Observación dorada | Un "ataque" generó una ganancia de más de 360 ​​000 dólares estadounidenses en 15 segundos, y muchos proyectos estrella de DeFi estuvieron involucrados.

Quizás el mundo pertenece a los sabios después de todo.

Recientemente, el mundo DeFi ha sido "explotado" por personas inteligentes.  El 16 de febrero, alguien o un equipo utilizó el proyecto DeFi bZx para aprovechar las lagunas en las reglas para moverse y arbitrar entre proyectos DeFi, y obtuvo una ganancia de 360 ​​000 dólares estadounidenses en 15 segundos (un bloque de tiempo de Ethereum ). Están involucrados varios proyectos estrella de DeFi como Compound, DyDx, Uniswap, kyber y bZx.

A excepción de Kyber, los otros cuatro proyectos están entre los diez primeros de DeFi, la fuente de datos es defiplus

Qué pasó

Según informes de Trustnode e Hydro, el “ataque” aprovechó las fortalezas y debilidades de varios proyectos DeFi, y los pasos se dividieron en seis pasos.

El primer paso es prestar 10 000 ETH de dydx 0 flashloan. El llamado "préstamo flash" no requiere ninguna garantía, siempre que el préstamo y el pago se completen dentro de un bloque de tiempo (15 segundos en Ethereum).

Animoca Brands anuncia empresa conjunta con Aquis Farm: el 9 de diciembre, Animoca Brands anunció una empresa conjunta con el rancho de caballos AquisFarm. Se informa que la nueva empresa conjunta desarrollará productos, juegos y NFT de Metaverse directamente relacionados con actividades y activos ecuestres del mundo real. En esta cooperación, AquisFarm será responsable de proporcionar propiedad intelectual ecuestre del mundo real, oportunidades comerciales y desarrollo conceptual del ecosistema y metaverso ecuestre NFT. AnimocaBrands será responsable del desarrollo, marketing y ventas de NFT, productos de carreras de caballos NFT y juegos Metaverse, llevando el mundo ecuestre a la cadena de bloques. AquisFarm es uno de los principales propietarios de caballos de carreras en Australia, Hong Kong, Europa y los Estados Unidos, con más de 40 ganadores en varias clases en los últimos cuatro años. AquisFarm también es el patrocinador principal del AquisParkGoldCoastTurfClub y del complejo ecuestre AquisFarmElysianFields, que alberga carreras de caballos, saltos, polo y otros eventos y propiedades ecuestres. (animocabrands) [2021/12/9 7:29:03]

El segundo paso es depositar la mitad de los 10.000 ETH prestados, es decir, 5.500 ETH en Compound, y prestar 112 WBTC.

Exclusivo | Fundador de FTX SBF: La minería de liquidez no es completamente sostenible: el informe en vivo de Jinse Finance, el 20 de septiembre, organizado por Jinse Finance y patrocinado por Shuiqiao Blockchain, se llevó a cabo la "Conferencia Juntos por los Emprendedores" en Xiamen. CEO de Jinxin Finance Una conexión de video en vivo de una conferencia de Xinxin Fundador de FTX SBF. Durante el proceso de conexión, SBF dijo que para la minería de liquidez, no creo que sea completamente sostenible, porque su valor ha ido disminuyendo desde su emisión. Esta caída de valor conducirá a la falta de gestión, y debemos esperar un poco. por más tiempo, no se puede dar una respuesta definitiva en la actualidad. [2020/9/20]

El tercer paso es depositar 1300 ETH de los 4500 ETH restantes en bZx y prestar 5637 ETH con un apalancamiento de 5 veces.

El cuarto paso es convertir el 5637 ETH en WBTC, porque el oráculo conectado a bZx es Kyber, la liquidez proviene de Kyber Reserve, y Kyber Reserve está vinculado al grupo Uniswap WBTC, lo que hace que el precio de Uniswap WBTC suba y 51.34 WBTC a obtener

El quinto paso es vender los 112 wBTC prestados por Compound a un precio alto en el grupo Uniswap WBTC (el cuarto paso subió el precio), y obtener 6800 ETH

Paso 6: Devuelva 3200 ETH (sin usar) + 6800 ETH [venda 112 WBTC en el paso 5] = 10000 ETH a dydx

Registros de transacciones en la altura del bloque Ethereum 9484688

Todas estas transacciones anteriores se completan dentro de un bloque Ethereum (dentro de 15 segundos).

Finalmente, ETH se retiró de Fulcrum.trade, una plataforma comercial bajo bZx. Posteriormente, bZx cerró su plataforma comercial Fulcrum por mantenimiento, y el cofundador de bZx, Kyle Kistner, dijo que parte de ETH se había perdido. Según el análisis, el "atacante" ganó unos 360.000 dólares.

Después del evento

Según los datos de Defiplus, este ataque no parece tener ningún impacto en bZX. El 16 de febrero, el ETH bloqueado en bZX disminuyó en 4500, presumiblemente debido a la extracción del "atacante".

Sin embargo, después de solo un día, el ETH bloqueado en bZX aumentó en casi 14 000 el 17 de febrero, alcanzando un total de 42 000.

Con respecto a este incidente, bZx también respondió. bZx afirmó que la pérdida del usuario era cero. Desde la perspectiva del acuerdo, era solo alguien que tomaba prestado un préstamo. Desde la perspectiva del prestatario, no era diferente de otros préstamos. Los prestatarios pagan intereses como cualquier otro préstamo. De hecho, actualmente está pagando a los prestamistas tasas de interés muy altas. Mientras sea un prestatario perpetuo, es una gran ayuda para el prestamista.

El atacante actualmente tiene una garantía de 600,000 wBTC. Lo usaremos para transferir intereses y salir de la liquidez a los titulares de iETH existentes. Lo haremos con una clave de administrador. Fue una decisión muy difícil para nosotros, pero que no debe tomarse a la ligera.

Actualmente, el suministro de iETH está entrando en pánico y huyendo basado en la idea de que hay una pérdida. Pero mientras tengamos ese prestatario y nos aseguremos de que continúe pagando intereses, ese fondo es saludable y lo seguirá siendo.

Publicaremos un informe más detallado lo antes posible. Ahora, queremos asegurarles a los usuarios que los fondos están realmente seguros. Ningún prestamista se verá afectado por el ataque.

Porque bZX usa la clave de administrador para congelar fondos, lo que ha afectado las dudas de muchas personas sobre DeFi.

Es por eso que no creo en DeFi, dijo el fundador de Litecoin, Li Qiwei, en Twitter. Es lo peor de ambos mundos. La mayoría de las DeFi pueden ser cerradas por un sector centralizado, por lo que es solo un "teatro" descentralizado. Sin embargo, nadie podrá deshacer un hack o un exploit a menos que agreguemos más centralización.

Tags：

DOT