DeFi-сервис bZx снова атакован, выведено $645 000 в Ethereum

«По всей видимости, атака была проведена путём манипулирования оракулами, – написал в Telegram-канале проекта его сооснователь Кайл Кистнер. – Мы нейтрализовали её таким же образом, как и предыдущую».

За несколько часов до этого bZx опубликовали детальный разбор первой атаки, организатору которой, по их словам, удалось присвоить 1 193 ETH стоимостью около $298 000.

Атака #1. Как следует из представленного разбора, предыдущая атака была осуществлена с помощью мгновенного займа в системе dYdX на 10 000 ETH, из которых 5 500 ETH были отправлены в адрес сервиса Compound для обеспечения займа на 112 wBTC. 1 300 ETH использовались для открытия короткой позиции с плечом 5x на пару ETHBTC с помощью рынка sETHBTC5x биржи Fulcrum, контролируемой bZx. 5 637 ETH были заняты и обменены на 51 WBTC через резервы биржи Uniswap – в результате образовался крупный слиппедж, то есть существенное отклонение цены исполнения заявок от рыночной. Затем 112 wBTC с Compound были обменены на 6 871 ETH через Uniswap, благодаря чему короткая позиция оказалась в хорошем плюсе.

Затраты злоумышленника на проведение этой атаки составили $8,71, уплаченных в качестве комиссий за обработку транзакций, причём никакого залогового обеспечения ему предоставлять не пришлось. Мгновенные займы в сети Ethereum позволяют пользователю получить любую доступную сумму, но только в том случае, если он вернёт её в том же блоке, то есть за 15 секунд. За это время он может совершить несколько операций, как в описываемом сценарии.

После первой атаки bZx заявили, что интегрируют децентрализованные оракулы сервиса Chainlink, чтобы снизить вероятность таких происшествий в будущем.

Атака #2. Злоумышленник получил мгновенный заем на 7 500 ETH, приобрёл sUSD по $1 на 3 518 ETH и внёс их на bZx в качестве залогового обеспечения. Затем он использовал 900 ETH для покупки по рынку sUSD на Kyber и Uniswap, что позволило ему искусственно завысить курс стейблкоина. Одновременно с этим вырос и размер залогового обеспечения, предоставленный на bZx, благодаря чему ему удалось занять 6 796 ETH. После возврата долга в чистом остатке он получил 2 388 ETH.

Наблюдатели выделили транзакцию, связанную с сегодняшним выводом активов с bZx.

Чарли Ли и Джимми Сонг осуждают. Ещё после первой атаки на bZx с критикой всего DeFi-пространства выступил создатель Litecoin Чарли Ли. В частности, его недовольство вызвала способность организаторов сервиса остановить контракт.

«Вот почему я не верю в DeFi, – написал он. – Они вобрали в себя худшее от двух миров. Большинство DeFi-сервисов может быть отключено централизованными участниками. Это только демонстрация децентрализации. Тем не менее, никто не может откатить взлом или эксплойт, если только мы не увеличим централизацию. Так чем же они лучше того, что у нас есть сейчас?»

Известный биткоин-активист Джимми Сонг присоединился к Ли, сравнив «хрупкие и централизованные» DeFi, с «антихрупким и децентрализованным» биткоином.

«Два этих понятия не должны находиться в одной вселенной, не говоря уже об одной категории», – добавил Сонг.

По данным портала DeFiPulse, объём активов в DeFi-сервисах стабильно держится выше $1 млрд после достижения этой отметки в начале февраля, лишь немного опустившись вместе с курсом Ethereum.