Back to Blog

Первичный анализ инцидента безопасности bZx

Code Auditing
November 6, 2021
2 min read

5 ноября поступило сообщение о взломе протокола bZX. Злоумышленник вывел токены из затронутых смарт-контрактов. После первичного анализа транзакций атаки мы предполагаем, что это произошло из-за компрометации закрытого ключа разработчика.

Процесс атаки

Процесс достаточно прост. Привилегированная функция transferOwnership вызывается для передачи права владения затронутым смарт-контрактом новому адресу, например, 0x0acc0e5faa09cb1976237c3a9af3d3d4b2f35fa5. Затем новый владелец контракта может перевести все токены, которые были одобрены для смарт-контракта, на произвольные адреса.

Обратите внимание, что привилегированная функция transferOwnership может быть вызвана только текущим владельцем смарт-контракта. Действительно, мы обнаружили, что вызывающим абонентом этой функции является 0xb7f72028d9b502dc871c444363a7ac5a52546608, который является создателем затронутого смарт-контракта.

Мы не знаем точной причины, по которой создатель контракта передал право владения другим адресам. Однако мы подозреваем, что это произошло из-за компрометации (или утечки) закрытого ключа разработчика.

Вывод

В конечном итоге, безопасность закрытого ключа DApps имеет важное значение для безопасности приложения, особенно для тех, которые не используют DAO. Мы предлагаем владельцам проектов использовать новые методы, такие как конфиденциальные вычисления и MPC, для защиты закрытого ключа.

О компании BlockSec

BlockSec — это передовая компания в области безопасности блокчейна, основанная в 2021 году группой всемирно известных экспертов по безопасности. Компания стремится повысить безопасность и удобство использования для развивающегося мира Web3, чтобы способствовать его массовому внедрению. С этой целью BlockSec предоставляет услуги по аудиту безопасности смарт-контрактов и EVM-цепей, платформу Phalcon для разработки систем безопасности и проактивного блокирования угроз, платформу MetaSleuth для отслеживания и расследования движения средств, а также расширение MetaSuites для эффективной работы Web3-разработчиков в криптомире.

На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и получила десятки миллионов долларов США в ходе двух раундов финансирования от выдающихся инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.

Официальный сайт: https://blocksec.com/

Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam

Sign up for the latest updates
Информационный бюллетень — июнь 2026 г.
Security Insights

Информационный бюллетень — июнь 2026 г.

Отчёт за июнь 2026: три крупнейших инцидента с общими потерями ~$22M. Honeypot атака опустошила MEV-бот на ~$15M. Уязвимости Aztec rollup привели к потере ~$4.35M. Ошибка Ed25519 в SecondFi раскрыла ключи 374 кошельков (~$2.4M).

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec
Security Insights

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec

Отчёт за 22–28 июня 2026: два инцидента, ~$4,1М потерь. Эксплойт Taiko: утечка ключа SGX + неполная политика аттестации → подделка L2-доказательств. SecondFi: уязвимость Ed25519 (нонс без секрета) → восстановление приватных ключей Cardano.

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec
Security Insights

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec

Еженедельный отчёт о безопасности блокчейна (15–21 июня 2026): 3 инцидента в Ethereum и BNB Chain, ~$18,3M потерь. Атака на MEV-бот jaredFromSubway (~$15M): бот одобрял свои активы недоверенным контрактам. Злоумышленник создал фиктивные токены и пулы. Также: эксплойт Aztec — отсутствие ограничения равенства в ZK-схеме.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit