Ahora hay un nuevo giro en la saga de ataques bZx.
1inch.exchange, un agregador de intercambio descentralizado (DEX), alegó que encontró un valor de $ 2.5 millones en vulnerabilidad en el protocolo de préstamos Fulcrum de bZx hace más de un mes , pero bZx no informó a los usuarios.
Todo comenzó el 11 de enero cuando la plataforma de negociación de márgenes y préstamos de bZx Fulcrum lanzó la función de préstamos flash, dijo 1inch.exchange en una publicación de blog de Medium publicada el viernes. "Descubrimos que se podían robar $ 2.5 millones de fondos de los usuarios de 3 grupos en una sola transacción".
La vulnerabilidad se había publicado durante menos de 48 horas cuando 1inch.exchange lo descubrió, por lo que había "una posibilidad muy alta de malicia los atacantes podrían explotarlo ".
1inch.exchange continuó explicando que estaba preparado para realizar un hack de sombrero blanco para proteger los fondos de los usuarios e incluso probó la vulnerabilidad al transferir solo un weiDAI (0.000000000000000001 DAI) en dos transacciones separadas. Luego contactó al equipo de Fulcrum para revelar la vulnerabilidad.
"El equipo de Fulcrum tardó casi 4 horas en manejar el problema, y no obtuvimos detalles del equipo sobre el progreso. Además, el despliegue de la solución tomó otras 12 HORAS, debido al bloqueo de tiempo especial de actualización del sistema en el contrato inteligente. Así que hubo 16 horas durante las cuales cualquiera podía robar $ 2.5M ", dijo 1inch.exchange.
Dado que 1inch.exchange encontró la vulnerabilidad, la empresa dice que solicitó recompensas al equipo bZx, pero" básicamente trataron de negarnos cualquier recompensa de recompensa ".
1inch.exchange dijo además que el equipo de Fulcrum finalmente "trató de usar los $ 3.5k para silenciarnos y ocultar todo".
"Además de todo, el equipo de Fulcrum comenzó a acusarnos de las hazañas recientes, "dijo 1inch.exchange. bZX perdió alrededor de $ 943,000 en éter (ETH) en dos ataques la semana pasada.
¿Historia unilateral?
El cofundador de bZx, Kyle Kistner, le dijo a The Block que la publicación de blog de 1inch.exchange es unilateral. "Acordamos pagarles una recompensa a pesar de que violaron nuestra política de divulgación al publicar la vulnerabilidad al público. Fue un acto de buena fe", dijo Kistner.
"Les dijimos que estábamos escribiendo una autopsia y programándola para fines de febrero. Las pautas de divulgación responsable estándar de la industria dan 90 días para la revelación (por ejemplo, Google, Microsoft, etc., sigan estas pautas). ellos firmaron un NDA [non-disclosure agreement] porque parecían interesados en extorsionarnos ", agregó Kistner.
1inch.exchange no firmó ningún NDA, según la publicación del blog.
Pero, ¿por qué publicó la publicación del blog hoy? "Dado que [bZx] tuvieron 2 infracciones recientemente, estábamos bastante seguros de que no publicarán nada [disclosure of the vulnerability] en febrero", dijo a The Block Anton Bukov, cofundador de 1inch.exchange.
Kistner cree que es "una violación bastante profunda" por 1inch.exchange publicar la publicación del blog con el propósito de recompensas de errores.
Bukov, sin embargo, le dijo a The Block que "El dinero no es tan importante para nosotros. No estamos seguros de que vayan a pagar. La gente acaba de perder $ 750k en los 2 últimos ataques. ¿Crees que deberíamos preocuparnos por $ 5k? "
1inch. El intercambio aparentemente exigió inicialmente una recompensa de cerca de $ 40,000", dijo Kistner a The Bloquear. Cuando se le preguntó si bZx ahora pagará 1 pulgada. Intercambie la recompensa, Kistner dijo: "Esto posiblemente cambia las cosas. Sin embargo, no hemos tomado la decisión de no pagarlas en este momento".
Kistner también dijo que bZx hizo al pasar sospechoso de 1 pulgada de intercambio como el hacker de sus últimos ataques, "porque tienen motivos y habilidades técnicas, pero al final no creemos que estén detrás del ataque". 19659019]
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.theblockcrypto.com/post/56579/bzx-attacks-and-1inch-exchange-allegations-heres-what-the-teams-have-to-say?utm_source=rss&utm_medium=rss