再说一遍,良心哥的刀下没有冤魂。
近期defi圈被攻击事件频发,之前是cream,而今天的主角是BXH。
至于这个项目为什么叫BXH,中文名笨小孩,王小彬说的很有情怀。
呵呵呵,一语成谶。
就在上个月初的时候,良心哥呕心沥血写了一篇深度文:
割了几十亿韭菜的他,出门必带五个保镖
然后今天下午,王小彬的BXH出事了。
BXH在BSC链上被攻击,损失金额超过1.3亿美金。
之前良心哥说,小彬不割韭菜只割大户,这次爆雷之后也再次映证了良心哥的判断。
1.3亿美金折算人民币超过8个亿,而某大户自己是1800万,几个朋友加起来已经超过1个亿,仅仅几个人的损失占比超过总金额的12.5%。
不得不说,小彬牛逼。
从项目方的表述来看,说项目是被黑客攻击了。 目前因为项目方停止了eth、oec和heco的存取款业务,同时也无法给出这两条链上的锁仓数据,而在项目方官网上,数据也是清零的。
良心哥往下翻了翻页面,看到了安全审计机构:慢雾和灵踪。 关于灵踪安全的尿性,之前良心哥也专门深扒了这家所谓安全领域新贵的前世今生:李林出来后,会收拾杜均吗? 良心哥捋了一下BXH今年的时间线,发现大部分的审计工作,尤其是后期的审计工作都是灵踪在做。7月份,灵踪通过安全审计,致命风险、高危风险、中度风险、低风险在审计报告里均为0。但现在好像出了个致命风险,灵踪的招牌是不是可以砸了?就你审计的项目,有能拿得出手的吗?
8月份,BXH的TVL(总锁仓量)突破10亿美元关口。 10月25日,BXH借贷协议正式登陆BSC。 10月30日,BXH被卷走1.3亿美金。
这1.3亿美金,是怎么从项目方眼皮子底下溜走的? BXH官方审计机构的慢雾却说:是你们自己授权给出去的。
简单捋一下慢雾说了啥: 第一,攻击者在27号部署好了攻击合约0x8877。第二,2天后,BXH项目管理钱包的地址0x5614赋予了合约管理权限。第三,1天后,也就是今天,攻击者才通过攻击合约的权限将策略池资金库里将资产转出。总结:本次所谓被盗,是因为管理权限被恶意修改,导致攻击者利用权限转移了项目的资产,也就是本次的1.3亿。 说的明白了吧?很明白。但是很奇怪吗?很奇怪。核心的关键点在于:为什么项目方要把合约管理权限给到特定的攻击者? 就相当于什么吧。人家拿了一把枪顶着你脑袋,你说我知道你枪里没有子弹,给你一个子弹终结我吧。 真你吗是老寿星吃砒霜——活腻了。 王小彬至今尚未公开表态,也没有表示会对此负责。 只是在私下交流的情况下表示:私钥泄露了。
在跟派盾的对话里,看到说被盗原因是私钥被盗导致的权限被转移,然后攻击者把币提走。 至于为什么私钥会被盗,神鱼发出了灵魂拷问:为啥不多签?为啥不加时间锁?
大家的答复也都很毫不掩饰:因为他想直接跑。实际上慢雾本次的态度就很值得玩味。作为早期给BXH做安全审计的公司,第一时间跳反,说这个是你们主动授予了攻击者权限。 那这样一来,后边的审计是灵踪做的,权限是你自己给的,那句没说出来的话就是:这事儿他吗的跟我们慢雾无关。 安全行业的从业者态度也很有意思。不知道大家注意到一个称呼没有:攻击者。 在之前类似案件的表述里,标准表达术语是:黑客发起攻击。 而在BXH的案件里,大家使用的的称呼是攻击者。为什么会有这样的区别? 答案其实不言自明:因为他们不能确定攻击者是不是黑客。 或者说的更直白一点:他们不排除监守自盗的可能性,只是不便点破。 其实良心哥怎么看已经不重要了,大家其实也都是心知肚明。 王小彬是什么样的人大家也都知道,能做出这样的事情反正良心哥是一点也不意外,反而觉得在情理之中。 人家全家都在外国,妥妥的世界公民。身价几十亿的富豪,境内的欠款一毛钱不还。 包括到事情发生之后,没有任何的公开表态。就凭他做事的这股狠劲儿,能有几个韭菜是他的对手?写到最后,良心哥豁然发现:原来这个项目叫笨小孩是有道理的。 只是笨小孩天真的以为,王小彬才是那个笨小孩。
你好,我是良心哥。我们专门曝光币圈黑幕,怒怼空气币和各种骗局。如果你在币圈被割了韭菜或者被诈骗,来找我,我帮你!
用团结的力量告诉币圈的骗子,我们才是币圈真正的主人!
原创文章,作者:QKL123,如若转载,请注明出处:http://qkl12315.com/archives/1381