Проект індустрії децентралізованого фінансування (DeFi) bZx піддався атаці. Хакер успішно використав кілька протоколів DeFi для виведення $350 000 з платформи – близько 2% активів в управлінні.
У відповідь компанія припинила роботу свого кредитного та торгового протоколу Fulcrum в 10 ранку за московським часом 15 лютого. На момент злому команда bZx перебувала на заході ETHDenver. Хакери скористалися цінових оракулом компанії, щоб обманним шляхом змусити протокол відкрити можливість виведення коштів. Згідно з джерелами, bZx залежав лише від одного цінового оракула.
Компанія пізніше підтвердила в Твіттері, що компенсує кредиторам потенційні збитки. За словами генерального директора Chainlink Сергія Назарова, атака може бути черговим підтвердженням проблеми в індустрії DeFi, пов’язаної з отриманням інформації про ціни. Атака привернула багато уваги ще й тому, що команді довелося розбиратися зі зломом під час хакатона EthDenver спільноти Эфириума, який в основному фокусувався на DeFi.
Назаров сказав, що використання інформації про ціни, одержуваних від одного оракула – сервісу, який збирає і публікує інформацію про ціни всередині мережі – проблематично. За його словами, DeFi проекти працюють над пошуком рішення цієї проблеми.
«Ви не можете покладатися тільки на одного оракула, пов’язаного з API біржі», – сказав Назаров.
Генеральний директор Staked Тім Огілві (Tim Ogilvie), який співпрацює з bZx, заявив, що злом і втрата коштів підкреслюють новизну миттєвих кредитів – нової функції DeFi, яка дозволяє трейдерам брати і повертати кредити в короткі проміжки часу, які хакер використовував для атаки. За словами Огілві, зловмисник позичив 10 000 ETH на суму близько $2.67 млн у вигляді миттєвого кредиту.
Потім зловмисник розділив позикові монети, відправивши 5000 ETH додатком DeFi Compound, а іншу половину – bZx. Після внесення депозитів зловмисник здійснив коротку продаж WBTC на bZx, після чого позичив 112 WBTC у Compound на суму близько $1.1 мільйона і продав запозичені WBTC на UniSwap – іншому ринку DeFi.
Огілві заявив, а команда bZx спростувала це в Твіттері, що проект використовує потік котирувань UniSwap для WBTC. За словами Огілві, коли зловмисник продав WBTC на UniSwap на $1.1 мільйона, його коротка позиція bZx стала надзвичайно прибутковою.
«Головне питання для індустрії DeFi: що безпечно? Як ви створюєте безпечний і надійний набір цінових оракулів, які дійсно роблять щось? Люди використовують різні підходи, і ви можете вибрати неправильний шлях», – сказав Огілві. «Є великі ризики. Це новий напрямок, воно швидко розвивається, і це означає, що деякі проекти можуть страждати», – сказав Огілві.
Індустрія децентралізованого фінансування значно зросла за останній рік. На початку місяця повідомлялося, що сума активів в додатках DeFi перевищила
$1 млрд на тлі зростання ETH. Особливо цікавий результат тоді продемонстрував проект bZx, його капіталізація за добу зросла майже на 25% в доларовому еквіваленті.
Thanks!
Our editors are notified.