DeFi-сервис bZx подвергся повторной атаке, украдено $645 000 в Ethereum

Разработчики протокола децентрализованного кредитования bZx были вынуждены приостановить работу своего смарт-контракта из-за повторной атаки. Злоумышленник украл 2 388 ETH или $645 000 по текущему курсу. Об этом пишет The Block.

«По всей видимости, атака была проведена путём манипулирования оракулами. Мы нейтрализовали её таким же образом, как и предыдущую», – написал в Telegram-канале проекта его сооснователь Кайл Кистнер.

Команда bZx за пару часов до этого опубликовала детальный разбор первой атаки, организатор которой, по её словам, присвоил 1 193 ETH стоимостью около $298 000.

Из представленного разбора следует, что первая атака была сделана с помощью мгновенного займа в системе dYdX на 10 000 ETH, из которых 5 500 ETH были отправлены в адрес сервиса Compound для обеспечения займа на 112 wBTC. 1 300 ETH были использованы, чтобы открыть короткую позицию с плечом 5x на пару ETHBTC с помощью рынка sETHBTC5x биржи Fulcrum, контролируемой bZx. 5 637 ETH были заняты и обменены на 51 WBTC через резервы биржи Uniswap – в результате образовался крупный слиппедж, то есть существенное отклонение цены исполнения заявок от рыночной. Затем 112 wBTC с Compound были обменены на 6 871 ETH через Uniswap, благодаря чему короткая позиция оказалась в хорошем плюсе.

Злоумышленник израсходовал лишь $8,71, уплаченных в качестве комиссий за обработку транзакций, причём никакого залогового обеспечения ему предоставлять не пришлось. С помощью мгновенных займов в сети Ethereum можно получить любую доступную сумму, но только в том случае, если он вернёт её в том же блоке, то есть за 15 секунд. В течении этого времени можно совершить несколько операций, как в описываемом сценарии.

Уже после первой атаки bZx заявили, что интегрируют децентрализованные оракулы сервиса Chainlink, для снижения вероятности таких происшествий в будущем.

Злоумышленник получил мгновенный заем на 7 500 ETH, приобрёл sUSD по $1 на 3 518 ETH и внёс их на bZx в качестве залогового обеспечения. Потом он потратил 900 ETH для покупки по рынку sUSD на Kyber и Uniswap, что позволило ему искусственно завысить курс стейблкоина. Одновременно с этим вырос и размер залогового обеспечения, предоставленный на bZx, благодаря чему ему удалось занять 6 796 ETH. После возврата долга в чистом остатке он получил 2 388 ETH.

Объём активов в DeFi-сервисах стабильно держится выше $1 млрд после достижения этой отметки в начале февраля, лишь немного опустившись вместе с курсом Ethereum, согласно данным DeFiPulse.

Категория: Криптовалюты

Добавил: ingvarr

Дата публикации: 18.02.2020

Последнее редактирование: 19.02.2020

Просмотров: 75 | Рейтинг: 5.0/1

Всего комментариев: 0
Обсуждение материала:
Комментариев: 0
avatar