DeFi 收益能「套娃」，安全事故出现时也会产生「套娃」反应。

　　原文标题：《DEX「笨小孩」被盗 殃及两机枪池应用》

　　撰文：茉莉

　　10 月 30 日，多链部署的去中心化交易应用（DEX） BXH 被盗，损失了价值约 1.39 亿美元的加密资产，此次安全事故发生在 BSC 链上的 BXH 协议，据该应用官方声明显示，以太坊、OEC 链、Heco 链上的 BXH 协议及资产未受影响，但出于安全考量，关闭了所有链上的对外服务。

　　事故发生后，根据区块链安全机构慢雾科技的分析，被盗前，BXH 管理钱包地址出现过「赋予攻击合约管理权限」的操作，导致攻击合约通过管理权限从 BXH 策略池资金库将其管理的资产转出，被盗的部分资金已跨链转移。

　　失窃原因一出，舆论哗然，BXH 不幸地以安全事故的方式反应了它的中文花名「笨小孩」。

　　有人想不通为何 BXH 能将资金管理权限「拱手让黑客」，也有人质疑该应用监守自盗，该应用的王姓主导人此前的负面信息再次被扒出。BXH 其官方未就舆情进行过多回应，仅表示「私钥泄露」，并发布 100 万美元悬赏金招揽白帽子团队追回资金。

　　由于 BXH 已经关闭了应用的充提功能，依赖该交易所流动性的机枪池应用 CoinWind 也因安全排查而关闭了其在多条链上的充提功能，而另一个机枪池应用 EARN DEFI 则因 Coinwind 的充提暂停而关了充提。

　　DeFi 收益能「套娃」，安全事故出现时也会产生「套娃」反应。截至发稿，上述三个应用均未开放充提功能。

　　价值 1.39 亿美元的加密资产被盗走一天后，北京时间 10 月 31 日，BXH 在官方社交媒体上公示了其在 BSC 链上的资金池剩余资产，包括 USDT、USDC、BTC、ETH、BUSD、MDX 在内，资产残值约余 1.84 亿美元左右。

　　当前 BXH 在 BSC 链上的残值剩 1.84 亿美元

　　BXH 官方表示，剩余资产的提币方案将在第三方安全联合团队确认事故原因和合约安全以及警方调查初步问题以后，出具资产提币公告和其他补偿方案。

　　此前的公开信息显示，去中心化交易应用 BXH 于今年 3 月初始部署于火币 Heco 链，曾以「短短 10 天内吸引了数万用户以及 12 亿美金的 TVL」的成绩风靡 DeFi 火爆期；今年 7 月 30 日正式部署在 BSC 链上，此后又在以太坊和 OEC 链上「建站」。

　　事发前的 10 月 25 日，BXH 刚在 BSC 链上启动了借贷池挖矿功能，结果 5 天后就出了事儿。

　　区块链安全机构、BXH 的审计方之一慢雾科技已在事发后给出了初步分析，据该机构情报，黑客于 27 日 13 时（UTC） 部署了攻击合约 0x8877；接着在 29 日 08 时（UTC）， BXH 项目管理钱包地址 0x5614 通过 grantRole 赋予攻击合约 0x8877 管理权限；30 日 03 时（UTC），攻击者通过攻击合约 0x8877 的权限从 BXH 策略池资金库中将其管理的资产转出；30 日 04 时（UTC） 0x5614 暂停了资金库。「因此，BXH 本次被盗是由于其管理权限被恶意的修改，导致攻击者利用此权限转移了项目资产。」 (责任编辑：admin)