La iluminación del evento de ataque bZx del protocolo de préstamo financiero descentralizado

(En el dormitorio del artista en Arles, Vincent van Gogh)

Los piratas informáticos lanzaron un ataque contra bZx durante la conferencia ETHDenver, como una emboscada bien planificada contra DeFi. Si bien la cantidad perdida fue modesta, claramente tuvo algún impacto en el mercado durante los últimos dos días.

¿Qué es un evento bZx?

Aunque muchas personas llaman al incidente bZx un "incidente de ataque", es esencialmente más como una manipulación de arbitraje utilizando protocolos y productos DeFi. Los "ataques" aprovechan al máximo las funciones de múltiples protocolos y productos de DeFi para obtener fondos a un costo muy bajo y obtener ganancias manipulando los precios. Esta operación lleva más de diez segundos, que es el tiempo de un bloque de Ethereum. Sucedió durante la altura del bloque Ethereum 9484688 el 15 de febrero de 2020.

Toda la operación es más o menos la siguiente:

El primer paso es tomar prestados 10,000 ETH de dYdX a través de un préstamo flash (Nota de Blue Fox: Flashloan, el préstamo flash se puede pedir prestado sin garantía, pero el reembolso debe completarse dentro de un bloque de tiempo).

En el segundo paso, cuando el "atacante" obtiene 10.000 ETH, deposita 5.500 ETH en Compound como garantía y presta 112 wbtc. Este 112wbtc se prepara para la venta masiva posterior.

LINK superó la marca de los 27 dólares y cayó un 31,57 % en el día: los datos de Huobi Global muestran que LINK ha subido a corto plazo, superando la marca de los 27 dólares, y ahora cotiza a 27,167 dólares, con una caída intradiaria del 31,57 %. fluctúa mucho, así que por favor haga un buen trabajo en el control de riesgos. [2021/5/19 22:21:39]

El tercer paso es depositar 1300 ETH en bZX, iniciar una transacción de margen de bZx, pedir prestados 5637,6 ETH y obtener 51,3 wbtc a través de la reserva Uniswap de Kyber, lo que resulta en un gran deslizamiento.

En el cuarto paso, el precio de wbtc aumentó más de 3 veces en Uniswap, y luego el atacante vendió los 112 wbct prestados de Compound, lo que resultó en un retorno de 6871.4 ETH.

En el quinto paso, el atacante devuelve el préstamo flash dYdX de 10 000 ETH. Entonces, el saldo del atacante es 71.4ETH en este momento. Entre ellos, 6871.4ETH y 3200ETH sin usar suman 10,071.4ETH. Por lo tanto, después de pagar el préstamo flash, todavía quedan 71.4ETH. Además, el atacante todavía tiene posiciones en Compound y bZx. Compound tiene 5500 WETH de garantía y 112 wbtc de deuda, y bZx tiene 4337 WETH de deuda y 51 wbtc de garantía (la parte de bZx no puede). Según el precio de mercado, el atacante puede usar unos 4300ETH para intercambiar por 112wbtc, entonces, es decir, el atacante devuelve 112wbtc (usando unos 4300ETH) a cambio de 5500WETH, que son 1200ETH, luego más los 71.4ETH anteriores, el El atacante obtendrá una ganancia de alrededor de 1271,4 ETH, según el precio de ETH de unos 280 dólares estadounidenses en ese momento, el atacante obtuvo una ganancia de unos 350 000 dólares estadounidenses.

BTC rompe la marca de los $31 500 con un aumento intradiario del 7,91 %: según datos de Huobi Global, BTC ha subido en el corto plazo, superando la marca de los $31 500, y ahora está en $31 500,1, con un aumento intradiario del 7,91 %. el mercado fluctúa mucho, así que haga un buen trabajo en el control de riesgos. [2021/1/3 16:17:23]

La otra cara de la componibilidad sin necesidad

DeFi no tiene permisos y es componible, estas "monedas Lego" pueden apoyarse entre sí. La ventaja es que los productos y servicios se pueden crear rápidamente utilizando otros protocolos de moneda. A partir de la moneda estable Dai de Maker, ha construido los préstamos de Compound, las transacciones descentralizadas de Uniswap y kyber, las transacciones de margen de dydx, la lotería encriptada de pooltogether y el token Chai de dAppHub (los tokens Chai se usan para ganar interés DSR. Generación Dai)... brinda a los usuarios una nuevo servicio financiero abierto.

Este atributo único pertenece a DeFi, pero al mismo tiempo también es un arma de doble filo, una vez que ocurre un problema en uno de los acuerdos de divisas, también afectará a otros acuerdos o productos. Este "ataque" de costo cero usó funciones como préstamos rápidos, transacciones de margen, préstamos hipotecarios y transacciones descentralizadas de diferentes protocolos y productos DeFi. Los protocolos y productos involucrados son casi la mitad del campo DeFi. dYdX, Compound, Uniswap/kyber , bZx, etc

La razón por la que se puede realizar este "ataque" se basa en la componibilidad de estos protocolos y productos DeFi sin permiso. El poder de este ataque es que el atacante no usó sus propios fondos, sino que operó completamente usando protocolos y productos DeFi. El punto clave es que los préstamos flash no requieren garantía, siempre que se paguen dentro de un bloque de Ethereum. Dado que no hay necesidad de hipotecar activos, este también es un punto de partida clave para este evento de "ataque" bZx para lograr lobos con las manos vacías. Además, la transacción de margen de 5 veces permite a los atacantes tomar prestada una gran cantidad de tokens a bajo precio. costo. Sin embargo, para finalmente lograr el objetivo, el "atacante" aún necesita lograrlo a través de la manipulación de precios. El núcleo es la manipulación de precios de WBTC/ETH, elevando WBTC (alrededor de 3 veces el precio normal) y luego vendiendo es para generar ingresos.

De hecho, no es la primera vez que ocurre un incidente de este tipo. Blue Fox Notes también mencionó el "incidente de ataque" "DeFi y la crisis económica en el mundo encriptado" que le sucedió a synthetix antes.

Mayor demanda de oráculos descentralizados y seguros DeFi

Debido a los posibles problemas de seguridad de DeFi, el incidente de bZx volvió a traer oráculos descentralizados y seguros DeFi al campo de visión de las personas. Después de este incidente, bZx planea cooperar con el proyecto de Oracle descentralizado Chainlink para evitar la manipulación de precios. Además de Chainlink, también habrá demanda de otros oráculos descentralizados.Después de todo, el riesgo de un solo oráculo es relativamente alto. Actualmente, Tellor, Dos, Band, Nest, etc. están explorando la dirección de las máquinas Oracle descentralizadas.

El seguro DeFi también es cada vez más importante. En vista de los posibles riesgos de seguridad de DeFi, el seguro DeFi puede disipar las preocupaciones de muchos usuarios sobre la participación.Proyectos de seguros DeFi como Nexus Mutual y Opyn han comenzado a brindar servicios de seguro para los usuarios. Según la divulgación de Nexus Mutual, un total de 6 usuarios de bZx han comprado un seguro en Nexus Mutual, con un valor total de 87 000 dólares estadounidenses (principalmente para dos usuarios, uno por 50 000 Dai y otro por 30 000 Dai), si hay un pérdida, se puede compensar. Además, Opyn también ha comenzado a brindar servicios de seguros para los activos comprometidos de los usuarios en Compound.

A medida que aumenta la cantidad de fondos bloqueados en el campo DeFi, la demanda de oráculos descentralizados y seguros DeFi también aumentará en consecuencia. Bienvenido a unirse al grupo WeChat de blue fox note: pacinoli 

Tags：

MATIC