La iluminación del evento de ataque bZx del protocolo de préstamos financieros descentralizados

(En el dormitorio del artista en Arles, Vincent van Gogh)

Los piratas informáticos lanzaron un ataque contra bZx durante la conferencia ETHDenver, como una emboscada bien planificada contra DeFi. Si bien la cantidad perdida fue modesta, claramente tuvo algún impacto en el mercado durante los últimos dos días.

¿Qué es un evento bZx?

Aunque muchas personas llaman al incidente bZx un "incidente de ataque", es esencialmente más como una manipulación de arbitraje utilizando protocolos y productos DeFi. Los "ataques" aprovechan al máximo las funciones de múltiples protocolos y productos de DeFi para obtener fondos a un costo muy bajo y obtener ganancias manipulando los precios. Esta operación lleva más de diez segundos, que es el tiempo de un bloque de Ethereum. Sucedió durante la altura del bloque Ethereum 9484688 el 15 de febrero de 2020.

Toda la operación es más o menos la siguiente:

El primer paso es tomar prestados 10,000 ETH de dYdX a través de un préstamo flash (Nota de Blue Fox: Flashloan, el préstamo flash se puede pedir prestado sin garantía, pero el reembolso debe completarse dentro de un bloque de tiempo).

En el segundo paso, cuando el "atacante" obtiene 10.000 ETH, deposita 5.500 ETH en Compound como garantía y presta 112 wbtc. Este 112wbtc se prepara para la venta masiva posterior.

rToken figurará como garantía en la plataforma de préstamos EasyFi: StaFi, el proyecto ecológico de Polkadot, emitió hoy un documento en el que dice que ha cooperado con el acuerdo de préstamos DeFi EasyFi Network, de modo que rToken se puede utilizar como garantía en la plataforma de préstamos EasyFi. Se informa que rToken es el certificado de redención de Staking de activos emitido por StaFi a los usuarios. [2021/2/6 19:01:49]

El tercer paso es depositar 1300 ETH en bZX, iniciar una transacción de margen de bZx, pedir prestados 5637,6 ETH y obtener 51,3 wbtc a través de la reserva Uniswap de Kyber, lo que resulta en un gran deslizamiento.

En el cuarto paso, el precio de wbtc aumentó más de 3 veces en Uniswap, y luego el atacante vendió los 112 wbct prestados de Compound, lo que resultó en un retorno de 6871.4 ETH.

En el quinto paso, el atacante devuelve el préstamo flash dYdX de 10 000 ETH. Entonces, el saldo del atacante es 71.4ETH en este momento. Entre ellos, 6871.4ETH y 3200ETH sin usar suman 10,071.4ETH. Por lo tanto, después de pagar el préstamo flash, todavía quedan 71.4ETH. Además, el atacante todavía tiene posiciones en Compound y bZx. Compound tiene 5500 WETH de garantía y 112 wbtc de deuda, y bZx tiene 4337 WETH de deuda y 51 wbtc de garantía (la parte de bZx no puede). Según el precio de mercado, el atacante puede usar unos 4300ETH para intercambiar por 112wbtc, entonces, es decir, el atacante devuelve 112wbtc (usando unos 4300ETH) a cambio de 5500WETH, que son 1200ETH, luego más los 71.4ETH anteriores, el El atacante obtendrá una ganancia de alrededor de 1271,4 ETH, según el precio de ETH de unos 280 dólares estadounidenses en ese momento, el atacante obtuvo una ganancia de unos 350 000 dólares estadounidenses.

