Condividi questo articolo
L'Exploit durante ETHDenver rivela la natura sperimentale della Finanza decentralizzata
Un hack da 350.000 dollari mette in luce il problema della dipendenza da oracoli con un unico prezzo.
DENVER – Il progetto Finanza decentralizzata (DeFi) bZx ha subito un attacco in cui un hacker è riuscito a eludere diversi protocolli DeFi per estrarre 350.000 dollari dalla piattaforma, circa il 2 percento delle attività in gestione.
La storia continua sotto
In risposta, la società ha rimosso il suo protocollo di prestito e trading Fulcrum alle 7:00 UTC. La società stava presentando all'ETHDenver durante l'hacking. Gli hacker hanno sfruttato l'oracolo dei prezzi della società per ingannare il protocollo e convincerlo a cedere il denaro. bZx dipendeva da ONE solo oracolo per i prezzi, secondo le fonti.
L'azienda, che deve ancora ricomparire a EthDenver, in seguitoconfermato in un tweetcompenserà i creditori per le potenziali perdite.
1/ Due to the complexity of the transaction, providing a comprehensive accounting of the losses will require additional time. This was not a simple Uniswap attack, and we do not use Uniswap as an oracle.
— bZx - Fulcrum & Torque (on ETH/BSC/Polygon) (@bZxHQ) February 15, 2020
L'attacco potrebbe essere sintomatico di un problema persistente nella DeFi, ha affermato il CEO Chainlink, Sergey Nazarov, durante l'evento: come reperire informazioni sui prezzi.
L'attacco è stato ancora più notevole per la tempistica, poiché il team ha dovuto gestire l'hack durante l'hackathon EthDenver della comunità Ethereum , incentrato principalmente sulla DeFi.
Nazarov ha affermato che reperire i dati sui prezzi da ONE oracolo (servizi che raccolgono e rilasciano informazioni sui prezzi on-chain) rimane problematico e ONE i team DeFi stanno ancora lavorando su una soluzione, anche se la sua relazione con questo problema deve ancora essere stabilita con certezza, ha aggiunto.
"T puoi fare affidamento su ONE solo oracolo connesso a un'API di scambio", ha affermato Nazarov.
Tim Ogilvie, CEO di Staked, che intrattiene un rapporto di collaborazione con bZx, ha affermato che la perdita equivale a una costosa ricompensa per bug e sottolinea la novità dei prestiti flash, una nuova funzionalità DeFi che consente ai trader di prendere in prestito e restituire fondi nelle brevi finestre temporali utilizzate dall'hacker per l'attacco.
Secondo Ogilvie, l'aggressore ha preso in prestito 10.000 ETH, per un valore di circa 2,67 milioni di dollari, tramite un prestito lampo.
L'attaccante ha quindi diviso i fondi presi in prestito, inviando 5.000 ETH al protocollo DeFi Compound e l'altra metà a bZx. Dopo i depositi, l'attaccante ha venduto allo scoperto i Wrapped Bitcoin (WBTC) su bZx, seguito rapidamente dal prestito di 112 WBTC su Compound, per un valore di circa 1,1 milioni di $, e dalla vendita dei WBTC presi in prestito su Uniswap, un altro mercato DeFi, ha affermato Ogilvie.
Ogilvie ha detto, che ill'azienda ha smentito su Twitter, che bZx usa il feed di prezzo di UniSwap per WBTC. Quando l'attaccante ha lasciato cadere 1,1 milioni di $ di WBTC su Uniswap, lo short di bZx è diventato estremamente redditizio, ha detto Ogilvie.
"La domanda per DeFi è: cosa è sicuro? Come si crea un set sicuro e protetto di oracoli [di prezzo] che facciano davvero le cose? Le persone usano approcci diversi e si può scegliere il modo sbagliato", ha detto Ogilvie.
"Ci sono grandi rischi. È una nuova categoria, si sta muovendo velocemente e questo significa che alcune cose si romperanno", ha detto Ogilvie.
L'ottavo mercato DeFi più grande secondoImpulso DeFi, il 16 percento dei fondi bloccati in bZx sono stati ritirati dal protocollo nelle ultime 24 ore.
Di più per voi
Cosa sapere:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Di più per voi
Coinbase espande la portata dello strumento di pagamenti per agenti AI basato su stablecoin
Il protocollo aggiornato, x402 V2, consente agli sviluppatori di combinare pagamenti, abilitare l'accesso sicuro al portafoglio e aggiungere nuove funzionalità tramite un design pulito e modulare.
Cosa sapere:
- Coinbase ha rilasciato l’ultima versione del suo protocollo di pagamenti basato su stablecoin per agenti AI, rendendo più semplice estendere e integrare il sistema di pagamenti autonomo.
- La nuova versione aggiunge l'identità basata su wallet, la scoperta automatica delle API, destinatari di pagamento dinamici e il supporto per un numero maggiore di blockchain e valute fiat.
Storie Da Non Perdere
