去中心化交易协议 BXH 被盗，两机枪池受影响关停充提，BXH 管理权限遭质疑

DeFi 收益能「套娃」，安全事故出现时也会产生「套娃」反应。多链部署的去中心化交易应用（DEX） BXH 被盗，损失了价值约 1.39 亿美元的加密资产，此次安全事故发生在 BSC 链上的 BXH 协议，据该应用官方声明显示，以太坊、OEC 链、Heco 链上的 BXH 协议及资产未受影响，但出于安全考量，关闭了所有链上的对外服务。

事故发生后，根据区块链安全机构慢雾科技的分析，被盗前，BXH 管理钱包地址出现过「赋予攻击合约管理权限」的操作，导致攻击合约通过管理权限从 BXH 策略池资金库将其管理的资产转出，被盗的部分资金已跨链转移。失窃原因一出，舆论哗然，BXH 不幸地以安全事故的方式反应了它的中文花名「笨小孩」。有人想不通为何 BXH 能将资金管理权限「拱手让黑客」，也有人质疑该应用监守自盗，该应用的王姓主导人此前的负面信息再次被扒出。BXH 其官方未就舆情进行过多回应，仅表示「私钥泄露」，并发布 100 万美元悬赏金招揽白帽子团队追回资金。

由于 BXH 已经关闭了应用的充提功能，依赖该交易所流动性的机枪池应用 Coinwind 也因安全排查而关闭了其在多条链上的充提功能，而另一个机枪池应用 Earn DeFi 则因 Coinwind 的充提暂停而关了充提。DeFi 收益能「套娃」，安全事故出现时也会产生「套娃」反应。截至发稿，上述三个应用均未开放充提功能。

BXH 管理权限「被黑」遭质疑

价值 1.39 亿美元的加密资产被盗走一天后，北京时间 10 月 31 日，BXH 在官方社交媒体上公示了其在 BSC 链上的资金池剩余资产，包括 USDT、USDC、BTC、ETH、BUSD、MDX 在内，资产残值约余 1.84 亿美元左右。

BXH 官方表示，剩余资产的提币方案将在第三方安全联合团队确认事故原因和合约安全以及警方调查初步问题以后，出具资产提币公告和其他补偿方案。此前的公开信息显示，去中心化交易应用 BXH 于今年 3 月初始部署于火币 Heco 链，曾以「短短 10 天内吸引了数万用户以及 12 亿美金的 TVL」的成绩风靡 DeFi 火爆期；今年 7 月 30 日正式部署在 BSC 链上，此后又在以太坊和 OEC 链上「建站」。

事发前的 10 月 25 日，BXH 刚在 BSC 链上启动了借贷池挖矿功能，结果 5 天后就出了事儿。区块链安全机构、BXH 的审计方之一慢雾科技已在事发后给出了初步分析，据该机构情报，黑客于 27 日 13 时（UTC） 部署了攻击合约 0x8877；接着在 29 日 08 时（UTC）， BXH 项目管理钱包地址 0x5614 通过 grantRole 赋予攻击合约 0x8877 管理权限；30 日 03 时（UTC），攻击者通过攻击合约 0x8877 的权限从 BXH 策略池资金库中将其管理的资产转出；30 日 04 时（UTC） 0x5614 暂停了资金库。「因此，BXH 本次被盗是由于其管理权限被恶意的修改，导致攻击者利用此权限转移了项目资产。」

追踪也在事发后的 10 月 30 日开始了，慢雾科技于当日的北京时间 16 时 24 分公告，黑客在 BSC 链上的初始获利地址已将 4000 ETH 从 BSC 链转移到 ETH 链，接着将 300 BTCB 兑换为 renBTC，跨链到了两个地址上。如按照 BXH 事发后的公告，被盗资金的转移链条已经在多个安全机构的追踪中，该应用也已经发布了 100 万美元的悬赏公告，计划招揽白帽子团队进行资金追回。

慢雾科技的「初诊」一出，网上舆论及 BXH 的用户纷纷表示不解，有人疑惑，BXH 的钱包管理权限为何会拱手让予黑客，也有人将此质疑为项目方的监守自盗。BXH 目前没有应对这些舆情，仅表示「私钥泄露」。官方「私钥泄露」说暴露了该交易应用在私钥管理上的漏洞。DeFi 领域的 KOL 神鱼就有疑问，私钥「为啥不多签，为啥不加时间锁」。对于这类疑惑，BXH 也尚未对外给出答复，有待事后的更详细的安全分析复盘。

媒体《巴比特》援引加密资产存管服务商安全鹭说法称，加密资产的管理者需要更加重视单私钥管理中带来的安全风险，应尽快把 Owner 私钥升级为多签管理的方式，避免私钥单点风险。而通过链上合约多签或者 MPC 多签，均可以实现对 Owner 私钥的多签管理。私钥安全风险虽有，但也有技可施，掌管着用户上亿美元资产的 BXH 在私钥管理上失职了。

