DeFi bZx平台再次遭到攻击,ETH损失将达645,000美元
关键事实:
- 在四天内,该启动两次被违反,减去约3,581 ETH。
- 由于使用快速贷款进行可疑交易,该服务再次暂停。
在星期一17日晚上到2月18日星期二早上之间,记录了bZx去中心化金融贷款平台中的漏洞的第二次攻击,其中大约2,379枚以太币(相当于645,000美元)被丢失。
该漏洞利用仅在该公司报告在另一次攻击中损失了1,193 ETH(约30万美元)之后四天。在这两次事件之间,减去的金额达到3,581个以太币,目前在市场上约为945,000美元。鉴于发生的情况,bZx宣布必须暂停运营以对其智能合约的失败进行另一次调查。
bZx周二凌晨表示:“鉴于使用快速贷款和Synthetix上的操作进行可疑交易,我们再次按下了协议上的暂停按钮(…)尽管确实涉及sUSD,但这并不影响Synthetix系统。”
鉴于使用快速贷款和在Synthetix上进行交易的可疑交易,我们再次点击了协议上的暂停按钮。
-bZx(@bzxHQ)2020年2月18日
就在bZx提供有关第一次攻击的最终报告时,情况出现了,在该报告中,确定交易者使用dYdX服务提供的10,000英镑的快速贷款,然后使用Fulcrum和Compound平台。
The Block的分析师兼研究主管Larry Cermak通过他的Twitter帐户解释了攻击者在此情况下的行为。
“这是一次优雅的攻击,相当优雅。这就是发生的事情:获得了7,500 ETH的快速贷款,然后在Synthetix上将3,517 ETH兑换为940,000 SUSD(以接近1美元的价格)。他用900 ETH在Kyber和Uniswap中购买了sUSD,使价格升至2美元以上。然后,他使用sUSD作为质押品以bZx借入了6,796 ETH(比他本来应该多得多,因为sUSD的价格似乎更高)。”
“他用借来的ETH和剩余的ETH余额(6,796 + 3,083)支付了7,500的快速贷款,净收益为2,379 ETH(9,879-7,500)。 Cermak说,bZx ETH矿池损失了大约180万美元,而sUSD矿池获得了110万美元,攻击者获得了640,000美元,”显然用户的资金都没有丢失。
这是一个相当优雅的“攻击”。这是发生了什么:
1)拿出7,500 ETH的短期贷款
2)在Synthetix上以$940k sUSD交易3,517 ETH(价格接近$1)
3)使用900 ETH在Kyber和Uniswap上市场买入sUSD,将价格推升至2美元以上
-Larry Cermak(@lawmaster)2020年2月18日
bZx的联合创始人Kyle Kistner在Telegram上建议“此攻击似乎是一种Oracle操纵攻击”,但它可以像上次一样被消除。
尽管bZx提供的服务位于以太坊上的去中心化金融或DeFi之内,但只要按一下按钮就停止其操作,就会向相反方向发送一条消息,指向中心化。
据报道,2月8日,以太坊DeFi保护着超过10亿美元的加密货币,这对于许多人来说可能导致潜在的市场操纵。