上周五晩上,去中心化金融(DeFi)平臺bZx發(fā)生攻擊事故,一名黑客借助魚叉式網(wǎng)絡釣魚攻擊獲得了bZx平臺上用于與Polygon和Binance智能鏈區(qū)塊鏈集成的兩把私鑰,通過私鑰發(fā)起無限制消費操作,成功盜取bZx平臺價值約5500萬美元的加密貨幣資產(chǎn)。去中心化金融 (DeFi) 平臺允許用戶借貸和推測加密貨幣的價格變化。
據(jù)了解,攻擊者首先向bZx幵發(fā)人員的個人電腦發(fā)送了一封帶有惡意宏的釣魚電子郵件,宏病毒文件(Word文檔)被偽裝成合法的電子郵件附件,誘導bZx開發(fā)人員打開了這個帶有宏病毒的郵件附件,從而在bZx開發(fā)人員個人電腦上運行了一個惡意腳本,成功破解了bZx開發(fā)人員的助記詞錢包短語。
緊接著,攻擊者通過清空bZx開發(fā)人員的助記詞錢包,得到了兩個用于與Polygon和Binance智能鏈(BSC)進行區(qū)塊鏈集成的私鑰,利用這兩個私鑰竊取了bZx平臺的Polygon和平衡計分卡,獲得了 BSC 和 Polygon 的控制權(quán),攻擊者通過耗盡BSC 和 Polygon 協(xié)議對合約進行了升級,以允許耗盡合約給予無限批準的所有代幣。
盡管bZx表示目前仍在調(diào)查被盜資金的確切數(shù)額,但專注高成長企業(yè)應用安全的第三方安全公司網(wǎng)安信科技根據(jù)相關(guān)的惡意交易記錄進行分析,保守的估計bZx這次被盜事件至少損失了5500萬美元。
目前,bZx已經(jīng)全面關(guān)閉了平臺用戶界面,以防止用戶存入新的資金,并積極與各大加密貨幣交易所合作,追蹤攻擊者并凍結(jié)那些可能追回的被盜資金。bZx還發(fā)表了相關(guān)消息,希望攻擊者能夠歸還他們的資金,并承諾給與攻擊者一筆不菲的獎金。同時,bZx在Twittei上表示:平臺的財務狀況不會受到任何影響,非常穩(wěn)健,平臺很快會推出相關(guān)補償方案。
PS:bZx事件是今年發(fā)生的最大的加密貨幣盜竊案之一,目前排名第5:
文章轉(zhuǎn)載自騰訊網(wǎng)