,黑客於 27 日 13 時(UTC) 部署了攻擊合約 0x8877;接著在 29 日 08 時(UTC), BXH 專案管理錢包地址 0x5614 通過 grantRole 賦予攻擊合約 0x8877 管理許可權;30 日 03 時(UTC),攻擊者通過攻擊合約 0x8877 的許可權從 BXH 策略池資金庫中將其管理的資產轉出;30 日 04 時(UTC) 0x5614 暫停了資金庫。「因此,BXH 本次被盜是由於其管理許可權被惡意的修改,導致攻擊者利用此許可權轉移了專案資產。」

追蹤也在事發後的 10 月 30 日開始了,慢霧科技於當日的北京時間 16 時 24 分公告,黑客在 BSC 鏈上的初始獲利地址已將 4000 ETH 從 BSC 鏈轉移到 ETH 鏈,接著將 300 BTCB 兌換為 renBTC,跨鏈到了兩個地址上。

如按照 BXH 事發後的公告,被盜資金的轉移鏈條已經在多個安全機構的追蹤中,該應用也已經發布了 100 萬美元的懸賞公告,計劃招攬白帽子團隊進行資金追回。

慢霧科技的「初診」一出,網上輿論及 BXH 的使用者紛紛表示不解,有人疑惑,BXH 的錢包管理許可權為何會拱手讓予黑客,也有人將此質疑為專案方的監守自盜。BXH 目前沒有應對這些輿情,僅表示「私鑰洩露」。

官方「私鑰洩露」說暴露了該交易應用在私鑰管理上的漏洞。DeFi 領域的 KOL 神魚就有疑問,私鑰「為啥不多籤,為啥不加時間鎖」。對於這類疑惑,BXH 也尚未對外給出答覆,有待事後的更詳細的安全分析覆盤。

媒體《巴位元》援引加密資產存管服務商安全鷺說法稱,加密資產的管理者需要更加重視單私鑰管理中帶來的安全風險,應儘快把 Owner 私鑰升級為多籤管理的方式,避免私鑰單點風險。而通過鏈上合約多籤或者 MPC 多籤,均可以實現對 Owner 私鑰的多籤管理。

可見,私鑰安全風險雖有,但也有技可施,掌管著使用者上億美元資產的 BXH 在私鑰管理上失職了。

兩個第三方機槍池連環關停充提

儘管事故發生在 BSC 版的 BXH 中,以太坊、OEC 及 Heco 上的資產並未受到影響,但該應用出於安全考量,還是關閉了其在各個鏈上的服務功能。

延伸閱讀  現在讀懂碳中和演算法穩定幣 Klima 晚不晚?

BXH 暫時關停服務後,DeFi「套娃」效應的暗黑一面也出現了,依賴 BXH 流動性的第三方機槍池應用 CoinWind 也在 10 月 30 日緊急地關停了其在 BSC、Heco 及以太坊鏈上的部分充值和提現功能。結果,另一個機槍池應用 Earn DeFi 的官方公告稱,因為 CoinWind 暫停充提,他們也停了充提。

BXH 被盜的連鎖反應導致三個應用的使用者們目前都無法取出儲存在其中的資產。

蜂巢財經登陸 CoinWind 應用發現,該應用確實已經暫停了充提功能,收益雖然正常計算,但本金和收益均無法正常提取。Earn DeFi 同樣如此。


10 月 31 日,CoinWind 的公告顯示,由於 BXH 關閉了所有主鏈的充提,目前 CoinWind 無法從 BXH 取回部分投放資金,故跟隨暫停了 Heco、BSC、ETH 三條主鏈的充提,且相關資料暫無法準確計算。該應用表示,BXH 如在確定無風險後開放 Heco、ETH 充提,CoinWind 也將開放。現階段,Heco、ETH 主鏈的 CoinWind 使用者的本幣及收益未受到影響,該應用正在全力跟進 BXH 在 BSC 鏈本次被盜資產的追回情況、損失情況和開放充提的時間以及資產提取方案的處理進度。

CoinWind 暫停充提後,Earn DeFi 僅在使用者群中通過小助手發了一紙公告,官網及官方該公告顯示,由於 CoinWind 緊急關閉了三條鏈上的單幣質押及 DAO 充提,Earn DeFi 使用者在 ETH、BTC、USDT 池的充提會受到影響。具體多少資金被波及,該公告同樣沒有明說。

從雙方的公告看,機槍池應用 CoinWind 的投入及收益來源之一是 BXH,而 Earn DeFi 的部分收益耕種區是 CoinWind,結果,城門失火,殃及池魚。池是機槍池,魚是這些應用的使用者們。

需要關注的是,很多值得深思的細節問題也在事故發生後浮出水面。

比如,CoinWind 官方社群的管理員就表示,他們與 Earn DeFi 並無關係,雙方沒有合作,也從未收到過對方前來存幣的對接資訊,對方自事發後也沒有給出與 CoinWind 互動的合約地址。有 CoinWind 使用者認為,Earn DeFi 在「甩鍋」,仍在使用該應用的使用者「要小心了」。

Earn DeFi 也沒對對方的說法給出更多回應,但從其自身公告看,Earn DeFi 作為機槍池「寄生」在另一個機槍池的做法多少顯得很懶惰,一般情況下,交易應用的挖礦池才應該是機槍池們獲取高收益的主要來源,結果 CoinWind 關充提,Earn DeFi 三個主流單幣池就受了影響。

延伸閱讀  BTC 價格“正在向 9 萬美元邁進”--本週比特幣的 5 件大事值得關注

再比如,有使用者對 CoinWind 將資產投入到屢受爭議的 BXH 感到不滿,「早知道是投入 BXH,我就不再 CoinWind 存幣了。」使用者有此情緒皆因今年 7 月,BXH 被多家自媒體深扒了主導成員的「不靠譜」行徑,該應用的主導者王小彬被批評連續兩年在區塊鏈領域「發幣、圈錢」、「10 個專案全是空氣」,而王小彬此前在網際網路領域創業時曾出現過產品跳票不發貨、公司倒閉、欠薪成老賴被限制消費等「黑歷史」。

有 CoinWind 使用者認為,將使用者資產投入到團隊有爭議的應用中去賺取收益,已經是風險前兆。

CoinWind 社群管理員針對「為什麼選 BXH 機槍」作出解釋稱,他們對 BXH 做了盡職調研,包括對接入的所有其他池子都會做調研評估,BXH 的審計報告沒有問題,且基本是實名專案。「作為機槍池,我們的義務就是選擇收益高且較為可靠的池子投入,這次 BXH 被攻擊是由於私鑰被盜,就 CoinWind 而言,這確實屬於人力不可抗因素。」

BXH 被盜需要反思自身的私鑰管理問題,而對機槍池來說,至少有一些使用者建議是值得這類收益管理應用們應該考慮的,特別是一個個 DeFi 應用都在朝著 DAO 發展時——公開、透明的告知使用者資金配置的去向。

不要以「機密」為由敷衍使用者,配資策略也許是機槍池的生存和競爭的壁壘,但公佈資金被分配到了哪些收益耕地中並不太影響機密策略的具體執行,讓使用者知情權和選擇權得到提前滿足,這不正是區塊鏈所倡導的精神嗎?

Scroll to Top