DeFi借出协议bZx漏洞导致100万美元的损失

DeFi借贷协议bZx受到了一系列攻击。攻击导致3,581 ETH损失了近100万美元。

一系列不幸的事件

2月14日，bZx团队收到了有关可疑交易的警报，该交易使作案者获得了300,000美元的巨额利润。

DeFi投资公司Stake Capital的创始人朱利安·布特洛普（Julien Bouteloup）解释说，化名dYdX的精明交易员从ETH借了一笔10,000 ETH的快速贷款，以从Compound借入112包BTC（wBTC）。除了剩下的贷款，他还可以对Fulcrum的“ ETHBTC比率”开出5倍空头头寸。

然后，此人进入Uniswap交易所51 wBTC。这一系列事件导致“大幅滑坡”，交易者可以以盈利退出其空头头寸，并用收益偿还初始贷款。

资料来源：Twitter

利用此漏洞后，bZx发表声明，声称用户资金未受到影响。该团队还誓言要实施多次升级，以确保不会再次发生此类事件。

bZx指出：

“我们已使用管理员密钥进行了以下升级，以防止再次发生此攻击。首先，我们通过要求即使在超额质押贷款的情况下也要进行支票处理，从而解决了阻止支票首先被解雇的情况。其次，ETHBTC保证金令牌已从oracle令牌注册中心除名。第三，我们实施了最大交易规模，以限制任何攻击的可能范围。”

不同的升级针对的是DeFi借贷协议上的多个漏洞。但是，在系统更新后不久发生了第二次攻击。这次交易者利用了协议本身的快速借贷。他能够用2,388 ETH离开。

The Block研究主任拉里·塞尔马克（Larry Cermak）说，攻击者获得了7,500 ETH的即时贷款，以接近1美元的价格购买sUSD，并将资金存入bZx作为质押。然后，个人使用900 ETH在Kyber和Uniswap上市场买入sUSD，将价格推升至2美元以上。

sUSD上涨后，交易者通过bZx向sUSD借了近6,800 ETH，并偿还了速记贷款。最终，匿名攻击者获利约645,000美元。

资料来源：Twitter

bZx坚持认为第二个漏洞利用是“ oracle操纵攻击”的结果。尽管如此，团队还是能够“延迟损失的实现”。这可以使系统从此事件中恢复。

这一系列不幸的事件在加密货币社区引发了关于DeFi应用程序中的高度中心化和快速贷款的危险的讨论。

发表于：以太坊，黑客