DeFi-протокол bZx снова атакован — потеряно $645 000 в эфире
Кредитный DeFi-протокол bZx был снова атакован — на этот раз предполагаемая потеря составляет 2 388 эфира (ETH), то есть почти $645 000. «Похоже, что эта атака атака была проведена через манипулирование оракулом», — заявил соучредитель bZx Кайл Кистнер на официальном Telegram-канале проекта. «Мы нейтрализовали её так же, как и в прошлый раз».
Незадолго до этого команда bZx опубликовала анализ первой атаки, сообщив о потере 1193 ETH (на данный момент это около $298 000). В свете последней подозрительной транзакции bZx снова приостановил свой протокол. Утверждается, что транзакция произошла с использованием мгновенных кредитов и торговли на Synthetix.
Старший аналитик The Block Ларри Чермак так объясняет механизм атаки: злоумышленник взял мгновенный кредит в размере 7500 ETH, купил sUSD (по цене около $1) на 3518 ETH, а затем перевел их на bZx в качестве залогового обеспечения. Затем он использовали 900 ETH для покупки sUSD по рыночной цене на Kyber и Uniswap и, следовательно, манипулировал ценой sUSD, подняв её до $2. Это позволило злоумышленнику взять больший кредит, потому что залог оказался больше, чем был. Таким образом, злоумышленник одолжил еще 6 796 ETH на bZx и использовал его (а также остаток ETH) для погашения первоначального мгновенного кредита. В итоге злоумышленник получил 2 388 ETH прибыли (~$645 000).
Роберт Лешнер, основатель конкурирующего кредитного DeFi-протокола Compound, в комментарии для The Block сказал: «Безопасность является высшим приоритетом для финансового продукта. Команда bZx уже неоднократно продемонстрировала, что она не способна защитить средства пользователей, и должна прекратить работу до прохождения полного аудита своей деятельности».