bZx攻击和1inch.exchange指控:这是团队必须说的

现在,bZx攻击传奇有了新的变化。

一家去中心化交易所(DEX)的聚合商1inch.exchange声称,一个月前它在bZx的Fulcrum贷款协议中发现了一个价值250万美元的漏洞,但bZx并未通知用户。

1inch.exchange在周五发布的Medium博客文章中说,一切始于1月11日bzx的借贷和保证金交易平台Fulcrum发布了快速贷款功能。 “我们发现来自3个矿池的250万美元用户资金可能在一次交易中被盗。”

当1inch.exchange发现该漏洞时,它已经发布了不到48小时,因此“恶意攻击者很有可能会利用它。”

1inch.exchange继续解释说,它准备进行白帽黑客攻击以保护用户资金,甚至通过在两个单独的交易中仅转移一个weiDAI(0.000000000000000001 DAI)来测试漏洞。然后,它与Fulcrum小组联系以披露该漏洞。

“ Fulcrum团队花了将近4个小时来解决问题,我们还没有获得有关进度的详细信息。此外,由于智能合约中特殊的系统升级时间,修复程序的部署又花了12个小时。因此,在16个小时内,任何人都可以窃取250万美元。” 1inch.exchange说。

由于1inch.exchange发现了该漏洞,该公司表示已要求bZx团队提供赏金,但“他们基本上是在试图拒绝我们任何赏金。”

1inch.exchange进一步表示,Fulcrum团队最终“试图使用$3.5k使我们沉默并隐藏整个事情。”

1inch.exchange说:“最重要的是,Fulcrum团队开始指责我们最近的攻击。”上周,bZX在两次攻击中损失了约943,000美元的以太坊(ETH)。

单方面的故事?

bZx联合创始人Kyle Kistner告诉The Block,1inch.exchange的博客文章是单方面的。奇斯纳说:“即使他们通过向公众公开漏洞而违反了我们的披露政策,我们也同意给予他们赏金。这是一种真诚的行为,”基斯纳说。

“我们告诉他们我们正在编写验尸报告并将其安排在2月底进行。行业标准的负责任披露准则规定了90天的披露时间(例如Google,Microsoft等遵循这些准则)。我们要求他们签名保密协议 [non-disclosure agreement] 因为他们似乎热衷于勒索我们。”

根据博客文章,1inch.exchange没有签署任何NDA。

但是,为什么它今天发布了博客文章? “自从他们 [bZx] 最近有2次违规行为,我们很确定他们不会发布任何信息 [disclosure of the vulnerability] 2月,” 1inch.exchange联合创始人安东·布科夫(Anton Bukov)告诉《 The Block》。

Kistner认为,以bug赏金为目的发布博客文章是1inch.exchange的“严重违反”。

但是,Bukov对The Block表示:“金钱对我们来说不是那么重要。我们不确定他们是否要为此付出代价。人们在最近两次袭击中损失了75万美元。您认为我们应该关心5,000美元吗?”

Kistner告诉The Block,1inch.exchange最初显然要求接近40,000美元的赏金。当被问及bZx现在是否愿意支付1inch.exchange赏金时,基斯特纳说:“这可能会改变事情。但是,我们尚未决定不向他们付款。”

奇斯特纳还特别指出,bZx确实通过了1inch.exchange嫌疑人作为其最新攻击的黑客,“因为它们具有动机和技术能力,但最终我们不认为它们是攻击的幕后黑手。”

资讯来源:由0x资讯编译自THEBLOCKCRYPTO。版权归作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