也許這個世界終歸是屬於聰明人的。
近日DeFi世界就遭到了聰明人的“攻擊”(exploit)。 2月16日,DeFi項目bZx被某個人或者團隊利用規則上的漏洞,在DeFi項目間騰挪套利,
15秒內(一個以太坊區塊時間)獲得36萬美元的收益。多個DeFi明星項目如Compound,DyDx,Uniswap,kyber,bZx均捲入其中。
除Kyber外其餘四個項目均位列DeFi前十,數據來源defiplus
事情經過
據Trustnode和Hydro報道,“攻擊”利用了各個DeFi項目的優缺點,步驟分為六步。
第一步,從dydx 0閃電貸(flashloan)借出1萬ETH。所謂“閃電貸”,就是不需要任何抵押物,只要借貸和還款在一個區塊時間內(以太坊上為15秒)完成即可。
第二步,把借出來的1萬ETH中的一半即5500ETH存入Compound,借出112 WBTC。
第三步,把剩下的4500ETH中的1300 ETH存入bZx,開5倍槓桿借出5637 ETH。
第四步,將這5637 ETH兌換為WBTC,因為bZx接入的預言機為Kyber,流動性來自Kyber Reserve,Kyber Reserve又鏈接至Uniswap WBTC pool,導致Uniswap WBTC價格被拉高,獲得51.34 WBTC
第五步,把Compound借出來的112 wBTC在Uniswap WBTC pool高價賣出(第四步把價格拉高了),獲得 6800 ETH
第六步,將3200 ETH(未用過)+ 6800 ETH 【步驟5中賣出112 WBTC】 = 10000ETH還給dydx
以太坊區塊高度9484688上的交易記錄
上面所有這些交易都在一個以太坊區塊(15秒內)完成。
最終從bZx旗下的交易平臺Fulcrum.trade提取ETH。隨後,bZx已關閉其Fulcrum交易平臺進行維護,bZx聯合創始人Kyle Kistner表示,一部分ETH已經丟失。據分析,“攻擊者”盈利約36萬美元。
事件後續
據Defiplus數據,這次攻擊事件似乎對bZX沒有什麼影響。2月16日,bZX中鎖倉的ETH減少4500枚,想必有“攻擊者”提取的功勞。
不過,僅僅經過一天,2月17日bZX中鎖倉的ETH增加了近1.4萬枚,總額達到4.2萬枚。
對於此次事件,bZx也做出了回應,bZx表示用戶損失為零,從協議角度看只是有人借了一筆貸款,從借款人角度看,和其他借款沒有什麼區別。貸款者與其他貸款一樣要支付利息。實際上,它目前正在向貸出方支付很高的利率。只要它是永久借款人,對貸方來說就是一個很大的福音。
攻擊者目前剩下60萬個wBTC抵押品。我們將使用它來流轉利息和退出流動性給現有的iETH持有者。我們將使用管理員密鑰來完成。對於我們來說,這是一個非常困難的決定,但不能掉以輕心。
目前,基於存在虧損的想法,iETH供應出現了恐慌和出逃。但是,只要我們有這名借款人並確保他們繼續支付利息,那麼這筆資金就很健康,而且將繼續如此。
我們將盡快發佈更詳細的報告。現在,我們想向用戶保證這筆資金實際上是安全的。任何貸方都不會受到攻擊的影響。
因為,bZX用到了管理員密鑰來凍結資金,影響到了不少人對DeFi的疑慮。
萊特幣創始人李啟威在推特上表示,這就是我不相信DeFi的原因。這是兩個世界中最糟糕的。大多數DeFi可以被一箇中心化的部門關閉,所以它只是一個去中心化的“戲院”。然而,除非我們增加更多的中心化,否則沒有人能夠撤銷黑客攻擊或漏洞利用。
閱讀更多 金色財經區塊鏈 的文章
