Хакеры использовали для взлома уязвимость в коде iToken, которая позволяет дублировать данные токены. Злоумышленники украли около 30% от общего количества заблокированных на бирже средств пользователей. Представители bZx подчеркнули, что уязвимость была подтверждена компаниями Peckshield и Certik, и затем устранена командой разработчиков. При этом ведущий инженер Bitcoin.com Марк Тален (Marc Thalen) заявил, что сообщал команде bZx об уязвимости еще перед взломом:
«Прошлой ночью я нашел уязвимость в BRZX. Я обнаружил, что пользователи могут дублировать iToken, и под угрозой оказались средства на сумму более $20 млн. Я сообщил об этом команде и сказал, что работу протокола надо приостановить, однако все это заняло много времени. К моменту, когда работу смарт-контрактов приостановили, злоумышленники уже воспользовались уязвимостью. Я уверен, что если бы у хакеров было больше времени, они бы полностью вывели средства пользователей с биржи».
Новый взлом bZx снова поднимает вопрос о безопасности отрасли децентрализованного финансирования (DeFi). Генеральный директор Aave Стани Кулехов (Stani Kulechov) подчеркнул, что несмотря на множество аудитов безопасности после первых взломов, в проекте все еще появляются уязвимости. Пользователям децентрализованных приложений нужно постоянно об этом помнить. Напомним, что в середине февраля протокол bZx был дважды взломан. В первый раз злоумышленники украли криптовалюты на $345 000, а во второй – на $645 000.