Derde succesvolle aanval op het bZx protocol met buit van 8 miljoen dollar

Het gedecentraliseerde financiële lening protocol bZx heeft opnieuw een aanval te verduren gehad. De verliezen hebben een totale waarde van ongeveer 8 miljoen dollar. Dit nadat het zeven maanden eerder slachtoffer werd van twee codefouten, die het protocol meer dan $950.000 kostte.

Een fout in de bzX protocol code

Op 12 september 2020 werd het bZx protocol het slachtoffer van een nieuwe aanval op het protocol, wat resulteerde in dat de aanvaller tokens kon dupliceren. 

Het begon allemaal toen het bZx team vreemde activiteit opmerkte in de Total Value Locked (TVL) in het protocol. In het bijzonder was de TVL binnen korte tijd drastisch gedaald, waardoor de ontwikkelaars de trend in twijfel trokken. 

Ze deelden de informatie snel op Twitter en bevestigden dat er een duplicatie incident had plaatsgevonden met een aantal iTokens. Deze tokens komen overeen met een verhouding van 1:1 ten opzichte van de onderliggende activa die in het protocol zijn vastgezet.

2/ Lending and unlending was temporarily paused. The duplication method has been patched out of the iToken contract code, and the protocol has resumed normal functioning. ?

More details will follow!

— bZx (@bZxHQ) September 13, 2020

Hoewel de lening- en opnameactiviteiten werden stopgezet en de iTokens contractcode werd gecorrigeerd, slaagden de aanvallers erin om de bug uit te buiten.

De verliezen zijn aanzienlijk, waarbij de hackers ongeveer 8,1 miljoen dollar aan tokens dupliceerden. De duplicatie is als volgt verdeeld:

• 219.000 LINK (ongeveer 2.628.000 dollar)
• 4.503 ETH (ongeveer 1.637.000 dollar)
• 1.756.000 USDT
• 1.412.000 USDC
• 668.000 DAI

Zoals bZx in een tweede tweet verduidelijkte, zijn de gebruikersfondsen “niet in gevaar”, aangezien de tokens zijn afgeschreven van het verzekeringsfonds van het protocol en niet van gebruikerwallets.

bZx is gecontroleerd door twee bedrijven

Het bZx protocol is uitgebreid geauditeerd door twee beveiligingsbedrijven, Peckshield en Certik. De Peckshield-audit duurde 12 weken, dezelfde duur als de audit die voor MakerDAO werd uitgetrokken, terwijl die van de Certika-audit 7 weken in beslag nam.

Helaas was dit niet genoeg om deze recente fout in het bZx protocol te dichten. Het projectteam legt uit dat de aanwezigheid van deze fout te wijten was aan de omvang van de code:

Our protocol is the best performing and most functional loan protocol in the industry, which means there is a lot of code to cover. Part of it is its scope and ambitions that make it more difficult to secure than many other projects.

Ondanks de kritiek op bZx, verdedigde enkele belangrijke spelers in de crypto space het team. Dit is met name het geval voor Stani Kulechov, oprichter van het Aave-protocol, die op Twitter sprak over de onzekerheid waar veel projecten ondanks meerdere controles mee te maken hebben. 

@bZxHQ incident recently showed that it's easier forked than done. They had multiple audits, formal verification and took substantial time before coming back to main-net and yet all the diligence does not guarantee safety. Something that every DeFi user should understand.

— stani.eth ? (@StaniKulechov) September 13, 2020

Dit incident herinnert ons eraan waarom het controleren van codes een belangrijk aspect is van Decentralized Finance. Voordat je investeert in een protocol, is het sterk aan te raden om te wachten tot het wordt geaudit door gespecialiseerde bedrijven die een vorm van beveiliging bieden. 

Hoewel het bZx team verzekert dat alles nu onder controle is, is het vertrouwen van de community in dit protocol op een historisch dieptepunt. Deze aanval is al de 3e van het jaar tegen bZx, en het is moeilijk te geloven dat het een echt veilige dienst kan leveren.

Met de omvang van deze aanval is het echter mogelijk dat bZx maatregelen zal nemen om deze fout aan te pakken, in het bijzonder door zijn code opnieuw te laten controleren door andere bedrijven. Maar of dat zin heeft…