Coinw:损失1.39亿美元，BXH 管理权限何以拱手让黑客？_okex交易所安全吗

10月30日，多链部署的去中心化交易应用BXH被盗，损失了价值约1.39亿美元的加密资产，此次安全事故发生在BSC链上的BXH协议，据该应用官方声明显示，以太坊、OEC链、Heco链上的BXH协议及资产未受影响，但出于安全考量，关闭了所有链上的对外服务。

事故发生后，根据区块链安全机构慢雾科技的分析，被盗前，BXH管理钱包地址出现过「赋予攻击合约管理权限」的操作，导致攻击合约通过管理权限从BXH策略池资金库将其管理的资产转出，被盗的部分资金已跨链转移。

失窃原因一出，舆论哗然，BXH不幸地以安全事故的方式反应了它的中文花名「笨小孩」。

有人想不通为何BXH能将资金管理权限「拱手让黑客」，也有人质疑该应用监守自盗，该应用的王姓主导人此前的负面信息再次被扒出。BXH其官方未就舆情进行过多回应，仅表示「私钥泄露」，并发布100万美元悬赏金招揽白帽子团队追回资金。

由于BXH已经关闭了应用的充提功能，依赖该交易所流动性的机池应用Coinwind也因安全排查而关闭了其在多条链上的充提功能，而另一个机池应用EarnDeFi则因Coinwind的充提暂停而关了充提。

基于ZK Rollup的订单簿DEX DeGate正式上线主网Beta版本:5月3日消息，基于ZK Rollup的订单簿DEX DeGate正式上线主网Beta版本，此前DeGate进行早期采用者NFT通行证铸造活动，从主网Beta版本发布开始的首个星期，协议仅限DeGate NFT铸造者访问，之后将向公众开放。

此前报道，DeGate已通过Trail of Bits、Least Authority、Secbit多家审计机构的审计，同时与Immunefi合作推出的111万美元的漏洞赏金计划也正在进行中。[2023/5/4 14:40:52]

DeFi收益能「套娃」，安全事故出现时也会产生「套娃」反应。截至发稿，上述三个应用均未开放充提功能。

BXH管理权限「被黑」遭质疑

价值1.39亿美元的加密资产被盗走一天后，北京时间10月31日，BXH在官方社交媒体上公示了其在BSC链上的资金池剩余资产，包括USDT、USDC、BTC、ETH、BUSD、MDX在内，资产残值约余1.84亿美元左右。

Gate.io行情：BTC夜间下探获得支撑，短期波动幅度再次加大:据Gate.io全球交易数据，截止01月16日11:50，BTC现货报36408.35美元，昨日行情震荡下行为主，最低在下探至34400美元附近得到支撑，但在随后的反弹中再次受到阻力，目前又开启新一轮的回调。从1小时线看图，MACD指标双线早间8:00时于零轴线下方出现金叉，但BAR能量柱反而紧缩翻绿，空军力量再次占据优势，短期内回调压力将变大，而BOLL带开口略有扩张，上中轨线均下翘运行，这预示着多方的力量有逐步衰竭之势，很可能导致原来的调整趋势转变为下滑，所以日内行情大概率向下运行，关注下方35000美元的资产情况。现阶段市场较为活跃的因素之一，是许多投资机构推出的场外交易为许多非直接进入加密货币市场的投资者提供服务，而夜间Osprey Funds公司 推出比特币信托基金（OBTC），正式加入此行列之内，并且管理费大约为灰度的四分之一，将作为后者的有力竞争者为更多的场外投资者提供BTC服务，多元化的信托于市场发展属利好，所以长期看涨不变。

Gate.io现货报价（北京时间0:00为准）BTC：36408.35美元（-5.42%）；ETH：1174.55美元(-2.52%）；BCH：485.05元（-4.27%）；LTC：143.01美元（-4.01%）；GT：0.4968美元（-0.32%）；DOT：14.59美元（+6.98%）[2021/1/16 16:19:33]

当前BXH在BSC链上的残值剩1.84亿美元

动态 | 英国交易所CEX.io加入Silvergate Bank支付网络SEN:总部位于英国的加密货币交易所CEX.io已经加入了Silvergate Exchange Network（SEN）。据悉，SEN是连接Silvergate Bank主要客户的支付网络，该网络提供24/7的服务，几乎可以即时转账。（CoinDesk）[2019/11/7]

