10月30日，多家连锁部署的去中心化交易应用(DEX)BXH被盗，价值约1.39亿美元的加密资产丢失。这个安全事故发生在BSC链上的BXH协议中。根据该应用的官方声明，以太坊、OEC链和Heco链上的BXH协议和资产没有受到影响，但出于安全原因，链上的所有外部服务都被关闭。 　　

　　

　　事故发生后，根据区块链安全机构慢雾科技的分析，在被盗之前，BXH的管理钱包地址有“授予攻击契约管理权限”的操作，导致攻击契约通过管理权限将其管理的资产从BXH策略池资金库中转出，部分被盗资金已经跨链转移。 　　

　　

　　盗窃原因一出，舆论哗然。可惜BXH以安全事故的形式体现了它的中文花名“傻孩子”。 　　

　　

　　有人想不通为什么BXH可以把资金管理权限“交给”黑客，也有人质疑该应用监守自盗。该应用程序的王兴领导人的先前负面信息再次被拉出。BXH没有过多回应舆论，只是说“私钥泄露”，并发出100万美元的悬赏，招揽白帽团队追回资金。 　　

　　

　　由于BXH已经关闭了应用的收费功能，依赖交易所流动性的机枪池应用Coinwind也因安全检查关闭了其在多个链条上的收费功能，而另一个机枪池应用Earn DeFi则因Coinwind暂停收费而关闭了收费。 　　

　　

　　DeFi的收入可以“骗”，发生安全事故时也会产生“骗”的反应。截至记者发稿，上述三款应用均未开通收费功能。 　　

　　

　　BXH管理权限「被黑」遭质疑 　　

　　

　　 　　

　　

　　在价值1.39亿美元的加密资产被盗一天后，北京时间10月31日，BXH在官方社交媒体上公开了其在BSC链条中的剩余资产，包括USDT、USDC、BTC、ETH、BUSD和MDX，剩余价值约1.84亿美元。 　　

　　

　　 　　

　　

　　目前，BXH在BSC链中的剩余价值为1.84亿美元。 　　

　　

　　BXH官方表示，剩余资产的取钱方案将在第三方安全联合团队确认事故原因、合同安全以及警方调查的初步问题后，发布资产的取钱公告及其他赔偿方案。 　　

　　

　　根据此前的公开资料，去中心化交易应用BXH于今年3月初步部署在火币Heco链，并以“短短10天吸引数万用户和12亿美元TVL”的成绩一度风靡DeFi今年7月30日正式部署在BSC链上，随后在以太坊和OEC链上“建站”。 　　

　　

　　事发前的10月25日，BXH刚刚启动了BSC链上借贷池的挖掘功能。结果五天后就出事了。 　　

　　

　　事件发生后，区块链安全机构、BXH审计机构之一的慢雾科技(Slow Fog Technology)给出了初步分析。根据该机构的情报，黑客部署了攻击契约0x887727日13时(UTC)；然后在29日08:00(UTC)，BXH项目管理钱包地址0x5614通过grantRole授予攻击契约0x8877管理权限；30日03:00(UTC)，攻击者通过攻击合约0x8877的权利，将其管理的资产从BXH保单池的资金基础转出；30日04:00(UTC)，0x5614暂停资金池。“所以BXH这次被盗是因为其管理权限被恶意修改，导致攻击者利用该权限转移项目资产。」 　　

　　

　　事件发生后的10月30日也开始了追踪。慢雾科技于北京时间当日16: 24发布公告称，黑客在BSC链上的初始获利地址，从BSC链向ETH链转移了4000个ETH，再将300个BTCB转换为renBTC，跨链到两个地址。 　　

　　

　　例如，根据BXH事件后的公告，被盗资金的转移链已被多个安全机构追踪。该应用还发布了100万美元的悬赏公告，并计划招募白帽团队收回资金。 　　

　　

　　慢雾技术的“首诊”一出，网上舆论和BXH的用户纷纷表示不解。一些人想知道为什么BXH的钱包管理权被交给黑客，另一些人质疑这是proj 　　

　　

　　官方的“私钥泄露”论暴露了本次交易私钥管理的漏洞。DeFi场的KOL神鱼有个疑问，私钥“为什么不多签，为什么不加时间锁”。对于这种疑惑，BXH目前还没有给出答案，之后会有更详细的安全性分析。 　　

　　

　　媒体《巴比特》援引加密资产存管服务商Security Heron的观点称，加密资产的管理者需要更加关注单私钥管理带来的安全风险。 　　

应尽快把Owner私钥升级为多签管理的方式，避免私钥单点风险。而通过链上合约多签或者MPC多签，均可以实现对Owner私钥的多签管理。

　　

　　

