上周五晩上,去中心化金融(DeFi)平台bZx发生攻击事故,一名黑客借助鱼叉式网络钓鱼攻击获得了bZx平台上用于与Polygon和Binance智能链区块链集成的两把私钥,通过私钥发起无限制消费操作,成功盗取bZx平台价值约5500万美元的加密货币资产。去中心化金融 (DeFi) 平台允许用户借贷和推测加密货币的价格变化。
据了解,攻击者首先向bZx幵发人员的个人电脑发送了一封带有恶意宏的钓鱼电子邮件,宏病毒文件(Word文档)被伪装成合法的电子邮件附件,诱导bZx人员打开了这个带有宏病毒的邮件附件,从而在bZx人员个人电脑上运行了一个恶意脚本,成功破解了bZx人员的助记词钱包短语。
紧接着,攻击者通过清空bZx人员的助记词钱包,得到了两个用于与Polygon和Binance智能链(BSC)进行区块链集成的私钥,利用这两个私钥窃取了bZx平台的Polygon和平衡计分卡,获得了 BSC 和 Polygon 的控制权,攻击者通过耗尽BSC 和 Polygon 协议对合约进行了升级,以允许耗尽合约给予无限批准的所有代币。
尽管bZx表示目前仍在调查被盗资金的确切数额,但专注高成长企业应用安全的第三方安全公司网安信科技根据相关的恶意交易记录进行分析,保守的估计bZx这次被盗事件至少损失了5500万美元。
目前,bZx已经全面关闭了平台用户界面,以防止用户存入新的资金,并积极与各加密货币交易所合作,攻击者并冻结那些可能追回的被盗资金。bZx还发表了相关消息,希望攻击者能够归还他们的资金,并承诺给与攻击者一笔不菲的奖金。同时,bZx在Twittei上表示:平台的财务状况不会受到任何影响,非常稳健,平台很快会推出相关补偿方案。
PS:bZx事件是今年发生的最的加密货币盗窃案之一,目前排名第5:
奶油金融- 13亿美元(October)
PolyNetwork - 6亿美元
液体- 9400万美元
EasyFi- 8200万美元
bZx-5500美元
融资- 5000万美元
奶油金融- 3700万美元(February)
阿尔法人- 3700万美元
Vee财务- 3500万美元
猫鼬金融- 3100万美元
斯巴达式的- 3000万美元
奶油金融- 2900万美元(August)
pNetwork - 1200万美元
拉里首都- 1100万美元
