• 手机下载链向财经官方IOS和安卓版APP

      链向财经APP下载

      使用环境
      iOS 9.0及以上
      Android 4.3及以上

    • 链向财经官方微信公众号

      链向财经官方微信公众号

      微信号:LXcaijing

    • 链向财经官方QQ群

      链向财经官方QQ群

      群号:570828491

    • 意见反馈
    • 回到顶部
    • 10019
    • 评论
    • 喜欢
    • 举报
    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?

    11-01 15:00

    标签BXH慢雾笨小孩

    来源:币圈的良心

    再说一遍,良心哥的刀下没有冤魂。
    近期 defi 圈被攻击事件频发,之前是 cream,而今天的主角是 BXH。
    至于这个项目为什么叫 BXH,中文名笨小孩,王小彬说的很有情怀。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    呵呵呵,一语成谶。
    就在上个月初的时候,良心哥呕心沥血写了一篇深度文:
    然后今天下午,王小彬的 BXH 出事了。BXH 在 BSC 链上被攻击,损失金额超过 1.3 亿美金。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    之前良心哥说, 小彬不割韭菜只割大户 ,这次爆雷之后也再次映证了良心哥的判断。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    1.3 亿美金折算人民币超过 8 个亿,而某大户自己是 1800 万,几个朋友加起来已经超过 1 个亿,仅仅几个人的损失占比超过总金额的 12.5%。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    不得不说,小彬牛逼。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    从项目方的表述来看,说项目是被黑客攻击了。 目前因为项目方停止了 eth、oec 和 heco 的存取款业务,同时也无法给出这两条链上的锁仓数据,而在项目方官网上,数据也是清零的。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    良心哥往下翻了翻页面,看到了安全审计机构:慢雾和灵踪。 关于灵踪安全的尿性,之前良心哥也专门深扒了这家所谓安全领域新贵的前世今生:
    良心哥捋了一下 BXH 今年的时间线,发现大部分的审计工作,尤其是后期的审计工作都是灵踪在做。
    7 月份,灵踪通过安全审计,致命风险、高危风险、中度风险、低风险在审计报告里均为 0。
    但现在好像出了个致命风险,灵踪的招牌是不是可以砸了?
    就你审计的项目,有能拿得出手的吗?

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    8 月份,BXH 的 TVL (总锁仓量)突破 10 亿美元关口。
    10 月 25 日,BXH 借贷协议正式登陆 BSC。
    10 月 30 日,BXH 被卷走 1.3 亿美金。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    这 1.3 亿美金,是怎么从项目方眼皮子底下溜走的? BXH 官方审计机构的慢雾却说:是你们自己授权给出去的。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    简单捋一下慢雾说了啥:
    第一,攻击者在 27 号部署好了攻击合约 0x8877。
    第二,2 天后,BXH 项目管理钱包的地址 0x5614 赋予了合约管理权限。
    第三,1 天后,也就是今天,攻击者才通过攻击合约的权限将策略池资金库里将资产转出。
    总结:本次所谓被盗,是因为管理权限被恶意修改,导致攻击者利用权限转移了项目的资产,也就是本次的 1.3 亿。
    说的明白了吧?很明白。
    但是很奇怪吗?很奇怪。
    核心的关键点在于:为什么项目方要把合约管理权限给到特定的攻击者? 就相当于什么吧。人家拿了一把枪顶着你脑袋,你说我知道你枪里没有子弹,给你一个子弹终结我吧。
    真你吗是老寿星吃砒霜——活腻了。王小彬至今尚未公开表态,也没有表示会对此负责。 只是在私下交流的情况下表示:私钥泄露了。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    在跟派盾的对话里,看到说被盗原因是私钥被盗导致的权限被转移,然后攻击者把币提走。
    至于为什么私钥会被盗,神鱼发出了灵魂拷问:为啥不多签?为啥不加时间锁?

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?


    大家的答复也都很毫不掩饰:因为他想直接跑。 实际上慢雾本次的态度就很值得玩味。作为早期给 BXH 做安全审计的公司,第一时间跳反,说这个是你们主动授予了攻击者权限。
    那这样一来,后边的审计是灵踪做的,权限是你自己给的,那句没说出来的话就是:这事儿他吗的跟我们慢雾无关。 安全行业的从业者态度也很有意思。不知道大家注意到一个称呼没有:攻击者。 在之前类似案件的表述里,标准表达术语是:黑客发起攻击。 而在 BXH 的案件里,大家使用的的称呼是攻击者。
    为什么会有这样的区别?答案其实不言自明:因为他们不能确定攻击者是不是黑客。 或者说的更直白一点:他们不排除监守自盗的可能性,只是不便点破。 其实良心哥怎么看已经不重要了,大家其实也都是心知肚明。
    王小彬是什么样的人大家也都知道,能做出这样的事情反正良心哥是一点也不意外,反而觉得在情理之中。
    人家全家都在外国,妥妥的世界公民。
    身价几十亿的富豪,境内的欠款一毛钱不还。
    包括到事情发生之后,没有任何的公开表态。
    就凭他做事的这股狠劲儿,能有几个韭菜是他的对手?
    写到最后,良心哥豁然发现:原来这个项目叫笨小孩是有道理的。只是笨小孩天真的以为,王小彬才是那个笨小孩。

    1.3 亿美金不翼而飞,谁才是笨小孩里的笨小孩?

    已有0人喜欢

    本文经授权发布,不代表链向财经立场。如若转载请标注文章来源:链向财经(www.chainfor.com)

    为了您能更及时的获取到最新热门资讯,请关注链向财经微信公众号:LXcaijing

    发表评论
    请先 注册 / 登录 后参与评论
    已有0发布
      已查看全部
      举报
      • 内容涉嫌抄袭,代表月亮消灭他/她
      • 发布不实消息,画个圈圈诅咒他/她
      • 诱导投资,放毛毛,揍他/她
      • 侵犯名誉、隐私,这个借一步说话
      • 其他
      具体描述(选填):
      取消提交