1.3 亿美金不翼而飞，谁才是笨小孩里的笨小孩？

再说一遍，良心哥的刀下没有冤魂。
近期 defi 圈被攻击事件频发，之前是 cream，而今天的主角是 BXH。
至于这个项目为什么叫 BXH，中文名笨小孩，王小彬说的很有情怀。

呵呵呵，一语成谶。
就在上个月初的时候，良心哥呕心沥血写了一篇深度文：
然后今天下午，王小彬的 BXH 出事了。BXH 在 BSC 链上被攻击，损失金额超过 1.3 亿美金。

之前良心哥说， 小彬不割韭菜只割大户 ，这次爆雷之后也再次映证了良心哥的判断。

1.3 亿美金折算人民币超过 8 个亿，而某大户自己是 1800 万，几个朋友加起来已经超过 1 个亿，仅仅几个人的损失占比超过总金额的 12.5%。

不得不说，小彬牛逼。

从项目方的表述来看，说项目是被黑客攻击了。 目前因为项目方停止了 eth、oec 和 heco 的存取款业务，同时也无法给出这两条链上的锁仓数据，而在项目方官网上，数据也是清零的。

良心哥往下翻了翻页面，看到了安全审计机构：慢雾和灵踪。 关于灵踪安全的尿性，之前良心哥也专门深扒了这家所谓安全领域新贵的前世今生：
良心哥捋了一下 BXH 今年的时间线，发现大部分的审计工作，尤其是后期的审计工作都是灵踪在做。
7 月份，灵踪通过安全审计，致命风险、高危风险、中度风险、低风险在审计报告里均为 0。
但现在好像出了个致命风险，灵踪的招牌是不是可以砸了？
就你审计的项目，有能拿得出手的吗？

8 月份，BXH 的 TVL （总锁仓量）突破 10 亿美元关口。
10 月 25 日，BXH 借贷协议正式登陆 BSC。
10 月 30 日，BXH 被卷走 1.3 亿美金。

这 1.3 亿美金，是怎么从项目方眼皮子底下溜走的？ BXH 官方审计机构的慢雾却说：是你们自己授权给出去的。

简单捋一下慢雾说了啥：
第一，攻击者在 27 号部署好了攻击合约 0x8877。
第二，2 天后，BXH 项目管理钱包的地址 0x5614 赋予了合约管理权限。
第三，1 天后，也就是今天，攻击者才通过攻击合约的权限将策略池资金库里将资产转出。
总结：本次所谓被盗，是因为管理权限被恶意修改，导致攻击者利用权限转移了项目的资产，也就是本次的 1.3 亿。
说的明白了吧？很明白。
但是很奇怪吗？很奇怪。
核心的关键点在于：为什么项目方要把合约管理权限给到特定的攻击者？ 就相当于什么吧。人家拿了一把枪顶着你脑袋，你说我知道你枪里没有子弹，给你一个子弹终结我吧。
真你吗是老寿星吃砒霜——活腻了。王小彬至今尚未公开表态，也没有表示会对此负责。 只是在私下交流的情况下表示：私钥泄露了。

在跟派盾的对话里，看到说被盗原因是私钥被盗导致的权限被转移，然后攻击者把币提走。
至于为什么私钥会被盗，神鱼发出了灵魂拷问：为啥不多签？为啥不加时间锁？

大家的答复也都很毫不掩饰：因为他想直接跑。 实际上慢雾本次的态度就很值得玩味。作为早期给 BXH 做安全审计的公司，第一时间跳反，说这个是你们主动授予了攻击者权限。
那这样一来，后边的审计是灵踪做的，权限是你自己给的，那句没说出来的话就是：这事儿他吗的跟我们慢雾无关。 安全行业的从业者态度也很有意思。不知道大家注意到一个称呼没有：攻击者。 在之前类似案件的表述里，标准表达术语是：黑客发起攻击。 而在 BXH 的案件里，大家使用的的称呼是攻击者。
为什么会有这样的区别？答案其实不言自明：因为他们不能确定攻击者是不是黑客。 或者说的更直白一点：他们不排除监守自盗的可能性，只是不便点破。 其实良心哥怎么看已经不重要了，大家其实也都是心知肚明。
王小彬是什么样的人大家也都知道，能做出这样的事情反正良心哥是一点也不意外，反而觉得在情理之中。
人家全家都在外国，妥妥的世界公民。
身价几十亿的富豪，境内的欠款一毛钱不还。
包括到事情发生之后，没有任何的公开表态。
就凭他做事的这股狠劲儿，能有几个韭菜是他的对手？
写到最后，良心哥豁然发现：原来这个项目叫笨小孩是有道理的。只是笨小孩天真的以为，王小彬才是那个笨小孩。