Хакеры дважды сломали децентрализованную платформу bZx

Пользователи децентрализованной финансовой платформы (DeFi) bZx сильно пострадали после того, как хакеры дважды за несколько дней сломали этот сервис. Ущерб, нанесенный хакерами, оценивают примерно в $954 000.

Согласно сообщениям, которые разместила платформа bZx, впервые протокол был скомпрометирован 14 февраля, когда команда находилась на ивенте ETHDenver. Вторая атака, согласно информационному изданию The Block, состоялась 18 февраля.

Что произошло

Злоумышленник использовал несколько протоколов DeFi для обмена значительного количества эфира и wrapped Bitcoin (WBTC) – токена на блокчейне Эфириума, который отслеживает цену биткоина. Таким образом это позволило хакеру манипулировать ценами и получать прибыль от децентрализованной торговли с использованием кредитных средств.

Сначала злоумышленник взял в кредит 10 000 эфира (ETH) с децентрализованного протокола кредитования dYdX, а затем использовал 5500 ETH ($1 460 000) для обеспечения 112 wrapped Bitcoin (WBTC) (более $ 1 млн) на протоколе DeFi Compound.

В этот момент злоумышленник направил 1300 ETH (более $372 000) для децентрализованной маржинальной торговли ETH, чтобы открыть 5-кратное позицию на пару ETH/BTC на торговой платформе Fulcrum bZx и получил кредит 5637 ETH через Uniswap Kyber и поменял их на 51 WBTC, в результате чего вызвал большое проскальзывание.

Это, в свою очередь, позволило злоумышленнику получить прибыль от обмена 112 WBTC с Compound на 6671 ETH, что привело к прибыли 1193 ETH (почти $ 318 000). Наконец хакер вернул 10000 ETH кредита на dYdX, которые он взял раньше.

Углубленный анализ атаки показал, что транзакция, с помощью которой злоумышленник открыл торговлю с использованием кредитных средств, должна была быть предупреждена проверками безопасности, однако эти проверки не открылись из-за бага в смарт-контракте bZx. Команда протокола объявила, что баг был исправлен.

Вторая атака

Характер второй атаки во многом до сих пор непонятен, но в сообщении руководителя CVO проекта и операций, Кайла Кистнера (Kyle Kistner) в официальной группе телеграмм-канала bZx, говорится о том, что это была атака манипуляций оракулом. Обычно оракулами становятся централизованные компоненты, которые подают внешние данные для сетевых приложений.

The Block оценивает убытки в 2388 ETH (почти $636 000). Кистнер заявил, что команда может нейтрализовать взлом и предотвратить потерю пользовательских средств, как это было сделано после первого взлома. Кроме того, он пообещал, что разработчики bZx перейдут на оракулы на основе протокола Chainlink, пожалуй, предполагая, что это сделает систему более безопасной.

Необратимость транзакций является основным свойством большинства криптовалют, или, по крайней мере тем, чего хочет большинство проектов. Несмотря на то, что эта функция является желанной по многим причинам, эту особенность также ценят киберпреступники, которые получают похищенные средства, тогда как банковские переводы можно вернуть.

Кроме того хакеры постоянно ищут новые методы и обновляют инструменты. Недавно, компания по кибербезопасности TrendMicro обнаружила, что хакерская группа Outlaw почти каждые полгода обновляет свой инструментарий для кражи данных предприятий.