DeFi贷款协议bZx又套利了！产品漏洞损失645，000美元

2月18日，去中心化金融(DeFi)借贷协议bZx的新产品闪贷再次遭到攻击。估计损失2388块ETH，约合64.5万美元。针对上述消息，bZx的联合创始人凯尔基斯特纳(KyleKistner)在官方电报频道上证实，并表示与上次的攻击不同。，"这一次似乎是甲骨文操纵攻击"。

据了解，这次闪电贷款攻击发生在9504627的街区高度，攻击者借出了7500个以太币并兑换成wet。，卖掉换成SynthetixsUSD，再回购WETH来盈利。BZx早些时候在推特上说，

Kyber上的sUSD储备包括APR和Uniswap池。但是，我们认为攻击者可以同时操纵前后两者，并避开相关检查。因此，我们将实施一项变革：允许交易者和借款者平仓。同时，我们将加强协议的安全性，以确保类似事件不会再次发生。另外，我们正在与Chainlink和其他Oracle网络合作，以创建一个更安全的Oracle网络，并减少被攻击的机会。

3/Wewillimplementachangethatallowstradersandborrowerstoclosetheirpositions,butnotthemint.Inthemeantime,wewillstrengthentheagreementtoensurethatsimilarincidentswillnothappenagain.

—bzx(@bzxhq)2020年2月18日

针对第二次攻击，工业媒体《TheBlock》的研究总监LarryCermak第一时间在推特上发文，对整个事件进行了分析。并称赞了攻击者'；s"相当优雅"操作方法：

在此之前，BZx在2月15日遭到攻击，损失了1193个以太币(价值约29.8万美元)。凯尔基斯特纳(KyleKistner)当时透露，协议中存在合同漏洞，攻击者利用了这一点。好在球队第一时间中止了合同。，但借款合同和合同的终止仍在进行。KyleKistner表示，该团队接下来将部署合同升级，试图通过升级系统来对抗攻击。

bZx'；第二次遭遇攻击表明该团队仍需要对DeFismart合同进行更彻底的审计。此外，bZx在这两次冻结了平台，这似乎意味着即使它宣传"DeFi"应用程序，它仍然是一个倾向于"集中"。，开发者可以使用"管理密钥"在平台上完成交易。

区块链安全提供商SlowFogTechnology提到两次bZx攻击的主要原因是："Uniswap价格的剧烈变动最终导致了资产的损失。"应该是正常的市场行为，但是如果恶意操纵市场，攻击者仍然可以通过很多方式压低价格，给项目方造成损失。针对这种通过操纵市场获利的攻击，慢雾安全团队建议，

使用Oracle获取外部价格时，项目方应建立保险机制。每次兑换代币时，都要保存当前交易对的兑换价格，并与上次保存的兑换价格进行比较。如果波动过大，应及时暂停交易。。防止市场被恶意操纵，带来损失。

对此，加密货币研究机构MICAResearch的分析师表示

此次事件与其说是攻击，不如说是套利。。有心人故意利用Uniswap报价错误产生一定的差价，然后套利。这几年DeFi产品发展太紧，市场报价机制还不成熟，但相信以后会更完善，就像今天一样'；的交换技术。