2月18日,去中心化金融(DeFi)借贷协议bZx新产品闪电贷(Flash Loan)再遭二次攻击,初步估计损失2,388枚以太币(ETH),约为64.5万美元。针对上述消息, bZx共同创始人Kyle Kistner在官方Telegram频道中证实,并表示,有别于上一次的攻击,「这次的手法似乎是Oracle操纵攻击」。
据了解,这次的闪电贷攻击发生在区块高度9504627,攻击者借出7,500枚以太币再将其兑换成WETH后,抛售换成Synthetix合成的sUSD,随后买回WETH获利。bZx稍早在推特上发文称,
Kyber 上的sUSD 储备金包含APR 和Uniswap 池,但我们认为攻击者能够同时操纵前后两者,并规避相关检查。因此,我们将实施一项更改:允许交易者和借款方平仓。期间,我们将加强协议安全以确保不会再次发生类似事件。另外,我们正与Chainlink 和其他Oracle 网络合作,予以创建更安全的Oracle 网络,并减低受攻击的机率。
3/ We will be implementing a change that allows traders and borrowers to close positions, but mints will not be allowed. During this time we will be fortifying the protocol to ensure an incident like this does not happen again.
— bZx (@bzxHQ) 2020年2月18日
针对第二次的攻击,产业媒体《The Block》研究总监Larry Cermak第一时间在推特上发文,解析整起事件经过的同时,更赞扬攻击者这般操作手法「相当优雅」:
恒星公司的Jed McCaleb声称其XRP抛售行为不会扰乱加密市场
据区块链监控器Whale Alert最近在Medium平台发布一篇帖子显示,恒星公司的首席技术官 Jed McCaleb在2014年至2019年间出售量超过10亿的XRP。该贴还尝试分析了McCaleb出售XRP的行为是否会影响加密
- 从闪电贷借出7,500 枚以太币;
- Synthetix 上交易3,517 枚以太币(94 万枚sUSD,价格接近1 美元);
- 利用900 枚以太币在Kyber 和Uniswap 上买进sUSD,以此将价格推高到2 美元以上;
- 利用sUSD 作为抵押品,然后在bZx 上借入6,796 枚以太币;
- 利用借来的以太币和剩余的以太币(6,796 + 3,083)偿还闪电贷(7,500),套利2,379 枚以太币(9,879 – 7,500);
- bZx 的以太币池损失约180 万美元,sUSD 池则损失110 万美元。攻击者净赚64 万美元。
在这之前,bZx曾于2月15日遭攻击而损失1,193枚以太币(价值约29.8万美元)。Kyle Kistner当时透露,协议有合约漏洞遭攻击者趁虚而入,所幸团队已第一时间暂停该合约,但借贷合约和解除合约仍在运行。Kyle Kistner表示,团队接下来将部署合约升级,试图藉由提升系统来对抗攻击。
bZx 二次遭遇攻击表明,团队仍需针对DeFi 智能合约进行更彻底的审计。再者,bZx 在这两次都将平台冻结,似乎意味着:即便标榜「DeFi」应用,但它终究是个倾向于「中心化」的平台,开发者可以使用「管理密钥(admin key)」来关闭平台上的交易。
区块链资安业者慢雾科技提到,bZx 两次攻击的主要原因均为:「Uniswap价格的剧烈变化最终导致资产的损失」,本该是正常的市场行为,但若通过恶意操纵市场,攻击者仍可通过多种方式压低价格,对项目方造成损失。针对这种通过操纵市场进行获利的攻击,慢雾安全团队建议道,
项目方在使用Oracle 获取外部价格的时候,应设置保险机制,每一次在进行代币兑换时,都应保存当前交易对的兑换价格,并与上一次保存的兑换价格进行对比,如果波动过大,应及时暂停交易。防止市场被恶意操纵,带来损失。
对此,加密货币研究机构MICA Research 分析师表示,
这起事件与其说攻击,不如算是套利。有心人士故意利用Uniswap 报价错误中间产生一定价差,再以此套利。近年来,DeFi 产品发展步伐过于紧凑,市场报价的机制尚未成熟,但相信未来在这方面定会更加完善,就如同今时今日的交易所技术一样。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
富豪彭博提加密货币框架,交易所美国总统合约大涨
总统候选人麦克彭博(Michael Bloomberg)提出了一项金融改革计划,以提倡制定更清晰的加密货币税务与初始代币发行(ICO)等加密货币监管方案,以及应对未来金融危机的其他保障措施
原创文章,作者:掘金K,如若转载,请注明出处:https://www.20on.com/118432.html
