Проект индустрии децентрализованного финансирования (DeFi) bZx подвергся атаке. Хакер успешно использовал несколько протоколов DeFi для вывода $350 000 с платформы — около 2% активов в управлении.

В ответ компания прекратила работу своего кредитного и торгового протокола Fulcrum в 10 утра по московскому времени 15 февраля. На момент взлома команда bZx находилась на мероприятии ETHDenver. Хакеры воспользовались ценовым оракулом компании, чтобы обманным путем заставить протокол открыть возможность вывода средств. Согласно источникам, bZx зависел только от одного ценового оракула.

Компания позднее подтвердила в Твиттере, что компенсирует кредиторам потенциальные убытки. По словам генерального директора Chainlink Сергея Назарова, атака может быть очередным подтверждением проблемы в индустрии DeFi, связанной с получением информации о ценах. Атака привлекла много внимания еще и потому, что команде пришлось разбираться с взломом во время хакатона EthDenver сообщества Эфириума, который в основном фокусировался на DeFi.

Назаров сказал, что использование информации о ценах, получаемых от одного оракула – сервиса, который собирает и публикует информацию о ценах внутри сети – проблематично. По его словам, DeFi проекты работают над поиском решения этой проблемы.

«Вы не можете полагаться на только одного оракула, связанного с API биржи», — сказал Назаров.

Генеральный директор Staked Тим Огилви (Tim Ogilvie), который сотрудничает с bZx, заявил, что взлом и потеря средств подчеркивают новизну мгновенных кредитов — новой функции DeFi, которая позволяет трейдерам брать и возвращать кредиты в короткие промежутки времени, которые хакер использовал для атаки. По словам Огилви, злоумышленник одолжил 10 000 ETH на сумму около $2.67 млн в виде мгновенного кредита.

Затем злоумышленник разделил заемные монеты, отправив 5000 ETH приложению DeFi Compound, а другую половину — bZx. После внесения депозитов злоумышленник совершил короткую продажу WBTC на bZx, после чего одолжил 112 WBTC в Compound на сумму около $1.1 миллиона и продал заимствованные WBTC на UniSwap — другом рынке DeFi.

Огилви заявил, а команда bZx опровергла это в Твиттере, что проект использует поток котировок UniSwap для WBTC. По словам Огилви, когда злоумышленник продал WBTC на UniSwap на $1.1 миллиона, его короткая позиция bZx стала чрезвычайно прибыльной.

«Главный вопрос для индустрии DeFi: что безопасно? Как вы создаете безопасный и надежный набор ценовых оракулов, которые действительно делают что-то? Люди используют разные подходы, и вы можете выбрать неправильный путь», — сказал Огилви. «Есть большие риски. Это новое направление, оно быстро развивается, и это означает, что некоторые проекты могут страдать», — сказал Огилви.

Индустрия децентрализованного финансирования значительно выросла за последний год. В начале месяца сообщалось, что сумма активов в приложениях DeFi превысила $1 млрд на фоне роста ETH. Особенно интересный результат тогда продемонстрировал проект bZx, его капитализация за сутки выросла практически на 25% в долларовом эквиваленте.

Источник: bits.media

Оставить комментарий

avatar
  Подписаться  
Уведомление о