Ab攻击者已成功利用分散式金融(DeFi)协议bZx通过所谓的“快速贷款”在单笔交易中获得了超过360,000美元的利润。
黑客使用去中心化交易平台dYdX借入10,000 ETH(目前价值约250万美元),然后将其中一半发送给去中心化金融借贷平台Compound,再将其一半发送给去中心化交易平台bZx。
通过使用Compound上的资金,它借用了112个包裹式比特币代币(wBTC),即以比特币1:1支持的ERC-20代币。黑客使用bZx的一半,进入空头仓位,买入112 wBTC。然后他将从Compound那里获得的112 wBTC发送到另一个交易平台Uniswap,此举降低了代币的价格,从而使卖空变得有利可图。
黑客然后偿还了他的贷款给dYdX,并保留了卖空的利润,即1,300个以太坊,当时价值360,000美元。所有这些都是在单笔交易中完成的,交易费用约为8美元。
资料来源:Etherscan
该攻击是通过一笔称为“快速贷款”的单笔交易进行的。本质上,攻击者借入10,000 ETH时没有任何抵押,因为他在偿还资金的同一过渡中借入了资金。通过智能合约,可以拉动交易。
使用该漏洞,黑客赚取了1,000 ETH的利润,并花费了bZx协议620,000美元的权益。bZx已经明确表示用户不会遭受损失,因为它将给他们补偿。该项目的支持者将在MST下午5点发布详细分析。
4 /我们相信完全站在我们的工作和产品旁边。我们将发布一项综合计划以补偿贷方。我们将继续实现我们的价值观和社会的期望。
— bZx(@bzxHQ)2020年2月15日
DeFi Pulse的数据显示,事件发生后,投资者立即开始撤出bZx,但一旦该项目解决了该问题并明确表示不会将损失归咎于投资者,便开始重新获得信心。