DeFi-платформа Bzx признала потерю $55 млн средств пользователей в среду на прошлой неделе. Разработчики подчеркивают тот факт, что они стали жертвой фишинговой атаки хакеров, код смарт-контракта не имел никаких багов.
Злоумышленники послали электронное письмо с вордовским файлом, содержащим зараженный макрос, который стал причиной потери seed-фраз и закрытых ключей из компьютера одного из членов команды Bzx.
На основе полученной дополнительной информации, хакеры составили письмо таким образом, чтобы разработчик обязательно открыл его и запустил вредоносный код. Полученные ключи дали злоумышленникам доступ к управлению смарт-контрактов на блокчейне Binance Smart Chain и сети Polygon.
Атака не затронула пулы на Ethereum, управляемые с помощью DAO. Разработчики не успели включить туда смарт-контракты на блокчейне Binance Smart Chain и сети Polygon.
Получив ключи, хакеры сначала опустошили кошельки члена команды, потом приступили к выводу криптовалюты из пулов ликвидности. Они истощались путем займов под служебный токен BZRX.
Разработчики подключились к отражению атаки после получения информации про отрицательные балансы на счетах ряда пользователей. Основателям Bzx удалось добиться блокировки активов в USDT и BZRX на блокчейне Binance Smart Chain. В настоящее время проводится аудит точной суммы убыток с целью ее последующей компенсации.
• Source: https://bzx.network/blog/prelminary-post-mortem
Злоумышленники послали электронное письмо с вордовским файлом, содержащим зараженный макрос, который стал причиной потери seed-фраз и закрытых ключей из компьютера одного из членов команды Bzx.
На основе полученной дополнительной информации, хакеры составили письмо таким образом, чтобы разработчик обязательно открыл его и запустил вредоносный код. Полученные ключи дали злоумышленникам доступ к управлению смарт-контрактов на блокчейне Binance Smart Chain и сети Polygon.
Атака не затронула пулы на Ethereum, управляемые с помощью DAO. Разработчики не успели включить туда смарт-контракты на блокчейне Binance Smart Chain и сети Polygon.
Получив ключи, хакеры сначала опустошили кошельки члена команды, потом приступили к выводу криптовалюты из пулов ликвидности. Они истощались путем займов под служебный токен BZRX.
Разработчики подключились к отражению атаки после получения информации про отрицательные балансы на счетах ряда пользователей. Основателям Bzx удалось добиться блокировки активов в USDT и BZRX на блокчейне Binance Smart Chain. В настоящее время проводится аудит точной суммы убыток с целью ее последующей компенсации.
• Source: https://bzx.network/blog/prelminary-post-mortem