BXH官方表示，剩余资产的提币方案将在第三方安全联合团队确认事故原因和合约安全以及调查初步问题以后，出具资产提币公告和其他补偿方案。

此前的公开信息显示，去中心化交易应用BXH于今年3月初始部署于火币Heco链，曾以「短短10天内吸引了数万用户以及12亿美金的TVL」的成绩风靡DeFi火爆期；今年7月30日正式部署在BSC链上，此后又在以太坊和OEC链上「建站」。

事发前的10月25日，BXH刚在BSC链上启动了借贷池挖矿功能，结果5天后就出了事儿。

区块链安全机构、BXH的审计方之一慢雾科技已在事发后给出了初步分析，据该机构情报，黑客于27日13时部署了攻击合约0x8877；接着在29日08时，BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限；30日03时，攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出；30日04时0x5614暂停了资金库。「因此，BXH本次被盗是由于其管理权限被恶意的修改，导致攻击者利用此权限转移了项目资产。」

Uniswap遭黑客攻击损失1,278枚ETH:今天下午，Tokenlon发消息称Uniswap上的imBTC池遭到黑客攻击并已耗尽。PeckShield安全人员跟进研究发现，Uniswap在此次攻击中损失了1,278个ETH，价值约22万美元，此外还有大约18.37个 imBTC被0x3195c3和0x17559a开头的两个套利者以较低的价格获取。此次事件具体攻击方式为：黑客利用Uniswap和ERC777的兼容性问题，在进行 ETH-imBTC 交易时，利用ERC777中的多次迭代调用tokensToSend来实现重入攻击。这次攻击损失仅限于 Uniswap 上的ETH-imBTC 流动池，其他 DeFi 协议及 BTC 托管均未受影响。PeckShield 认为，自从年初的bZx攻击事件开始，这又是一起黑客利用DeFi系统性风控漏洞实施的攻击。目前Tokenlon已全面恢复 imBTC 合约转账及交易功能，不过在此期间建议用户先暂停使用Uniswap的 ETH-imBTC 流动池。[2020/4/18]

追踪也在事发后的10月30日开始了，慢雾科技于当日的北京时间16时24分公告，黑客在BSC链上的初始获利地址已将4000ETH从BSC链转移到ETH链，接着将300BTCB兑换为renBTC，跨链到了两个地址上。

动态 | 数字资产托管公司BitGo工程主管因SIM卡调换攻击损失10万美元的加密货币:据thenextweb消息，数字资产托管公司BitGo的工程主管Sean Coonce上周因SIM调换攻击损失了价值10万美元的加密货币。上周二晚上，Coonce注意到他的手机没有了任何移动服务，随后他收到有人试图登录其谷歌帐户的通知。Coonce试图输入密码但没有成功，最后他决定在第二天早上再处理这件事。但当Coonce醒来时，攻击者已经获得了他的电子邮件和Coinbase账户的访问权限，随后将其Coinbase账户资金清空并将所有资金转移到了该交易所外的一个链上地址。[2019/5/21]

如按照BXH事发后的公告，被盗资金的转移链条已经在多个安全机构的追踪中，该应用也已经发布了100万美元的悬赏公告，计划招揽白帽子团队进行资金追回。

慢雾科技的「初诊」一出，网上舆论及BXH的用户纷纷表示不解，有人疑惑，BXH的钱包管理权限为何会拱手让予黑客，也有人将此质疑为项目方的监守自盗。BXH目前没有应对这些舆情，仅表示「私钥泄露」。

官方「私钥泄露」说暴露了该交易应用在私钥管理上的漏洞。DeFi领域的KOL神鱼就有疑问，私钥「为啥不多签，为啥不加时间锁」。对于这类疑惑，BXH也尚未对外给出答复，有待事后的更详细的安全分析复盘。

媒体《巴比特》援引加密资产存管服务商安全鹭说法称，加密资产的管理者需要更加重视单私钥管理中带来的安全风险，应尽快把Owner私钥升级为多签管理的方式，避免私钥单点风险。而通过链上合约多签或者MPC多签，均可以实现对Owner私钥的多签管理。

