DeFi协议bZx:第二次攻击是Oracle操作攻击,目前已移除智能合约中的时间锁


文 | 梁雨山

火星财经APP(微信:hxcj24h)一线报道 ,2月19日,针对日前再度遭遇攻击一事,DeFi协议bZx发推表示,这一次是Oracle操作攻击,与第一次攻击完全不同。 (Oracle攻击是DeFi资产管理类项目普遍面临的安全风险)

bZx表示,“攻击者从系统中获得大约60万美元的净利润。Kyber上的sUSD储备金包含APR和Uniswap池。我们认为,攻击者能够同时操纵这两者,并绕过相关检查。”

关于应对策略,bZx在推文中透露,“我们将实施一项更改,允许交易者和借款方平仓。在此期间,我们将加强协议安全以确保不会再发生类似事件。另外,我们正与Chainlink和其他Oracle网络合作,以创建更安全的Oracle网络并降低协议被攻击的可能性。”

随后,bZx再次发推称,已使用管理员密钥移除智能合约中的时间锁,以应对最近频繁发生的黑客套利事件。“一旦平台通过测试,将会恢复时间锁功能。同时,这也将有助于oracle代码完成审核后立即恢复功能。”

据了解,bZx接连两次遭受攻击,引起业内对bZx本身及DeFi安全性的担忧。2月19日,Bitcoinis发文指出,bZx两次遭遇攻击表明需对DeFi智能合约进行彻底审计。另一方面,以太坊去中心化借贷协议Compound创始人Robert Leshner则于18日表示,bZx团队最近的表现已经多次证明他们并不能保管好用户的资产,他们应该立刻暂停业务,好好审核一下平台。

针对「bZx事件」对市场带来的影响,CryptoNews在其评论文章中指出,bZx再次遭受攻击后,DeFi生态中锁定资产价值在数小时内下降近1.42亿美元。

“本月初,Defi协议中锁定的资产总价值首次突破10亿美元大关,并在2月15日再度创下历史新高,达12.2亿美元。18日早些时候,锁定资产总价值已逐步减至11.49亿美元。随着bZx再次遭受攻击,总金额进一步下跌,逼近10亿美元。”

据火星财经此前报道,bZx于1月25日首次遭遇攻击。 该平台在18日发布的公告中透露整个攻击过程:

1.攻击者从dydx借出1万枚ETH;

2.将其中5500枚ETH 存入Compound作为抵押品,并借出112枚wBTC;

3.1300枚ETH被发送至Fulcrum pToken sETHBTC5x,开启一个针对ETH/BTC兑换比率的5倍空头头寸;

4.借入5637.6枚ETH,并通过Kyber的Uniswap储备库,兑换出51.3枚wbtc,这导致产生极大的滑点;

5.攻击者将从Compound借来的112wbct抛售,兑换成6871.4枚ETH,从而获利。

6.将3200枚ETH + 6800枚ETH(卖112枚BTC 获利)= 10000枚ETH 归还 dydx闪贷。

bZx当时指出,这一系列事件的总利润为1193枚ETH,价值 298250美元(以1枚ETH为250美元计算)。

需要注意的是,部分业内人士认为,该事件并非属于真正意义上的黑客攻击,它应被定义为“攻击者”在充分了解各产品特点的基础上,进行的一次套利行为。“闪电贷基本上就是无需抵押品的贷款,bZx事件并不是一次黑客事件,而是一个如此聪明的策略,执行者应该得到这样的奖励。由于这一事件,DeFi智能合约将变得更加强大。”

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章