上周五晩上,去中心化金融(DeFi)平臺bZx發(fā)生攻擊事故,一名黑客借助魚叉式網(wǎng)絡(luò)釣魚攻擊獲得了bZx平臺上用于與Polygon和Binance智能鏈區(qū)塊鏈集成的兩把私鑰,通過私鑰發(fā)起無限制消費(fèi)操作,成功盜取bZx平臺價(jià)值約5500萬美元的加密貨幣資產(chǎn)。去中心化金融 (DeFi) 平臺允許用戶借貸和推測加密貨幣的價(jià)格變化。
據(jù)了解,攻擊者首先向bZx幵發(fā)人員的個(gè)人電腦發(fā)送了一封帶有惡意宏的釣魚電子郵件,宏病毒文件(Word文檔)被偽裝成合法的電子郵件附件,誘導(dǎo)bZx開發(fā)人員打開了這個(gè)帶有宏病毒的郵件附件,從而在bZx開發(fā)人員個(gè)人電腦上運(yùn)行了一個(gè)惡意腳本,成功破解了bZx開發(fā)人員的助記詞錢包短語。
緊接著,攻擊者通過清空bZx開發(fā)人員的助記詞錢包,得到了兩個(gè)用于與Polygon和Binance智能鏈(BSC)進(jìn)行區(qū)塊鏈集成的私鑰,利用這兩個(gè)私鑰竊取了bZx平臺的Polygon和平衡計(jì)分卡,獲得了 BSC 和 Polygon 的控制權(quán),攻擊者通過耗盡BSC 和 Polygon 協(xié)議對合約進(jìn)行了升級,以允許耗盡合約給予無限批準(zhǔn)的所有代幣。
盡管bZx表示目前仍在調(diào)查被盜資金的確切數(shù)額,但專注高成長企業(yè)應(yīng)用安全的第三方安全公司網(wǎng)安信科技根據(jù)相關(guān)的惡意交易記錄進(jìn)行分析,保守的估計(jì)bZx這次被盜事件至少損失了5500萬美元。
目前,bZx已經(jīng)全面關(guān)閉了平臺用戶界面,以防止用戶存入新的資金,并積極與各大加密貨幣交易所合作,追蹤攻擊者并凍結(jié)那些可能追回的被盜資金。bZx還發(fā)表了相關(guān)消息,希望攻擊者能夠歸還他們的資金,并承諾給與攻擊者一筆不菲的獎金。同時(shí),bZx在Twittei上表示:平臺的財(cái)務(wù)狀況不會受到任何影響,非常穩(wěn)健,平臺很快會推出相關(guān)補(bǔ)償方案。
PS:bZx事件是今年發(fā)生的最大的加密貨幣盜竊案之一,目前排名第5:
文章轉(zhuǎn)載自騰訊網(wǎng)