DeFi平臺bZx遭駭客盜走價值5,500萬美元的加密貨幣資產

專門提供使用者借出、借入及推測加密貨幣價格的分散式金融平臺bZx，在11月5日傳出遭到駭客入侵，駭客利用網釣攻擊取得該平臺一名開發者個人錢包的私鑰，進而針對該平臺發動攻擊，估計有價值5,500萬美元的加密貨幣資產遭到移轉。

根據bZx的說明，駭客傳送了一個夾帶惡意巨集的Word文件予該平臺的開發人員，以於開發人員的系統上植入惡意程式，並竊取了該名開發人員的錢包私鑰，以及在bZx協定上所部署的BSC與Polygon私鑰。

駭客不僅清空了該名開發人員的錢包，也清空了BSC及Polygon協定上的錢包，還升級了合約，以盜走那些允許無限批准合約的所有代幣。

因此，除了該名開發人員的錢包被盜領一空之外，舉凡是在BSC與Polygon協定存有資產的使用者，以及採用無限批准合約的使用者，也都受到波及，資產全被移轉。

不過，有鑑於基於以太坊的bZx協定並未被開採，且它受到DAO（去中心化自治組織）的管理，因此在以太坊上的bZx的協定是安全的。

bZx並未公布開發者是何時受到感染，僅說在11月5日收到一名使用者的檢舉，他發現自己的餘額是負的，而且利用率很高，bZx已追蹤到駭客所使用的錢包，進而通知各大平臺，共同凍結駭客錢包中的交易，以避免駭客脫產；另也關閉了BSC與Polygon的使用者介面，暫停用戶交易。

bZx坦承，其BSC與Polygon部署的管理員私鑰尚未轉至DAO，才未受到DAO的保護，現在已重新啟動基於DAO的BSC與Polygon。另也呼籲駭客主動聯繫bZx，以討論歸還所盜資產及可能獲得的獎金事宜。

根據《The Record》的統計，這是今年來所發生的加密貨幣搶案中，被盜規模排名第五的，前四名依序是Poly Network的6.1億美元，Cream Finance的1.3億美元，Liquid的9,400萬美元，以及EasyFi的8,100萬美元。

在針對跨鏈協定PolyNetwork的攻擊事件中，駭客利用的是PolyNetwork有關合約調用的安全漏洞，而讓駭客得以一次盜走大量的加密資產，駭客最後在PolyNetwork與眾人的勸說下將加密貨幣完璧歸趙，當時PolyNetwork還承諾提供50萬美元的抓漏獎金予駭客。