Биржи BZX заявляет, что последняя атака была «совершенно другой»

Defi exchange bZx подвергся второму флеш-кредитованию в течение недели, на этот раз потеряв более 600 000 долларов в ETH. Эта вторая атака через несколько дней последовала после того, как bZx только что исправил ошибку, чтобы предотвратить эксплойты. 

FLASHLOANS — ЭТО НАСТОЯЩИЙ DEFI KILLER?

1/ WHAT WE KNOW SO FAR: There was a second attack. This attack was completely different from the first. This time it was an oracle manipulation attack, a modified version of the original exploit we worked closely with @samczsun to fix: https://t.co/lDcyDQf44i

— bZx (@bzxHQ) February 18, 2020

В промежутке между этапами заимствования и возврата кредита злоумышленник может выполнить множество шагов между кредитными платформами DEX и DeFi, которые автоматически выполняются посредством смарт-контрактов. Все происходит мгновенно в одной транзакции.

В этой последней атаке злоумышленник смог воспользоваться флеш-кредитами и совершить несколько сделок одновременно, что позволило избежать низкой ликвидности DEX и получить солидную прибыль.

В этом случае злоумышленник занял 7500 ETH на bZx, используя половину ETH, он смог купить sUSD на Synthetix, другой платформе DeFi, и использовал sUSD в качестве обеспечения для второго кредита bZx.

Затем они взяли 900 ETH и увеличили sUSD до 2 долл. в сети DEX Kyber с низкой ликвидностью, которая имела интеграцию ценового оракула с bZx. После этого они одолжили еще 6 796 ETH, выплатили первоначальный кредит в размере 7 500 ETH и смогли получить 2 378 ETH, получив прибыль в размере 630 000 долларов.

Все это можно было выполнить за одну транзакцию, используя умный контракт, как этого не планировали разработчики, подобно известному взлому DAO. На самом деле это был не хак, а скорее подвиг плохо написанного и небезопасного умного контракта.

When using a DeFi loan in a way that ETH people don’t like it’s an “attack”.

Just like how code was “law” before the DAO contract execution.

— grubles (@notgrubles) February 18, 2020

После первой атаки на bZx , в результате которой платформа потеряла 350 000 долларов в ETH из-за подобного эксплойта, платформа была закрыта и переведена в автономный режим, в то время как разработчики попытались исправить контракт, чтобы злоумышленники не смогли выполнить еще один эксплойт.

Вторая атака, хотя и не совсем та же, была достаточно похожей, за исключением того, что она атаковала оракула ценовой подачи. Похоже, разработчики Ethereum еще не до конца осознали « проблему оракула».

Первая атака застала крипто-сообщество врасплох, поскольку flashloans — это новый продукт, предлагаемый платформами DeFi. Вторая атака показывает, что для предотвращения непреднамеренной интерпретации умных контрактов необходимы очень тщательные проверки смарт-контрактов DeFi.

Тот факт, что bZx смог заморозить платформу во время обеих атак, показывает, что, несмотря на то, что она продается как DeFi, в конечном итоге это централизованная платформа. Разработчики смогли использовать «ключ администратора», чтобы закрыть торговлю на платформе.

Ник Сабо назвал этот театр искусственной децентрализации «театром децентрализации», и это ставит под вопрос, насколько децентрализованными являются так называемые платформы DeFi.

Действительно ли это лучше, чем централизованные финансовые альтернативы, если его все еще можно отключить, когда пользователь использует возможности интеллектуального контракта способом, не предназначенным для разработчиков?

По крайней мере, традиционные финансы имеют строгий нормативный контроль для выявления и преследования плохих игроков, в то время как DeFi нет. Это как «взлом» DAO, снова и снова.