DeFi借出协议bZx漏洞导致100万美元的损失
DeFi借贷协议bZx受到了一系列攻击。攻击导致3,581 ETH损失了近100万美元。
一系列不幸的事件
2月14日,bZx团队收到了有关可疑交易的警报,该交易使作案者获得了300,000美元的巨额利润。
DeFi投资公司Stake Capital的创始人朱利安·布特洛普(Julien Bouteloup)解释说,化名dYdX的精明交易员从ETH借了一笔10,000 ETH的快速贷款,以从Compound借入112包BTC(wBTC)。除了剩下的贷款,他还可以对Fulcrum的“ ETHBTC比率”开出5倍空头头寸。
然后,此人进入Uniswap交易所51 wBTC。这一系列事件导致“大幅滑坡”,交易者可以以盈利退出其空头头寸,并用收益偿还初始贷款。
资料来源:Twitter
利用此漏洞后,bZx发表声明,声称用户资金未受到影响。该团队还誓言要实施多次升级,以确保不会再次发生此类事件。
bZx指出:
“我们已使用管理员密钥进行了以下升级,以防止再次发生此攻击。首先,我们通过要求即使在超额质押贷款的情况下也要进行支票处理,从而解决了阻止支票首先被解雇的情况。其次,ETHBTC保证金令牌已从oracle令牌注册中心除名。第三,我们实施了最大交易规模,以限制任何攻击的可能范围。”
不同的升级针对的是DeFi借贷协议上的多个漏洞。但是,在系统更新后不久发生了第二次攻击。这次交易者利用了协议本身的快速借贷。他能够用2,388 ETH离开。
The Block研究主任拉里·塞尔马克(Larry Cermak)说,攻击者获得了7,500 ETH的即时贷款,以接近1美元的价格购买sUSD,并将资金存入bZx作为质押。然后,个人使用900 ETH在Kyber和Uniswap上市场买入sUSD,将价格推升至2美元以上。
sUSD上涨后,交易者通过bZx向sUSD借了近6,800 ETH,并偿还了速记贷款。最终,匿名攻击者获利约645,000美元。
资料来源:Twitter
bZx坚持认为第二个漏洞利用是“ oracle操纵攻击”的结果。尽管如此,团队还是能够“延迟损失的实现”。这可以使系统从此事件中恢复。
这一系列不幸的事件在加密货币社区引发了关于DeFi应用程序中的高度中心化和快速贷款的危险的讨论。
发表于:以太坊,黑客