第二次以太坊DeFi信用协议bZx被攻击,至少损失3500 ETH
短期内第二次攻击出借方bZx。该公司通过以太坊区块链上的第二层提供DeFI(代表去中心化金融)服务。
总共损失了3500个以太币
这次的估计损失为2,388ether,即620,000美元。来自bZx的Kyle Kistner说,在Telegram上,攻击看起来像是试图操纵用过的oracle。
公司的所有交易均在以太坊区块链上进行。这就是为什么研究人员追踪所涉及的交易并不困难。他们最终在框9504627中进行了一笔交易。您可以自己在blockexplorer Etherscan上查看该交易。
Kistner相信他们可以像以前的攻击一样抵消这种攻击。在之前的攻击中,损失了1,193枚以太币,价值约290,000美元。该公司对该攻击事件进行了广泛的事后调查。
协议中断
然而,正如第二次袭击所证明的那样,他们无法足够快地将所学知识付诸实践。他们不得不再次中断协议。该交易本应借助速汇贷款(快速贷款)和Synthetix上的交易进行。 bZx发推文说,这对Synthetix系统没有影响。
鉴于使用快速贷款和在Synthetix上进行交易的可疑交易,我们再次点击了协议上的暂停按钮。
-bZx(@bzxHQ)2020年2月18日
第一次攻击的重建
该攻击于2月14日情人节那天发起。当时在丹佛有一个以太坊活动,整个bZx团队也都参加了。他们听说了这次袭击,回家并分析了交易。
重建:
- dYdX的10,000 ETH的快速贷款开放
- 5500 ETH被发送给Compound作为质押品借入112 wBTC。 wBTC是1个比特币的令牌版本。不是真正的比特币,而是必须代表1个比特币的令牌。
- 1300 ETH被发送到Fulcrum pToken sETHBTC5x,它相对ETHBTC比率开了5倍空头头寸。
- 借用了5637 ETH,并通过Uniswap储备Kyber兑换了51 WBTC,这导致了很大的滑点。滑点是在交易者进入市场到实际执行交易之间必须以不同于预期的价格结算时发生的。
- 攻击者在Uniswap上将112 wBTC(从Compound借来的)换成了6871 ETH。
- dYdX的10,000 ETH的快速贷款已从收益中偿还。
总的来说,攻击者(可能是一组攻击者)的收益为1,193以太。
对甲骨文的攻击还为时过早
周二下午,bZx团队写道,他们正在寻找另一个神谕。他们的目光投向了Chainlink产品。它们仅在实施后继续,但功能有限。
更新:今天我们将与Chainlink会面,并加快将oracle添加到我们的模型中。添加之后,我们将以极为有限的功能上线:放贷,非借贷和平仓/贷款。新职位和新贷款将不可用。
-bZx(@bzxHQ)2020年2月18日
我们还将实施Chainlink oracle,作为Kyber价格Feed的补充,以提供定价信息。尽管这不是对oracle的攻击,但许多人担心我们的oracle的安全功能可能更强大,并且我们已经听取了反馈。我们尽一切努力确保Chainlink不会成为模型失败的中心点,因为该技术仍在发展,并且尚未实现加密货币经济安全性保证。
上面的引用是从第一次攻击之后到第二次攻击之前。具有讽刺意味的是,旧的先知在第二次攻击中被成功攻击。