智能合约窃取了3,300 ETH：DeFi协议bZx受害

2月15日上午，DeFi借贷协议bZx的用户感到不愉快：该协议背后的团队写了一条简短的推文：

Fulcrum已被拆除以进行维护。详细信息如下。

-bZx（@bzxHQ）2020年2月15日

细节来了，有点不舒服。攻击者能够在一夜之间利用DeFi项目智能合约中的安全漏洞，从而偷走了3,300 ETH。根据目前的以太币汇率，这相当于总共近880,000美元。

bZx的治理迅速采取行动，并关闭了交易平台Fulrum，直至另行通知。贷款也暂停了。并且更新了bZx背后的智能合约。因此，看来问题已解决。

[Anzeige]

在Plus500上交易比特币，以太坊，Ripple，IOTA和最受欢迎的加密货币。为什么选择Plus500？免费的模拟账户；移动交易应用程序；通过贝宝存款；多种不同的金融产品（加密货币，股票，商品，ETF，外汇，指数）可供选择。

立即开设免费帐户

但是到底发生了什么？开发商Julien Bouteloup在推文中非常清楚地介绍了这一点：

使用Fulcrum @bzxHQ上的“复杂”套利工具获得约35.3万净利润
1.他获得了270万美元的Flash贷款@ Dydxprotocol 10kETH
2.put 5.5k ETH @compoundfinance，借入112 WBTC
3.bzx上的short WBTC＃sETHwBTC5x
4.在#KyberUniswap上抛售112 wBTC触发短路（绿洲？）
5.还清贷款
6.profit https://t.co/NRHM7NnAGK pic.twitter.com/11YWpUZe0o

-Julien Bouteloup（@bneiluj）2020年2月15日

总的来说，这次攻击很有趣，因为使用了去中心化金融领域的各种联锁工具。攻击者通过DeFi平台dydx借入了10,000 ETH的所谓快速贷款。他们在Compound上使用了5,000 ETH借入112 wBTC（用比特币覆盖的ERC-20令牌）。在bZx上，他们现在以5的杠杆做空比特币。毕竟，他们在DEX Kyber上出售了112 wBTC。 wBTC市场以其低流动性而闻名，因此，此次交易导致以太坊价格下跌。

有了利润，攻击者不仅能够偿还紧急贷款，而且还获得了可观的利润。有趣的是，整个攻击是在一次交易中发生的，甚至没有花费10美元的交易费用。

bZx用户的系统很安全

bZx的开发人员最终强调，用户系统将继续保持安全。据bZx背后的团队称，这些系统并未受到影响。实际上，该攻击甚至为那些借出以太币的人带来了回报，因为该攻击当前已改变了以太坊的利率。因此，团队建议您保持冷静。

根据defipulse的说法，即使发生攻击，bZx仍然是第八大去中心化金融项目。相应地，这种利用产生了波澜。 DeFi生态系统的批评者在攻击中确认了他们的担忧，尤其是在bZx背后的智能合约暂停中。 Lightning Labs基础架构负责人Alex Bosworth看到了一个示例，说明去中心化DeFi项目实际上很少有：

如果您的“ defi”项目具有管理密钥或协调器，一组Oracle，一组验证器或共同签名者，一个默认的受信任密钥列表，即使您“已计划逐步淘汰它”，那么您实际上正在做的是经营金融服务。换句话说，您实际上没有

-Alex Bosworth☇（@alexbosworth）2020年2月15日

但是像MakerDAO或bZx这样的项目的朋友也指出了DeFi生态系统的固有风险。博斯沃思还强调，这种攻击是已知的。 2019年9月，Smart Contracts审计员Sam Sun指出了一个类似的安全漏洞。不幸的是，关闭该漏洞的工作似乎很少。

bZx漏洞对DeFi意味着什么？

首先，与加密货币领域的所有投资一样，投资者不应低估风险。没有人应该投资超过损失的钱。这不仅是由于比特币公司的波动性，还因为可能存在不确定性。但是，去中心化金融还有其他特色。由于去中心化，DeFi项目比中心化项目透明得多，但“不是您的钥匙，不是您的硬币”一词在这里也适用。大量DeFi项目的管理员具有特殊的访问权限，因此可以对基础智能合约进行控制。还有待观察的是，像bZx这样的去中心化项目在未来将如何发展。在此之前，对DeFi感兴趣的每个人都必须执行严格的风险管理。对此的一个好的开始是DeFi专家Chris Blec编写的概述。