Протокол BXH зазнав атаки хакера, збитки склали 1,39 мільярда доларів США у шифруванні активів

Нещодавно децентралізований протокол доходу BXH зазнав значної безпекової аварії, що призвела до крадіжки приблизно 139 мільйонів доларів шифрування активів. Відомо, що цей інцидент стався на ланцюгу BSC, тоді як активи на Ethereum, OEC та Heco ланцюгах не постраждали. Для забезпечення безпеки BXH призупинив всі функції поповнення та виведення на ланцюгах.

Згідно з аналізом блокчейн-безпекової агенції, зловмисники 27 жовтня розгорнули атакувальний контракт, після чого гаманець BXH надав управлінські права цьому контракту. 30 жовтня зловмисники, використавши отримані права, вивели активи з скарбниці BXH. На даний момент частина викрадених коштів була переведена з BSC в мережу Ethereum, в тому числі 4000 ETH та 300 BTCB (які були обміняні на renBTC).

!

Ця подія викликала широкий інтерес і запитання. Багато людей не розуміють, чому BXH передав права управління коштами зловмисникам, не зламуючи складний смарт-контракт. Цей простий метод крадіжки монет викликає підозри щодо можливого співробітництва з внутрішніми працівниками. Офіційні представники BXH заявили, що ця подія стала наслідком витоку приватного ключа та оголосили винагороду в розмірі 1000000 доларів США, шукаючи допомогу команди білих капелюхів для повернення коштів.

Однак, вплив цього інциденту далеко виходить за межі BXH. Оскільки BXH закрив функцію виведення коштів, проекти пулів з дробовиками, які залежали від нього для отримання прибутку, також були змушені призупинити виведення коштів. Вже чотири пулів з дробовиками постраждали, серед яких Coinwind, що займає друге місце за обсягом заморожених активів на ланцюгу Heco, з пов'язаною сумою до 150 мільйонів доларів. Команда Coinwind повідомила, що працює над поверненням активів та вирішенням питань щодо збитків.

Ця ланцюгова реакція виявила вразливість поточної екосистеми пулів для автоматичного трейдингу. Модель прибутку пулів для автоматичного трейдингу в основному залежить від частих операцій між різними високоприбутковими кредитними протоколами, збільшуючи прибуток за допомогою важелів. Ця модель, підвищуючи дохідність, також значно збільшує ризики; будь-яка проблема на будь-якому етапі може призвести до краху всієї системи.

!

Експерти в галузі вказують, що пул з автоматичними торгами має підвищити прозорість, оприлюднивши напрямок використання кожної суми коштів та інвестиційні стратегії, щоб користувачі могли робити обґрунтовані вибори. Деякі відомі проекти, такі як Yearn, вже вжили таких заходів, але багато вітчизняних проектів у цьому аспекті все ще потребують покращення.

З точки зору традиційних фінансів, нинішня модель роботи пулу з автоматичними зброями важко підтримувати. У традиційному світі лише великі установи, такі як банки, можуть здійснювати циклічне кредитування для збільшення грошового мультиплікатора, тоді як звичайні люди стикаються з регуляторними обмеженнями. Однак у світі DeFi, де немає регулювання, роздрібні інвестори також можуть здійснювати такі операції, що збільшує системний ризик.

Експерти вважають, що пул для міні-грантів у майбутньому повинен розвиватися в бік більш складних фінансових продуктів, таких як стратегії комбінацій опціонів, арбітраж синтетичних активів тощо, що є аналогами традиційних фінансових продуктів. Ці продукти вже довели свою стійкість у традиційній сфері, але також потребують вищого технічного порогу, що є місцем, де професійні інституційні інвестори можуть проявити свою цінність.

!

В цілому, ця подія не лише виявила поточні ризики безпеки в екосистемі DeFi, але й підкреслила виклики, з якими стикаються продукти, такі як пул з автоматичним управлінням ризиками, у питаннях управління ризиками та сталого розвитку. З розвитком галузі пошук балансу між інноваціями та безпекою стане ключовим питанням.