El número de nodos de Lightning Network ha llegado a 14.940: según Jinse Finance, según datos de 1ML.com, el número de nodos que soportan la red ha llegado a 14.940 en la actualidad, un aumento del 4,29 % en comparación con los datos de hace 30 días; el número de canales es de 35.792, en comparación con 30 Según los datos de hace unos días, el aumento mes a mes fue del 1,5%; la capacidad de carga de Lightning Network es actualmente de 1060,64 BTC, lo que equivale a unos 20,3213 millones de dólares estadounidenses. [2020/12/2 22:55:27]

La otra cara de la componibilidad sin necesidad

DeFi no tiene permisos y es componible, estas "monedas Lego" pueden apoyarse entre sí. La ventaja es que los productos y servicios se pueden crear rápidamente utilizando otros protocolos de moneda. A partir de la moneda estable Dai de Maker, ha construido los préstamos de Compound, las transacciones descentralizadas de Uniswap y kyber, las transacciones de margen de dydx, la lotería encriptada de pooltogether y el token Chai de dAppHub (los tokens Chai se usan para ganar interés DSR. Generación Dai)... brinda a los usuarios una nuevo servicio financiero abierto.

Este atributo único pertenece a DeFi, pero al mismo tiempo también es un arma de doble filo, una vez que ocurre un problema en uno de los acuerdos de divisas, también afectará a otros acuerdos o productos. Este "ataque" de costo cero usó funciones como préstamos rápidos, transacciones de margen, préstamos hipotecarios y transacciones descentralizadas de diferentes protocolos y productos DeFi. Los protocolos y productos involucrados son casi la mitad del campo DeFi. dYdX, Compound, Uniswap/kyber , bZx, etc

La razón por la que se puede realizar este "ataque" se basa en la componibilidad de estos protocolos y productos DeFi sin permiso. El poder de este ataque es que el atacante no usó sus propios fondos, sino que operó completamente usando protocolos y productos DeFi. El punto clave es que los préstamos flash no requieren garantía, siempre que se paguen dentro de un bloque de Ethereum. Dado que no hay necesidad de hipotecar activos, este también es un punto de partida clave para este evento de "ataque" bZx para lograr lobos con las manos vacías. Además, la transacción de margen de 5 veces permite a los atacantes tomar prestada una gran cantidad de tokens a bajo precio. costo. Sin embargo, para finalmente lograr el objetivo, el "atacante" aún necesita lograrlo a través de la manipulación de precios. El núcleo es la manipulación de precios de WBTC/ETH, elevando WBTC (alrededor de 3 veces el precio normal) y luego vendiendo es para generar ingresos.

De hecho, no es la primera vez que ocurre un incidente de este tipo. Blue Fox Notes también mencionó el "incidente de ataque" "DeFi y la crisis económica en el mundo encriptado" que le sucedió a synthetix antes.

Mayor demanda de oráculos descentralizados y seguros DeFi

Debido a los posibles problemas de seguridad de DeFi, el incidente de bZx volvió a traer oráculos descentralizados y seguros DeFi al campo de visión de las personas. Después de este incidente, bZx planea cooperar con el proyecto de Oracle descentralizado Chainlink para evitar la manipulación de precios. Además de Chainlink, también habrá demanda de otros oráculos descentralizados.Después de todo, el riesgo de un solo oráculo es relativamente alto. Actualmente, Tellor, Dos, Band, Nest, etc. están explorando la dirección de las máquinas Oracle descentralizadas.

El seguro DeFi también es cada vez más importante. En vista de los posibles riesgos de seguridad de DeFi, el seguro DeFi puede disipar las preocupaciones de muchos usuarios sobre la participación.Proyectos de seguros DeFi como Nexus Mutual y Opyn han comenzado a brindar servicios de seguro para los usuarios. Según la divulgación de Nexus Mutual, un total de 6 usuarios de bZx han comprado un seguro en Nexus Mutual, con un valor total de 87 000 dólares estadounidenses (principalmente para dos usuarios, uno por 50 000 Dai y otro por 30 000 Dai), si hay un pérdida, se puede compensar. Además, Opyn también ha comenzado a brindar servicios de seguros para los activos comprometidos de los usuarios en Compound.

A medida que aumenta la cantidad de fondos bloqueados en el campo DeFi, la demanda de oráculos descentralizados y seguros DeFi también aumentará en consecuencia. Bienvenido a unirse al grupo WeChat de blue fox note: pacinoli 

Tags：

DAI