Share this article
Експлойт під час ETHDenver розкриває експериментальний характер децентралізованих Фінанси
Хак за $350 000 проливає світло на проблему залежності від оракулів єдиної ціни.
Updated Sep 13, 2021, 12:18 p.m. Published Feb 15, 2020, 9:00 p.m. 2 min read
ДЕНВЕР – Децентралізований Фінанси проект (DeFi) bZx зазнав атаки, під час якої хакер успішно обіграв кілька протоколів DeFi, щоб отримати 350 000 доларів США з платформи, приблизно 2 відсотки активів під управлінням.
У відповідь компанія припинила свій протокол кредитування та торгівлі Fulcrum о 7:00 UTC. Під час злому компанія виступала на ETHDenver. Хакери скористалися оракулом ціноутворення компанії, щоб обманом змусити протокол відмовитися від готівки. За даними джерел, ціна bZx залежала лише від ONE оракула.
Фірма, яка ще не з’явилася в EthDenver пізніше підтверджено в твіті це компенсує кредиторам потенційні втрати.
1/ Due to the complexity of the transaction, providing a comprehensive accounting of the losses will require additional time. This was not a simple Uniswap attack, and we do not use Uniswap as an oracle.
— bZx - Fulcrum & Torque (on ETH/BSC/Polygon) (@bZxHQ) February 15, 2020
Атака може бути симптомом триваючої проблеми в DeFi, сказав генеральний директор Chainlink Сергій Назаров на заході: як отримати інформацію про ціни.
Атака була ще більш помітною через час, коли команда мала справу зі зломом під час хакатону спільноти Ethereum EthDenver, який здебільшого зосереджений на DeFi.
Назаров сказав, що отримання даних про ціни від ONE оракула – сервісів, які збирають і видають інформацію про ціни в ланцюжку – залишається проблематичним, і команди ONE DeFi все ще працюють, хоча його зв’язок із цією проблемою ще не встановлено, додав він.
«Ви T можете покладатися [тільки] на ONE оракул, підключений до API обміну», — сказав Назаров.
Генеральний директор Staked Тім Огілві, який підтримує робочі відносини з bZx, сказав, що втрата дорівнює коштовній винагороді за помилки та підкреслює новизну флеш-кредитів, нової функції DeFi, яка дозволяє трейдерам позичати та повертати кошти в короткі терміни, які хакер використав для атаки.
За словами Огілві, зловмисник позичив 10 000 ETH на суму приблизно 2,67 мільйона доларів у вигляді термінової позики.
Потім зловмисник розділив позичені кошти, відправивши 5000 ETH на протокол DeFi Compound , а іншу половину — на bZx. За словами Огілві, після депозитів зловмисник швидко зробив шорт Wrapped Bitcoin (WBTC) на bZx, а потім позичив 112 WBTC на Compound на суму близько 1,1 мільйона доларів США та продав запозичені WBTC на Uniswap, іншому ринку DeFi.
Огілві сказав, що фірма спростувала в Twitter, що bZx використовує канал цін UniSwap для WBTC. Коли зловмисник скинув WBTC на суму 1,1 мільйона доларів на Uniswap, шорт bZx став надзвичайно прибутковим, сказав Огілві.
"Питання для DeFi полягає в тому, що безпечно? Як створити безпечний і захищений набір [ціна] оракулів, які дійсно роблять щось? Люди використовують різні підходи, і ви можете вибрати неправильний шлях", - сказав Огілві.
"Є великі ризики. Це нова категорія, вона швидко розвивається, і це означає, що деякі речі будуть зламатися", - сказав Огілві.
Восьмий за величиною ринок DeFi DeFi Pulse, 16 відсотків коштів, заблокованих у bZx, було вилучено з протоколу за останні 24 години.
More For You
Новий продукт для заробітку дозволяє користувачам отримувати нагороди в біткоїнах через DeFi стратегії, зберігаючи при цьому експозицію до ціни біткоїна.
What to know:
- Kraken запустив Bitcoin Vault, новий продукт у рамках Kraken Earn, орієнтований на довгострокових власників біткойна, які прагнуть отримувати пасивний дохід.
- Продукт працює на базі Veda та керується компанією Sentora, при цьому кошти розподіляються між DeFi-протоколами, включно з Aave та Morpho.
- Ширше портфоліо DeFi Earn криптовалютної платформи зросло до понад 240...
Головне
