金色觀察 | 一招“攻擊”15秒內獲利超36萬美元 多個DeFi明星項目卷入_EFI

也許這個世界終歸是屬于聰明人的。

近日DeFi世界就遭到了聰明人的“攻擊”（exploit）。 2月16日，DeFi項目bZx被某個人或者團隊利用規則上的漏洞，在DeFi項目間騰挪套利，15秒內（一個以太坊區塊時間）獲得36萬美元的收益。多個DeFi明星項目如Compound，DyDx，Uniswap，kyber，bZx均卷入其中。

除Kyber外其余四個項目均位列DeFi前十，數據來源defiplus

事情經過

金色晚報 | 10月31日晚間重要動態一覽:12:00-21:00關鍵詞：數字貨幣、北京、銀保監、V神、比特幣白皮書

1. 習近平：積極參與數字貨幣等國際規則制定，塑造新的競爭優勢

2. 北京市副市長殷勇：將推動金融監管沙盒參與主體更豐富，穩步增加監管沙盒彈性；

3. 銀保監會副主席梁濤：目前開展區塊鏈應用的保險機構約有30家；

4. 王永利：PayPal用戶要將加密貨幣兌換成法定貨幣后才能完成購物支付；

5. SushiChef：Sushiswap已發布最新UI 下月將進行全面審計；

6. 數據：比特幣盈利地址數量超3130.52萬續刷新高；

7. V神：不喜歡鏈基層治理，因其可被利用并導致權力集中；

8. 歷史上的今天丨2008年的今天 比特幣白皮書正式發布；

9. BTC突破14000美元關口 創2018年1月以來新高。[2020/10/31 11:20:06]

據Trustnode和Hydro報道，“攻擊”利用了各個DeFi項目的優缺點，步驟分為六步。

金色實力派 | 微觀科技：區塊鏈解碼跨境貿易新機遇:當下區塊鏈與實體經濟相結合已成為不可阻擋的時代大潮，金色財經推出“區塊鏈+產業新模式”系列訪談實力派:，對話走在區塊鏈+最前端的明星企業和集團。本期對話微觀科技，今晚20：00，一起聊聊微觀科技如何用區塊鏈技術解碼跨境貿易。觀看直播可掃碼或戳原文鏈接。[2019/12/20]

第一步，從dydx 0閃電貸（flashloan）借出1萬ETH。所謂“閃電貸”，就是不需要任何抵押物，只要借貸和還款在一個區塊時間內（以太坊上為15秒）完成即可。

第二步，把借出來的1萬ETH中的一半即5500ETH存入Compound，借出112 WBTC。

金色財經現場報道 薩摩亞政府代表為摩亞鏈項目落地授牌:金色財經現場報道，在全球區塊鏈世界巡回高峰會議大灣區站，薩摩亞政府代表向相關企業頒發投資移民牌照和商品及證券交易證明。薩摩亞政府代表鼓勵各企業到薩摩亞投資。薩摩亞商務部代執行部長Matulino女士給摩亞鏈支持機構頒發投資移民牌照和商品及證券交易所許可。[2018/4/23]

第三步，把剩下的4500ETH中的1300 ETH存入bZx，開5倍杠桿借出5637 ETH。

第四步，將這5637 ETH兌換為WBTC，因為bZx接入的預言機為Kyber，流動性來自Kyber Reserve，Kyber Reserve又鏈接至Uniswap WBTC pool，導致Uniswap WBTC價格被拉高，獲得51.34 WBTC

金色財經獨家分析 中國區塊鏈領域具備技術自信:今日央行行長易綱表示，中國在數字貨幣、區塊鏈技術、金融科技進行研究，走在世界前列。中國也不斷在用事實說話：2017中國人民銀行在全球區塊鏈專利達68件排名世界第一，阿里集團也以49件在全球企業中排名第一，事實證明中國在區塊鏈領域擁有足夠的技術準備，因此完全具備與之匹配的發言權。世界區塊鏈組織副總干事朱濤也表明在世界區塊鏈標準制定上中國的重要地位。就金融政策來講，中國在足夠調查下給出的態度是十分具有價值的，也是負責任的。中國針對“數字貨幣”的謹慎態度也有效控制了相關犯罪案件的發生，相關案件占比遠小于美國、歐洲、日韓，也印證了中國政府在相關政策制定上的積極效果。在各國政府不斷針對區塊鏈、數字貨幣發聲的國際環境下，中國政府正在保持足夠的清醒，為推出持續和負責任的政策充分做著充分準備。[2018/4/16]

第五步，把Compound借出來的112 wBTC在Uniswap WBTC pool高價賣出（第四步把價格拉高了），獲得 6800 ETH

第六步，將3200 ETH（未用過）+ 6800 ETH [步驟5中賣出112 WBTC] = 10000ETH還給dydx

以太坊區塊高度9484688上的交易記錄

上面所有這些交易都在一個以太坊區塊（15秒內）完成。

最終從bZx旗下的交易平臺Fulcrum.trade提取ETH。隨后，bZx已關閉其Fulcrum交易平臺進行維護，bZx聯合創始人Kyle Kistner表示，一部分ETH已經丟失。據分析，“攻擊者”盈利約36萬美元。

事件后續

據Defiplus數據，這次攻擊事件似乎對bZX沒有什么影響。2月16日，bZX中鎖倉的ETH減少4500枚，想必有“攻擊者”提取的功勞。

不過，僅僅經過一天，2月17日bZX中鎖倉的ETH增加了近1.4萬枚，總額達到4.2萬枚。

對于此次事件，bZx也做出了回應，bZx表示用戶損失為零，從協議角度看只是有人借了一筆貸款，從借款人角度看，和其他借款沒有什么區別。貸款者與其他貸款一樣要支付利息。實際上，它目前正在向貸出方支付很高的利率。只要它是永久借款人，對貸方來說就是一個很大的福音。

攻擊者目前剩下60萬個wBTC抵押品。我們將使用它來流轉利息和退出流動性給現有的iETH持有者。我們將使用管理員密鑰來完成。對于我們來說，這是一個非常困難的決定，但不能掉以輕心。

目前，基于存在虧損的想法，iETH供應出現了恐慌和出逃。但是，只要我們有這名借款人并確保他們繼續支付利息，那么這筆資金就很健康，而且將繼續如此。

我們將盡快發布更詳細的報告。現在，我們想向用戶保證這筆資金實際上是安全的。任何貸方都不會受到攻擊的影響。

因為，bZX用到了管理員密鑰來凍結資金，影響到了不少人對DeFi的疑慮。

萊特幣創始人李啟威在推特上表示，這就是我不相信DeFi的原因。這是兩個世界中最糟糕的。大多數DeFi可以被一個中心化的部門關閉，所以它只是一個去中心化的“戲院”。然而，除非我們增加更多的中心化，否則沒有人能夠撤銷黑客攻擊或漏洞利用。

Tags：ETH區塊鏈BZXEFICETH區塊鏈工程好就業嗎BZX幣DOGEFI

中幣下載