去中心化金融交易平臺(Defi exchange)bZx在一週內遭受了第二次“閃電貸款漏洞”的打擊,這次損失了超過60萬美元的以太坊(ETH)。這是幾天之內該平臺受到的第二次攻擊,它發生在bZx剛剛實施一項防止閃速貸款漏洞的修復程序之後。
閃電貸款(FLASHLOANS)攻擊,會成為DEFI殺手嗎?
bZx平臺在公告中表示:“目前我們所知道的是:黑客已經利用此手段發生了第二次攻擊。這次攻擊與第一次完全不同。這一次是oracle的操縱攻擊,是我們與samczsun密切合作修復的原始攻擊版本的修改版。”
Defi初創公司bZx在推特上發佈了第二次使用flashloans攻擊該平臺的消息,“攻擊者”可以利用該平臺漏洞,簽訂一份智能合同,在沒有抵押的情況下借入資金,並在同一筆交易中償還。
在借貸和償還貸款的步驟之間,攻擊者可以執行許多利用DEXs(去中心化交易平臺)和DeFi(去中心化金融平臺)借貸平臺的步驟,這些步驟通過智能合約自動執行。這一切可以在一次交易中瞬間完成
在最近的這次攻擊中,攻擊者能夠利用flashloans同時進行幾筆交易,對DEXs的低流動性進行套利,並賺取了可觀的利潤。
在這個案例中,攻擊者在bZx上借了7500 ETH,用其中的一半在另一個DeFi平臺Synthetix上購買了sUSD,然後用這些sUSD作為抵押獲得了第二筆bZx貸款。
然後,他們在低流動性的DEX Kyber網絡上花了900 ETH,並將sUSD壓到2美元,Kyber網絡與bZx的價格是通過oraclee數據庫整合的。之後,他們又借了6,796 ETH,償還了7,500 ETH的貸款,得到2,378 ETH,淨賺63萬美元。
所有這些都可以在一個事務中完成,以一種開發人員不希望的方式使用智能合約,類似於著名的DAO hack。這並不是真正的黑客攻擊,它更像是對一份寫得很差、不安全的智能合同的利用。
去中心化平臺沒有暫停按鈕
在對bZx的第一次攻擊中,該平臺因類似的攻擊而在ETH損失了35萬美元,之後該平臺被關閉並離線,而開發人員試圖修復該契約,以使惡意行為者無法執行另一次攻擊。
第二次攻擊,雖然不是完全一樣,但也很相似,只是攻擊了一個price feed oracle。似乎Ethereum的開發人員還沒有完全理解“oracle問題”。
第一次攻擊讓加密社區措手不及,因為DeFi平臺正在提供flashloans。第二次攻擊表明,需要對DeFi智能契約進行非常徹底的審計,以防止意外再次發生。
bZx在兩次攻擊中都凍結了平臺,這一事實表明,儘管它以DeFi的名義經營,但最終它還是一箇中心化的平臺。開發者可以使用“管理密鑰”來關閉平臺上的交易。
Nick Szabo將這種虛假的去中心化稱為“去中心化劇院”,這對所謂的去中心化DeFi平臺的去中心化程度提出了質疑。
如果當用戶以一種開發人員不希望的方式利用智能合約特性時,它仍然可以被關閉,那麼它真的比中心化金融替代方案更好嗎?至少,傳統金融有嚴格的監管監督來識別和起訴壞人,而DeFi沒有。如果遭到攻擊,只能從頭再來。
閱讀更多 區塊鏈報 的文章
