DeFi贷款协议bZx又套利了!产品漏洞损失645,000美元
2月18日,去中心化金融(DeFi)借贷协议bZx的新产品闪贷再次遭到攻击。估计损失2388块ETH,约合64.5万美元。针对上述消息,bZx的联合创始人凯尔基斯特纳(KyleKistner)在官方电报频道上证实,并表示与上次的攻击不同。,"这一次似乎是甲骨文操纵攻击"。
据了解,这次闪电贷款攻击发生在9504627的街区高度,攻击者借出了7500个以太币并兑换成wet。,卖掉换成SynthetixsUSD,再回购WETH来盈利。BZx早些时候在推特上说,
Kyber上的sUSD储备包括APR和Uniswap池。但是,我们认为攻击者可以同时操纵前后两者,并避开相关检查。因此,我们将实施一项变革:允许交易者和借款者平仓。同时,我们将加强协议的安全性,以确保类似事件不会再次发生。另外,我们正在与Chainlink和其他Oracle网络合作,以创建一个更安全的Oracle网络,并减少被攻击的机会。
3/Wewillimplementachangethatallowstradersandborrowerstoclosetheirpositions,butnotthemint.Inthemeantime,wewillstrengthentheagreementtoensurethatsimilarincidentswillnothappenagain.
—bzx(@bzxhq)2020年2月18日
针对第二次攻击,工业媒体《TheBlock》的研究总监LarryCermak第一时间在推特上发文,对整个事件进行了分析。并称赞了攻击者';s"相当优雅"操作方法:
闪电贷借出7500以太币;Synthetix上交易了3517枚以太币(940000苏特)。,价格接近1美元);用900以太币在Kyber和Uniswap上购买sUSD,从而把价格推高到2美元以上;用sUSD做抵押,然后在bZx上借6796以太币;用借来的以太坊和剩余的以太坊(6,796,3,083)偿还闪电贷款(7,500)。套利2379以太币(98797500);BZx'sEthernetfontanaditrevi损失了约180万美元,而sUSDpool损失了110万美元。攻击者净赚了64万美元。在此之前,BZx在2月15日遭到攻击,损失了1193个以太币(价值约29.8万美元)。凯尔基斯特纳(KyleKistner)当时透露,协议中存在合同漏洞,攻击者利用了这一点。好在球队第一时间中止了合同。,但借款合同和合同的终止仍在进行。KyleKistner表示,该团队接下来将部署合同升级,试图通过升级系统来对抗攻击。
bZx';第二次遭遇攻击表明该团队仍需要对DeFismart合同进行更彻底的审计。此外,bZx在这两次冻结了平台,这似乎意味着即使它宣传"DeFi"应用程序,它仍然是一个倾向于"集中"。,开发者可以使用"管理密钥"在平台上完成交易。
区块链安全提供商SlowFogTechnology提到两次bZx攻击的主要原因是:"Uniswap价格的剧烈变动最终导致了资产的损失。"应该是正常的市场行为,但是如果恶意操纵市场,攻击者仍然可以通过很多方式压低价格,给项目方造成损失。针对这种通过操纵市场获利的攻击,慢雾安全团队建议,
使用Oracle获取外部价格时,项目方应建立保险机制。每次兑换代币时,都要保存当前交易对的兑换价格,并与上次保存的兑换价格进行比较。如果波动过大,应及时暂停交易。。防止市场被恶意操纵,带来损失。
对此,加密货币研究机构MICAResearch的分析师表示
此次事件与其说是攻击,不如说是套利。。有心人故意利用Uniswap报价错误产生一定的差价,然后套利。这几年DeFi产品发展太紧,市场报价机制还不成熟,但相信以后会更完善,就像今天一样';的交换技术。