Fulcrum, il protocollo DeFi sviluppato da bZX, rilanciato di recente dopo una serie di hack che a febbraio hanno costretto il team a riorganizzarsi, è stato hackerato un’altra volta per un totale di 8 milioni di dollari.

Secondo la comunicazione di bZX in merito all’incidente, il responsabile è una linea di codice posizionata nel posto sbagliato all’interno del contratto di “iToken,” il token che rappresenta la quota di un utente nella pool di asset forniti (sostanzialmente un bilancio dei depositi tokenizzato).

Un bug fix è stato rapidamente implementato per impedire ulteriori exploit. Come segnalato da Anton Bukov,  chief technology officer di 1inch.exchange, la soluzione ha semplicemente spostato una linea di codice diverse righe più in basso.

Il bug duplicava token quando un utente inviava una transazione a sé stesso attraverso una funzione particolare. Sostanzialmente, il contratto sottrae il valore della transazione dal mittente e lo aggiunge al destinatario. Il contratto creava variabili temporanee per rappresentare i saldi iniziali delle due controparti, utilizzandole per aggiornarli.

Nel caso in cui il ricevente e il mittente erano la stessa persona, però, la sottrazione avveniva dopo la configurazione delle variabili iniziali associate ai saldi. Di conseguenza, la sottrazione non aveva alcun effetto, quindi gli hacker potevano semplicemente creare token a volontà.

I token duplicati sono poi stati riscattati per il collaterale sottostante, portando così gli hacker a “possedere” una percentuale molto più elevata della pool. Come risultato, i criminali sono riusciti a prelevare 219.199,66 LINK, 4.502,70 Ether (ETH), 1.756.351,27 Tether (USDT), 1.412.048,48 USD Coin (USDC) e 667.988,62 Dai (DAI), per un valore totale di 8 milioni di dollari.

Le esperienze passate avevano spinto bZX a creare un fondo assicurativo per coprire questi “black swan,” e le monete rubate sono quindi state addebitate sul fondo, che riceve il 10% dei profitti realizzati dal protocollo attraverso i tassi d’interesse. Ad ogni modo, dopo l’incidente il protocollo Fulcrum è rimasto con solo 6 milioni di dollari in valore totale bloccato.

Ripagare questo debito potrebbe quindi richiedere molto tempo, e dipende dalle capacità del protocollo di avere successo nonostante questi bug. Il team di bZX aveva dichiarato un rinnovato impegno per proteggere le operazioni con diversi audit da parte di Certik e PeckShield, insieme a un rinvigorito programma di bug bounty.

Sembra che queste misure non siano state sufficienti, evidenziando che creare un protocollo DeFi sicuro è più difficile di quanto sembri.