El equipo detrás del protocolo de préstamos basado en Ethereum bZx ha publicado una revisión de los ataques recientes en su red, alegando que ha reelaborado su diseño de oráculo, marco de desarrollo y procesos de revisión para el nuevo código.
La serie de Los ataques a bZx tuvieron lugar por primera vez el 14 de febrero, cuando alguien explotó un error en el sistema y finalmente obtuvo una cantidad estimada de $ 350,000. Un segundo ataque siguió tres días después, lo que resultó en una pérdida estimada de $ 645,000 en ETH.
En otro giro de los acontecimientos, el agregador de intercambio descentralizado 1inch.exchange salió el 20 de febrero y alegó que encontró un valor de $ 2.5 millones en vulnerabilidad en el protocolo de préstamos Fulcrum de bZx más de un mes antes. Sin embargo, según la alegación de 1inch.exchange, bZX no informó a los usuarios ni les pagó una recompensa de recompensa.
En una publicación de blog del lunes el cofundador de bZx, Kyle Kistner, analizó los incidentes y las medidas resumidas que la plataforma está tomando para mitigar los riesgos de seguridad en el futuro.
Según Kistner, el segundo ataque fue posible debido a las vulnerabilidades en el sistema Oracle existente. Por lo tanto, bZx está trabajando en un nuevo diseño de Oracle que eventualmente incluiría información de precios de Chainlink, Band y Uniswap v2.0. Sin embargo, en la Fase 0, el sistema dependerá temporalmente de Chainlink solo para los precios de referencia.
Notablemente, la plataforma también alterará la forma en que se agregan nuevos códigos para asegurarse de que todo el ecosistema tenga más tiempo para revisarlos.
"Haremos la transición a un sistema similar a EIP para catalogar nuevas funciones y mejoras al protocolo", escribió Kistner en la publicación del blog. "Esto hará que el proceso de cómo el nuevo código se agregue sea completamente visible para el público. Las características no deben agregarse como una sorpresa o en el último momento. Por el contrario, deben pasar por un largo proceso público para que todos los participantes del ecosistema puedan familiarizarse con el estado del código ".
Además, bZx hará que su código recientemente refactorizado pase por una auditoría de seguridad, verificación formal y una auditoría económica antes de que la plataforma vuelva a ser completamente funcional, según Kistner.
"Creemos que la cobertura completa de las pruebas, el análisis estático y la verificación formal podrían haber formado líneas de defensa adicionales contra el primer ataque que pasó por alto el control de seguridad de la garantía", dijo. "Creemos que una auditoría económica habría sido particularmente valiosa para prevenir el segundo ataque".
"Nunca más publicaremos código no auditado, sin importar cuán pocas líneas o trivial", agregó.
Con respecto al intercambio de 1 pulgada. Kistner se disculpó por el hecho de que bZx no pudo pagar la recompensa por errores de inmediato.
"En lugar de simplemente pagar la recompensa total por los errores de inmediato, con extrema gratitud por encontrar una hazaña tan grave, intentamos negociar", dijo. "Este fue un grave error del que debemos responsabilizarnos. Bajo ninguna circunstancia debería haber sucedido, y nos disculpamos sinceramente".
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.theblockcrypto.com/post/58280/bzx-outlines-changes-in-development-framework-after-defi-lending-protocol-exploits?utm_source=rss&utm_medium=rss