可见，私钥安全风险虽有，但也有技可施，掌管着用户上亿美元资产的BXH在私钥管理上失职了。

两个第三方机池连环关停充提

尽管事故发生在BSC版的BXH中，以太坊、OEC及Heco上的资产并未受到影响，但该应用出于安全考量，还是关闭了其在各个链上的服务功能。

BXH暂时关停服务后，DeFi「套娃」效应的暗黑一面也出现了，依赖BXH流动性的第三方机池应用CoinWind也在10月30日紧急地关停了其在BSC、Heco及以太坊链上的部分充值和提现功能。结果，另一个机池应用EarnDeFi的官方公告称，因为CoinWind暂停充提，他们也停了充提。

BXH被盗的连锁反应导致三个应用的用户们目前都无法取出存储在其中的资产。

蜂巢财经登陆CoinWind应用发现，该应用确实已经暂停了充提功能，收益虽然正常计算，但本金和收益均无法正常提取。EarnDeFi同样如此。

两个机池应用接连关闭充提

10月31日，CoinWind的公告显示，由于BXH关闭了所有主链的充提，目前CoinWind无法从BXH取回部分投放资金，故跟随暂停了Heco、BSC、ETH三条主链的充提，且相关数据暂无法准确计算。该应用表示，BXH如在确定无风险后开放Heco、ETH充提，CoinWind也将开放。现阶段，Heco、ETH主链的CoinWind用户的本币及收益未受到影响，该应用正在全力跟进BXH在BSC链本次被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。

CoinWind暂停充提后，EarnDeFi仅在用户群中通过小助手发了一纸公告，官网及官方该公告显示，由于CoinWind紧急关闭了三条链上的单币质押及DAO充提，EarnDeFi用户在ETH、BTC、USDT池的充提会受到影响。具体多少资金被波及，该公告同样没有明说。

从双方的公告看，机池应用CoinWind的投入及收益来源之一是BXH，而EarnDeFi的部分收益耕种区是CoinWind，结果，城门失火，殃及池鱼。池是机池，鱼是这些应用的用户们。

需要关注的是，很多值得深思的细节问题也在事故发生后浮出水面。

比如，CoinWind官方社群的管理员就表示，他们与EarnDeFi并无关系，双方没有合作，也从未收到过对方前来存币的对接信息，对方自事发后也没有给出与CoinWind交互的合约地址。有CoinWind用户认为，EarnDeFi在「甩锅」，仍在使用该应用的用户「要小心了」。

EarnDeFi也没对对方的说法给出更多回应，但从其自身公告看，EarnDeFi作为机池「寄生」在另一个机池的做法多少显得很懒惰，一般情况下，交易应用的挖矿池才应该是机池们获取高收益的主要来源，结果CoinWind关充提，EarnDeFi三个主流单币池就受了影响。

再比如，有用户对CoinWind将资产投入到屡受争议的BXH感到不满，「早知道是投入BXH，我就不再CoinWind存币了。」用户有此情绪皆因今年7月，BXH被多家自媒体深扒了主导成员的「不靠谱」行径，该应用的主导者王小彬被批评连续两年在区块链领域「发币、圈钱」、「10个项目全是空气」，而王小彬此前在互联网领域创业时曾出现过产品跳票不发货、公司倒闭、欠薪成老赖被限制消费等「黑历史」。

有CoinWind用户认为，将用户资产投入到团队有争议的应用中去赚取收益，已经是风险前兆。

CoinWind社群管理员针对「为什么选BXH机」作出解释称，他们对BXH做了尽职调研，包括对接入的所有其他池子都会做调研评估，BXH的审计报告没有问题，且基本是实名项目。「作为机池，我们的义务就是选择收益高且较为可靠的池子投入，这次BXH被攻击是由于私钥被盗，就CoinWind而言，这确实属于人力不可抗因素。」

BXH被盗需要反思自身的私钥管理问题，而对机池来说，至少有一些用户建议是值得这类收益管理应用们应该考虑的，特别是一个个DeFi应用都在朝着DAO发展时——公开、透明的告知用户资金配置的去向。

不要以「机密」为由敷衍用户，配资策略也许是机池的生存和竞争的壁垒，但公布资金被分配到了哪些收益耕地中并不太影响机密策略的具体执行，让用户知情权和选择权得到提前满足，这不正是区块链所倡导的精神吗？

标签：CoinwRNDKEXBKKcoinweb一键跟单rndr币最新价格okex交易所安全吗bkk币最新消息

火币交易所热门资讯