ETHDenver期間的漏洞利用揭示了去中心化金融的實驗性質

丹佛市-去中心化金融（DeFi）項目bZx遭受了一次攻擊，黑客成功利用多種DeFi協議進行了遊戲，從該平台提取了350,000美元，約佔管理資產的2％。

作為回應，該公司在世界標準時間7:00取消了其貸款和交易協議Fulcrum。在黑客入侵期間，該公司正在ETHDenver進行演示。黑客利用公司的價格預言來欺騙協議以放棄現金。消息人士稱，bZx僅依靠一種預言機進行定價。

該公司尚未在EthDenver上再次出現，後來在一條推文中確認，它將為出借人賠償潛在損失。

Chainlink首席執行官謝爾蓋·納扎羅夫（Sergey Nazarov）在活動中表示，這次攻擊可能是DeFi持續存在問題的徵兆：如何獲取價格信息。

這次攻擊更為明顯，因為它的時機確定，因為該團隊必須在以太坊社區的EthDenver 黑客松（主要中心化在DeFi）上應對黑客攻擊。

ETHDenver的bZx貼紙。 （John Biggs為CoinDesk攝）

納扎羅夫說，從一個甲骨文公司（用於收集和發布鏈上價格信息的服務）中獲取價格數據仍然存在問題，並且一個DeFi團隊仍在研究中，儘管與該問題的關係尚待確定。

「你不能依靠 [only] 甲骨文與交易所API連接。」 Nazarov說。

與bZx有工作關係的，受害的首席執行官蒂姆·奧吉爾維（Tim Ogilvie）說，損失相當於一筆昂貴的漏洞賞金，並突顯了快速貸款的新穎性，這項新的DeFi功能使交易者可以在短時間內借入和歸還黑客利用的資金。攻擊。

根據Ogilvie的說法，攻擊者以緊急貸款借入10,000 ETH，價值約267萬美元。

然後，攻擊者將借入的資金拆散，將5,000 ETH發送給DeFi協議Compound，另一半發送給bZx。存款之後，攻擊者迅速在bZx上做空點評比特幣（WBTC），隨後在Compound上借入112 WBTC，價值約110萬美元，然後在另一個DeFi市場UniSwap上出售借入的WBTC，Ogilvie說。

Ogilvie表示，bZx使用UniSwap的價格供WBTC使用，該公司在Twitter上對此予以否認。 Ogilvie說，當攻擊者在UniSwap上丟下價值110萬美元的WBTC時，他們的bZx賣空變得非常有利可圖。

「 DeFi的問題是什麼安全？您如何創建一組安全可靠的 [price] 實際做事的神諭？人們使用不同的方法，您可以選擇錯誤的方式。」奧吉維說。

「存在很大的風險。這是一個新類別，發展迅速，這意味著有些事情將要中斷。」 Ogilvie說。

總值鎖定在bZx中。 （圖片來自DeFi Pulse）

根據DeFi Pulse的數據，在第八大DeFi市場中，鎖定在bZx中的資金的16％在過去24小時內已從協議中撤出。