Zwolennicy zdecentralizowanych finansów przechodzą ciężkie chwile. W przeciągu zaledwie kliku dni protokół bZx padł ofiarą dwóch ataków (14 luty oraz dzisiaj). Łączne straty szacuje się obecnie na około 954 000 $.
Według raportu bZx protokół został po raz pierwszy zhakowany 14 lutego, kiedy zespół był na wydarzeniu branżowym ETHDenver. Drugi atak, jak podało The Block, miał miejsce dzisiaj.
Tym razem haker „zarobił” ETH o wartości ponad 630 000 $. Wszystko przy wykorzystaniu mechanizmu flash loan, przy pomocy której manipulował ceną stablecoina sUSD.
W toku ataku haker „zaciągnął” flash loan na 7500 ETH i wykorzystał połowę kwoty, aby kupić stablecoin sUSD o wartości bliskiej 1 USD. Następnie fundusze zostały wykorzystane na bZx jako zabezpieczenie, a część początkowej pożyczki została wykorzystana na zakup większej liczby sUSD na giełdach Kyber i Uniswap w celu podniesienia jego ceny do ponad 2 USD.
W ten sposób atakującemu udało się zaciągnąć większą pożyczkę i pożyczyć prawie 6800 ETH na bZx. Środki zostały wykorzystane na spłatę pierwotnej pożyczki flash. Jego całkowity zysk wynosił 2 378 ETH o wartości około 630 000 $.
borrow +7500 ETH
— 찌 G 跻 じ ⚡️ 🔑 (@DegenSpartan) February 18, 2020
-3518 ETH to buy sUSD from depot at $1
deposit the sUSD into bzx as collateral
-900 ETH bid up the value of sUSD through kyber
borrow +6796 ETH from bzx
repay -7500 ETH
profit 2378 ETH
thx do i get a bounty @bzxHQ @synthetix_iohttps://t.co/REuFHFtRfO https://t.co/xQ7zM9Y113
Implikacje i pierwszy atak
Na kanale Telegram bZx jeden ze współzałożycieli, Kyle Kistner zauważył, że atak wydawał się „atakiem na Oracle”. Jest to już drugi atak, na platformę DeFi w ciągu ostatnich czterech dni. W wyniku pierwszego z nich hakerzy przejęli 1,190 ETH.
W pierwszym ataku hakerzy zaciągnęli 10 000 pożyczek ETH na dYdX, aby wysłać połowę do protokołu Compound, a połowę do bZx. Na Compound użytkownik pożyczył 112 wBTC za pomocą ETH, a następnie wszedł na krótką pozycję dla 112 wBTC na bZx. Korzystając ze środków z Compound, użytkownik obniżył cenę tokenów za pomocą Uniswap.
Oba exploity wykorzystały tak zwane pożyczki flash (flash loans), które procesowane są w ramach jednej transakcji (zarówno wydane, jak i spłacone). Uważa się, że pierwszy atak naraził na szwank około 2% wszystkich aktywów zarządzanych przez platformę Fulcrum bZx, wykorzystywaną do zabezpieczania handlu i zaciągania pożyczek.
Przypadki hacków w ramach DeFi pobudziły oczywiście społeczność do żywej dyskusji. Jeszcze dziś rano informowaliśmy Was o opinii, jaką w związku z atakiem wyraził twórca Litecoina – Charlie Lee.
