2月15日上午,DeFi借贷协议bZx的用户感到不愉快:该协议背后的团队写了一条简短的推文:
Fulcrum已被拆除以进行维护。详细信息如下。
-bZx(@bzxHQ)2020年2月15日
细节来了,有点不舒服。攻击者能够在一夜之间利用DeFi项目智能合约中的安全漏洞,从而偷走了3,300 ETH。根据目前的以太币汇率,这相当于总共近880,000美元。
bZx的治理迅速采取行动,并关闭了交易平台Fulrum,直至另行通知。贷款也暂停了。并且更新了bZx背后的智能合约。因此,看来问题已解决。
但是到底发生了什么?开发商Julien Bouteloup在推文中非常清楚地介绍了这一点:
使用Fulcrum @bzxHQ上的“复杂”套利工具获得约35.3万净利润
1.他获得了270万美元的Flash贷款@ Dydxprotocol 10kETH
2.put 5.5k ETH @compoundfinance,借入112 WBTC
3.bzx上的short WBTC#sETHwBTC5x
4.在#KyberUniswap上倾销112 wBTC触发短路(绿洲?)
5.还清贷款
6.profit https://t.co/NRHM7NnAGK pic.twitter.com/11YWpUZe0o-Julien Bouteloup(@bneiluj)2020年2月15日
总的来说,这次攻击很有趣,因为使用了分散金融领域的各种联锁工具。攻击者通过DeFi平台dydx借入了10,000 ETH的所谓快速贷款。他们在化合物上使用了5,000 ETH借入112 wBTC(用比特币覆盖的ERC-20令牌)。在bZx上,他们现在以5的杠杆做空比特币。毕竟,他们在DEX Kyber上出售了112 wBTC。 wBTC市场以其低流动性而闻名,因此,此次交易导致以太坊价格下跌。
有了利润,攻击者不仅能够偿还紧急贷款,而且还获得了可观的利润。有趣的是,整个攻击是在一次交易中发生的,甚至没有花费10美元的交易费用。
bZx用户的系统很安全
bZx的开发人员最终强调,用户系统将继续保持安全。据bZx背后的团队称,这些系统并未受到影响。实际上,该攻击甚至为那些借出以太币的人带来了回报,因为该攻击当前已改变了以太坊的利率。因此,团队建议您保持冷静。
根据defipulse的说法,即使发生攻击,bZx仍然是第八大分散金融项目。相应地,这种利用产生了波澜。 DeFi生态系统的批评者在攻击中确认了他们的担忧,尤其是在bZx背后的智能合约暂停中。 Lightning Labs基础架构负责人Alex Bosworth看到了一个示例,说明分散式DeFi项目实际上很少有:
如果您的“ defi”项目具有管理密钥或协调器,一组Oracle,一组验证程序或共同签名者,一个默认的受信任密钥列表,即使您“已计划逐步淘汰它”,您实际上正在做的是经营金融服务。换句话说,您实际上没有
-Alex Bosworth?(@alexbosworth)2020年2月15日
但是像MakerDAO或bZx这样的项目的朋友也指出了DeFi生态系统的固有风险。博斯沃思还强调,这种攻击是已知的。 2019年9月,Smart Contracts审计员Sam Sun指出了一个类似的安全漏洞。不幸的是,关闭该漏洞的工作似乎很少。
bZx漏洞对DeFi意味着什么?
首先,与加密货币领域的所有投资一样,投资者不应低估风险。没有人应该投资超过损失的钱。这不仅是由于比特币公司的波动性,还因为可能存在不确定性。但是,分散式金融还有其他特色。由于分散化,DeFi项目比集中化项目透明得多,但是在这里,您的密钥而不是硬币这一短语也适用。大量DeFi项目的管理员具有特殊的访问权限,因此可以对基础智能合约进行控制。还有待观察的是,像bZx这样的分散项目在未来将如何发展。在此之前,对DeFi感兴趣的每个人都必须执行严格的风险管理。对此的一个好的开始是DeFi专家Chris Blec编写的概述。
—-
原文链接:https://www.btc-echo.de/defi-protokoll-bzx-opfer-eines-exploits/
原文作者:globalcryptopress
编译者/作者:wanbizu AI
玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。
