Останнє оновлення Defi-злому протоколу BXH вартістю 130 мільйонів доларів показало, що експлойт стався через модифікацію адміністративних привілеїв мережі, через що зловмисники використовували ці привілеї для передачі активів проекту. За словами китайського журналіста, Колін Ву, протокол BXH безвідповідально передав повноваження з управління коштами зловмисникам, що призвело до найзручнішого злому в новітній історії. Це викликало прізвисько «дурна дитина» в китайській спільноті для протоколу, оскільки BXH має ті самі ініціали для «BenXiaoHai», що перекладається як популярний псевдонім.
«Згідно з аналізом агентства безпеки блокчейнів SlowMist Technology, хакер розгорнув контракт атаки 0x8877 о 13 годині 27 числа (UTC), потім о 8 годині 29 числа (UTC) адресу гаманця управління проектом BXH. 0x5614 надав адміністративні привілеї договору атаки 0x8877 через grantRole. О 3 годині 30 числа (UTC) зловмисник переніс свої керовані активи з бібліотеки фонду стратегії BXH через повноваження контракту атаки 0x8877.”, Ву зазначив,.
Крім того, ринкові спекуляції також висвітлили аспект потенційної роботи інсайдера, враховуючи нещодавно виявлену низку неправомірних дій засновника. Ван Сяобінь, засновник BXH, неналежну поведінку під час його перших днів в Інтернет-індустрії включає «затримку продукту без доставки, банкрутство компанії та обмеження споживання через заборгованість із зарплати». Однак, посилаючись на злом BXH, Ван Сяобінь заперечив будь-який зв’язок з минулими подіями, стверджуючи, що експлойт — це лише один закритий ключ. Крім того, він оголосив програму винагороди в розмірі 1 мільйона доларів, шукаючи білих капелюхів, щоб допомогти протоколу повернути вкрадені кошти.
Історія злому BXH
CoinGape покритий хак BXH на вихідних, розкриваючи серію експлойтів. Минулої суботи офіційний менеджер протоколу BXH у Twitter попередив своїх користувачів про атаку. Крім того, вони зазначили, що атака була обмежена BSC, а активи на Ethereum, OEC і HECO залишалися в безпеці. Разом з оприлюдненням адрес хакерів, щоб запропонувати централізовані обміни та DEX платформ для подальшого заморожування цих облікових записів Дефью протокол також закликав зловмисників повернути кошти, а також запропонував винагороду.