Ang DeFi Project bZx na pinagsamantalahan sa Pangalawang Oras sa Isang Linggo, Nawalan ng $630K sa Ether

Ang mga masasamang aktor ay nakatanggap ng $630,000 na halaga ng ether (ETH) Cryptocurrency matapos pagsamantalahan ang isang price feed ng ethereum-based lending project na bZx.

Ang atake – ang pangalawa sa loob ng wala pang isang linggo – ay nagsimula pagkatapos lamang ng 03:00 UTC Martes, nang ang mga umaatake ay maliwanag na kumuha ng flash loan na 7,500 ETH (humigit-kumulang US$1.98 milyon), gamit ang 3,518 ETH (~$939,300) upang bumili ng synthetic USD stablecoin sUSD mula sa issuer, na kanilang inilagay bilang collateral bilang bZx loan. ayon sa isang analyst sa Twitter.

Pagkatapos ay gumamit sila ng 900 ETH (~$240,000) para i-bid up ang halaga ng sUSD sa pamamagitan ng pinagsamang feed ng presyo mula sa liquidity provider Kyber Network hanggang sa tumaas ang dollar stablecoin sa $2. Gamit ang napalaki na collateral na ito, kumuha sila ng isa pang loan na 6,796 ETH (humigit-kumulang $1.8 milyon) na ginamit para ibalik ang orihinal na 7,500 ETH loan, na ibinulsa ang natitirang 2,378 ETH.

Ang kabuuang halagang ninakaw ay nagkakahalaga ng humigit-kumulang $633,000, ayon sa Ether Price Index ng CoinDesk. Sa kabuuan nito, ang pag-atake ay tumagal lamang ng mahigit isang minuto mula simula hanggang wakas. Ang mga mapagsamantala ay nag-iwan ng bukas na pautang na may kalahati ng kinakailangang collateral ngayong bumalik na ang sUSD sa dollar pegging nito.

Ang kabuuang halaga ng ether na naka-lock sa mga kontrata ng bZx lending ay halos nahati mula 40,000 ETH (~$10.7 milyon) hanggang 23,000 ETH (~$6.1 milyon) mula nang maganap ang pagsasamantala, ayon sa statistics site DeFi Pulse.

Ang opisyal na Twitter account para sa bZx nakumpirma noong 04:38 UTC ang proyekto ay nasuspinde ang pangangalakal pagkatapos nitong matukoy ang "mga kahina-hinalang transaksyon gamit ang mga flash loans at pangangalakal sa Synthetix." Kinumpirma ng isang tagapagsalita ng bZx sa Telegram channel ng grupo na ang kumpanya mismo, sa halip na sinuman sa mga gumagamit ng platform, ang sasagot sa kakulangan.

Dumarating ang pag-atake ilang araw pagkatapos bumagsak ang bZx biktima sa isang katulad na flash loan-based na pag-atake kung saan higit sa $350,000 na halaga ng mga cryptocurrencies ang nakuha mula sa platform. Hindi malinaw kung ang dalawang pag-atake ay ginawa ng iisang tao o grupo.

Ano ang mga flash loan?

Ang karamihan sa mga pasilidad sa pagpapahiram ng DeFi ay umaasa sa mga overcollateralized na mga pautang: Ang mga borrower ay kadalasan ay maaari lamang humiram ng humigit-kumulang 75 porsiyento ng halaga ng kanilang collateral. Bagama't nagbibigay iyon ng insentibo sa mga user na magbayad ng pautang, kailangan din nito ang mga nagpapahiram na magkaroon ng napakataas na liquidity – minsan sa magkakaibang hanay ng mga asset – upang mabilis na ma-liquidate ang mga pautang.

Ang mga flash loans ay mga instrumento na nagpapahintulot sa mga mangangalakal na likidahin ang mga pautang sa ngalan ng nagpapahiram. Gumagana ito sa pamamagitan ng pagpapautang sa mangangalakal mula sa nagpapahiram – sa pagkakataong ito ay hindi nagpo-post ng anumang collateral – pagkatapos ay binabayaran ang utang ng nanghihiram at kinokolekta ang deposito. Gamit ang deposito maaari nilang bayaran ang orihinal na utang at ibulsa ang natitirang pondo.

Available na ang mga flash loan sa iba pang proyekto ng DeFi gaya ng non-custodial lending platform Aave Protocol, na mayroong inaalok sila mula pa noong simula ng taon.

Ang bZx ay naglunsad lamang ng sarili nitong mga instrumento sa flash loan noong Lunes. Ipinagtanggol ng CEO Tom Bean ang desisyon na magpakilala ng mga flash loans sa platform. "Sa lahat ng mga account, ang flash loan code sa bZx ay hindi ang nagpapahintulot sa pag-atake na ito. Ito ay isang tool lamang na ginamit na gumana nang tama at maaaring napalitan para sa DYDX at Aave flash loan," isinulat niya sa Telegram channel ng kumpanya.

Kinumpirma rin ni Kyle Kistner, ang punong visionary officer at operations lead ng bZx, sa Telegram, ang flash loan hack ay "ganap na naaayon." Binigyang-diin niya na pabilisin ng bZx ang mga planong pagsamahin ang Chainlink upang pag-iba-ibahin ang mga feed ng presyo at maiwasang mangyari muli ang mga manipulasyon ng oracle.

Sinabi ng isang kinatawan para sa bZx sa CoinDesk na sinusubukan ng koponan na lutasin ang pagsasamantala kasama ang pangkat ng mga inhinyero nito. Hindi agad sumagot sina Bean at Kistner para sa komento.