黑客從 bZx DeFi 平臺竊取了價值 5500 萬美元的加密貨幣

攻擊者從 bZx 去中心化金融 (DeFi) 平臺竊取了價值 5500 萬美元的加密貨幣。去中心化金融 (DeFi) 平臺允許用戶借貸和推測加密貨幣的價格變化。

攻擊者通過魚叉式網絡釣魚攻擊獲得了 DeFi 平臺的兩個私鑰，該攻擊類似于最近影響另一個名為“mgnr.io”的用戶。該公司指出，該事件不是協議黑客攻擊。

“bZx 開發人員在網絡釣魚攻擊中盜用了他的個人錢包的私鑰。” 閱讀該公司發布的初步驗尸分析。“一名 bZx 開發人員收到一封釣魚郵件，其中包含偽裝成合法電子郵件附件的 Word 文檔中的惡意宏，”“這次攻擊允許黑客訪問 bZx 開發人員錢包的內容，以及bZx 協議的 BSC 和 Polygon 部署的私鑰。在獲得 BSC 和 Polygon 的控制權后，黑客耗盡了 BSC 和 Polygon 協議，然后升級了合約，以允許耗盡合約給予無限批準的所有代幣。”

網絡釣魚消息使用了武器化的 Word 文檔，一旦打開該文檔，就會在開發人員的計算機上運行腳本，從而允許攻擊者訪問員工的助記詞錢包短語。

攻擊者竊取了開發人員個人錢包中的資金以及 bZx 平臺用于與 Polygon 和幣安智能鏈 (BSC) 區塊鏈集成的兩個私鑰。

威脅行為者使用密鑰竊取了平臺的 Polygon 和 BSC 資金，他們還能夠從批準無限制支出操作的少數用戶那里竊取資金。

bZx 尚未確認被盜資金的確切金額，區塊鏈安全公司 SlowMist 的專家推測，威脅行為者已盜取超過 5500 萬美元。

針對該事件，平臺采取了以下措施：

聯系了 Banteg 和 Mudit Gupta 加入我們的作戰室。

聯系了 Tether 并從黑客錢包中凍結了 USDT。（見下面地址）

聯系Binance，凍結了在BSC上被盜的BZRX，防止其被轉移。

聯系了KuCoin，發現其中一個黑客錢包被用于進出交易所。

禁用 Polygon 和 BSC 上的 UI，以防止用戶存款。

聯系USDC，要求凍結黑客錢包中的USDC。

聯系KuCoin確認黑客KuCoin賬戶。

bZx 承諾向攻擊者提供賞金，以防他們返還被盜資金。

最近，攻擊者從另一個去中心化金融平臺 Cream Finance DeFI 平臺竊取了價值 1.3 億美元的加密貨幣資產。