两个第三方机枪池连环关停充提

尽管事故发生在 BSC 版的 BXH 中，以太坊、OEC 及 Heco 上的资产并未受到影响，但该应用出于安全考量，还是关闭了其在各个链上的服务功能。BXH 暂时关停服务后，DeFi「套娃」效应的暗黑一面也出现了，依赖 BXH 流动性的第三方机枪池应用 CoinWind 也在 10 月 30 日紧急地关停了其在 BSC、Heco 及以太坊链上的部分充值和提现功能。结果，另一个机枪池应用 Earn DeFi 的官方公告称，因为 CoinWind 暂停充提，他们也停了充提。

BXH 被盗的连锁反应导致三个应用的用户们目前都无法取出存储在其中的资产。蜂巢财经登陆 CoinWind 应用发现，该应用确实已经暂停了充提功能，收益虽然正常计算，但本金和收益均无法正常提取。Earn DeFi 同样如此。

两个机枪池应用接连关闭充提

10 月 31 日，CoinWind 的公告显示，由于 BXH 关闭了所有主链的充提，目前 CoinWind 无法从 BXH 取回部分投放资金，故跟随暂停了 Heco、BSC、ETH 三条主链的充提，且相关数据暂无法准确计算。该应用表示，BXH 如在确定无风险后开放 Heco、ETH 充提，CoinWind 也将开放。现阶段，Heco、ETH 主链的 CoinWind 用户的本币及收益未受到影响，该应用正在全力跟进 BXH 在 BSC 链本次被盗资产的追回情况、损失情况和开放充提的时间以及资产提取方案的处理进度。

CoinWind 暂停充提后，Earn DeFi 仅在用户群中通过小助手发了一纸公告，官网及官方该公告显示，由于 CoinWind 紧急关闭了三条链上的单币质押及 DAO 充提，Earn DeFi 用户在 ETH、BTC、USDT 池的充提会受到影响。具体多少资金被波及，该公告同样没有明说。

从双方的公告看，机枪池应用 CoinWind 的投入及收益来源之一是 BXH，而 Earn DeFi 的部分收益耕种区是 CoinWind，结果，城门失火，殃及池鱼。池是机枪池，鱼是这些应用的用户们。需要关注的是，很多值得深思的细节问题也在事故发生后浮出水面。CoinWind 官方社群的管理员就表示，他们与 Earn DeFi 并无关系，双方没有合作，也从未收到过对方前来存币的对接信息，对方自事发后也没有给出与 CoinWind 交互的合约地址。有 CoinWind 用户认为，Earn DeFi 在「甩锅」，仍在使用该应用的用户「要小心了」。

Earn DeFi 也没对对方的说法给出更多回应，但从其自身公告看，Earn DeFi 作为机枪池「寄生」在另一个机枪池的做法多少显得很懒惰，一般情况下，交易应用的挖矿池才应该是机枪池们获取高收益的主要来源，结果 CoinWind 关充提，Earn DeFi 三个主流单币池就受了影响。

再比如，有用户对 CoinWind 将资产投入到屡受争议的 BXH 感到不满，「早知道是投入 BXH，我就不再 CoinWind 存币了。」用户有此情绪皆因今年 7 月，BXH 被多家自媒体深扒了主导成员的「不靠谱」行径，该应用的主导者王小彬被批评连续两年在区块链领域「发币、圈钱」、「10 个项目全是空气」，而王小彬此前在互联网领域创业时曾出现过产品跳票不发货、公司倒闭、欠薪成老赖被限制消费等「黑历史」。

有 CoinWind 用户认为，将用户资产投入到团队有争议的应用中去赚取收益，已经是风险前兆。

CoinWind 社群管理员针对「为什么选 BXH 机枪」作出解释称，他们对 BXH 做了尽职调研，包括对接入的所有其他池子都会做调研评估，BXH 的审计报告没有问题，且基本是实名项目。「作为机枪池，我们的义务就是选择收益高且较为可靠的池子投入，这次 BXH 被攻击是由于私钥被盗，就 CoinWind 而言，这确实属于人力不可抗因素。」

BXH 被盗需要反思自身的私钥管理问题，而对机枪池来说，至少有一些用户建议是值得这类收益管理应用们应该考虑的，特别是一个个 DeFi 应用都在朝着 DAO 发展时，公开、透明的告知用户资金配置的去向。不要以「机密」为由敷衍用户，配资策略也许是机枪池的生存和竞争的壁垒，但公布资金被分配到了哪些收益耕地中并不太影响机密策略的具体执行，让用户知情权和选择权得到提前满足，这不正是区块链所倡导的精神吗？