可见，私钥安全风险虽有，但也有技可施，掌管着用户上亿美元资产的BXH在私钥管理上失职了。

　　

　　

　　

　　

两个第三方机枪池连环关停充提

　　

　　

　　

尽管事故发生在BSC版的BXH中，以太坊、OEC及Heco上的资产并未受到影响，但该应用出于安全考量，还是关闭了其在各个链上的服务功能。

　　

　　

BXH暂时关停服务后，DeFi「套娃」效应的暗黑一面也出现了，依赖BXH流动性的第三方机枪池应用CoinWind也在10月30日紧急地关停了其在BSC、Heco及以太坊链上的部分充值和提现功能。结果，另一个机枪池应用Earn DeFi的官方公告称，因为CoinWind暂停充提，他们也停了充提。

　　

　　

BXH被盗的连锁反应导致三个应用的用户们目前都无法取出存储在其中的资产。

　　

　　

蜂巢财经登陆CoinWind应用发现，该应用确实已经暂停了充提功能，收益虽然正常计算，但本金和收益均无法正常提取。Earn DeFi同样如此。

　　

　　

　　

两个机枪池应用接连关闭充提

　　

　　

10月31日，CoinWind的公告显示，由于BXH关闭了所有主链的充提，目前CoinWind无法从BXH取回部分投放资金，故跟随暂停了Heco、BSC、ETH三条主链的充提，且相关数据暂无法准确计算。该应用表示，BXH如在确定无风险后开放Heco、ETH充提，CoinWind也将开放。现阶段，Heco、ETH主链的CoinWind用户的本币及收益未受到影响，该应用正在全力跟进BXH在BSC链本次被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。

　　

　　

CoinWind暂停充提后，Earn DeFi仅在用户群中通过小助手发了一纸公告，官网及官方该公告显示，由于CoinWind紧急关闭了三条链上的单币质押及DAO充提，Earn DeFi用户在ETH、BTC、USDT池的充提会受到影响。具体多少资金被波及，该公告同样没有明说。

　　

　　

从双方的公告看，机枪池应用CoinWind的投入及收益来源之一是BXH，而Earn DeFi的部分收益耕种区是CoinWind，结果，城门失火，殃及池鱼。池是机枪池，鱼是这些应用的用户们。

　　

　　

需要关注的是，很多值得深思的细节问题也在事故发生后浮出水面。

　　

　　

比如，CoinWind官方社群的管理员就表示，他们与Earn DeFi并无关系，双方没有合作，也从未收到过对方前来存币的对接信息，对方自事发后也没有给出与CoinWind交互的合约地址。有CoinWind用户认为，Earn DeFi在「甩锅」，仍在使用该应用的用户「要小心了」。

　　

　　

Earn DeFi也没对对方的说法给出更多回应，但从其自身公告看，Earn DeFi作为机枪池「寄生」在另一个机枪池的做法多少显得很懒惰，一般情况下，交易应用的挖矿池才应该是机枪池们获取高收益的主要来源，结果CoinWind关充提，Earn DeFi三个主流单币池就受了影响。

　　

　　

再比如，有用户对CoinWind将资产投入到屡受争议的BXH感到不满，「早知道是投入BXH，我就不再CoinWind存币了。」用户有此情绪皆因今年7月，BXH被多家自媒体深扒了主导成员的「不靠谱」行径，该应用的主导者王小彬被批评连续两年在区块链领域「发币、圈钱」、「10个项目全是空气」，而王小彬此前在互联网领域创业时曾出现过产品跳票不发货、公司倒闭、欠薪成老赖被限制消费等「黑历史」。

　　

　　

有CoinWind用户认为，将用户资产投入到团队有争议的应用中去赚取收益，已经是风险前兆。

　　

　　

CoinWind社群管理员针对「为什么选BXH机枪」作出解释称，他们对BXH做了尽职调研，包括对接入的所有其他池子都会做调研评估，BXH的审计报告没有问题，且基本是实名项目。「作为机枪池，我们的义务就是选择收益高且较为可靠的池子投入，这次BXH被攻击是由于私钥被盗，就CoinWind而言，这确实属于人力不可抗因素。」

　　

　　

BXH被盗需要反思自身的私钥管理问题，而对机枪池来说，至少有一些用户建议是值得这类收益管理应用们应该考虑的，特别是一个个DeFi应用都在朝着DAO发展时――公开、透明的告知用户资金配置的去向。

　　

　　

不要以「机密」为由敷衍用户，配资策略也许是机枪池的生存和竞争的壁垒，但公布资金被分配到了哪些收益耕地中并不太影响机密策略的具体执行，让用户知情权和选择权得到提前满足，这不正是区块链所倡导的精神吗？

　　

　　

　　

　　

　　

你是否受到了BXH事故影响？