从bZx DeFi服务中提取350,000美元，攻击者只需花费8.71美元

在本周末，由于攻击者使用多种相关服务来欺骗其系统的行为，一个去中心化金融（DeFi）bZx项目损失了350,000美元，约占所管理资产的2％。

攻击期间，bZx团队在ETHDenver黑客马拉松上表演。她已经承诺要发布一份详细的债权人损害赔偿计划。

根据bZx的初创公司Staked的首席执行官Tim Ogilvy的说法，由于DeFi领域中出现了一种新型的即时贷款，当要求用户在短时间内收款和退款时，攻击之所以成为可能。根据奥美（Ogilvy）的说法，攻击的组织者收到了一笔10,000 ETH的贷款，价值约267万美元，并将贷款分为两部分，一个发送到Compound的DeFi协议的地址，另一个发送给bZx。

然后他使用bZx在以太坊区块链中的ErC20代币上盘点了比特币（WBTC）的空头头寸，反映了比特币的当前价值-使用bZx买了112枚WBTC，价值约110万美元，之后他在UniSwap DeFi市场上出售了它们。

在其推特上，bZx声称在确定WBTC的价格时不依赖UniSwap数据。但是，通过UniSwap以110万美元的价格出售WBTC使得攻击bZx的组织者的空头头寸非常有利可图。

“什么可以被认为是安全的？”这是DeFi的主要问题之一。如何创建一组可以完成其任务的预言家？人们使用不同的方法，其中某些方法可能被证明是错误的。风险很大。这是一个新兴的类别，正在迅速发展，随之而来的是在此过程中可能会出现问题，”奥美补充说。

根据Trustnodes的说法，攻击者进行此攻击的费用总计为8.71美元，作为交易处理费支付，他不必提供任何质押。以太坊网络上的即时贷款允许用户接收任何可用金额，但前提是他必须在同一区块（即15秒）内将其退还。在此期间，他可以执行一些操作，如所描述的情况。

一直以来，交易一直由节点保留，并且仅在以下条件下执行用户指定的代码：在15秒间隔结束之前，他将返回全部占用金额。否则，有关已采取措施的信息将不会超出节点。例如，此机制可用于Arbitrum或可在一组操作中实施的任何其他计划的实施。

照片：ronstik