10月30日,去中心化收益類協議 BXH 發生私鑰被盜事件,損失了價值約1.39億美元的加密資產。此次安全事故發生在 BSC 鏈上,據官方宣告顯示,以太坊、OEC 和 Heco 的鏈上資產未受影響,但出於安全考量,所有鏈上的充提功能都被關閉。
事件發生後,根據區塊鏈安全機構慢霧科技的分析,駭客於27日13時 (UTC) 部署了攻擊合約 0x8877,接著 BXH 的錢包地址 0x5614 於29日8時 (UTC) 透過 grantRole 將管理許可權賦予了攻擊合約 0x8877。30日3時 (UTC) 攻擊者透過攻擊合約 0x8877 獲得的許可權從 BXH 金庫中將其管理的資產轉出。30日4時 (UTC) 錢包地址 0x5614 暫停了金庫。因此,BXH 本次被盜是由於其管理許可權被惡意地修改,導致攻擊者利用此許可權轉移了專案資產。目前,駭客初始地址(0x48c94305bddfd80c6f4076963866d968cac27d79)裡的4000 ETH已經從BSC轉移到ETH,還有300 BTCB兌換成renBTC轉移到新地址 (1Jw...9oU 和 1Fr...Vow)。區塊鏈安全機構派盾在推特上公佈了截止11月1日被盜資金的去向:
此事一出,輿論譁然,大家疑惑的是為什麼 BXH 能將資金管理許可權交給駭客,駭客不需要攻克複雜的智慧合約,僅需獲取私鑰就摧毀了整個協議。這種盜幣手段頗為原始,不免讓人質疑是否是存在內鬼。隨後關於創始人的一系列黑歷史也被扒出。目前官方只是表示此次事件系私鑰洩露,併發布100萬美元懸賞金招攬白帽子團隊追回資金。
