El proyecto DeFi bZx fue explotado por segunda vez en una semana y perdió $630,000 en Ether.

Algunos actores maliciosos se han llevado 630.000 dólares en Criptomonedas Ether ( ETH ) después de explotar un indicador de precios del proyecto de préstamos bZx basado en Ethereum.

El ataque – el segundo en menos de una semana – comenzó justo después de las 03:00 UTC del martes, cuando los atacantes aparentemente sacaron un préstamo flash de 7.500 ETH (aproximadamente US$1,98 millones), usando 3.518 ETH (~$939.300) para comprar la moneda estable sintética USD sUSD del emisor, que luego publicaron como garantía para un préstamo bZx, de acuerdo aa un analista en Twitter.

Luego usaron 900 ETH (aproximadamente $240,000) para impulsar el valor de sUSD mediante un sistema integrado de precios del proveedor de liquidez Kyber Network, hasta que la stablecoin en dólares se disparó a $2. Con esta garantía inflada, solicitaron otro préstamo de 6,796 ETH (aproximadamente $1.8 millones) que utilizaron para pagar el préstamo original de 7,500 ETH , quedándose con los 2,378 ETH restantes.

El monto total robado asciende a aproximadamente 633.000 dólares, segúnÍndice de precios de Ether de CoinDeskEn total, el ataque duró poco más de un minuto de principio a fin. Los atacantes dejaron un préstamo abierto con la mitad de la garantía requerida ahora que el sUSD ha vuelto a su paridad con el dólar.

La cantidad total de ether bloqueada en los contratos de préstamo de bZx se ha reducido casi a la mitad, de 40.000 ETH (unos 10,7 millones de dólares) a 23.000 ETH (unos 6,1 millones de dólares) desde que se produjo el exploit, según el sitio de estadísticas Pulso DeFi.

La cuenta oficial de Twitter de bZxconfirmado A las 04:38 UTC, el proyecto suspendió sus operaciones tras detectar "transacciones sospechosas con préstamos flash y operaciones en Synthetix". Un portavoz de bZx confirmó en el canal de Telegram del grupo que la propia empresa, y no los usuarios de la plataforma, cubriría el déficit.

El ataque se produce días después de la caída de bZx.víctimaA un ataque similar basado en préstamos flash, donde se extrajeron de la plataforma criptomonedas por valor de más de 350.000 dólares. No está claro si ambos ataques fueron perpetrados por la misma persona o grupo.

¿Qué son los préstamos flash?

La gran mayoría de las entidades de crédito DeFi se basan en préstamos con sobrecolateralización: los prestatarios generalmente solo pueden solicitar un préstamo equivalente al 75 % del valor de su garantía. Si bien esto incentiva a los usuarios a devolver los préstamos, también exige que los prestamistas cuenten con una liquidez muy alta, a veces en una gama diversa de activos, para liquidar los préstamos rápidamente.

Los préstamos flash son instrumentos que permiten a los comerciantes liquidar los préstamos en nombre del prestamista. Funcionan mediante la solicitud de un préstamo al prestamista, sin aportar ninguna garantía, para luego pagar la deuda del prestatario y cobrar el depósito. Con este depósito, pueden pagar el préstamo original y quedarse con los fondos restantes.

Los préstamos flash ya estaban disponibles en otros proyectos DeFi, como la plataforma de préstamos sin custodia Aave Protocol, que tiene ofrecidoellos desde principios de año.

bZx lanzó sus propios préstamos flash el lunes. El director ejecutivo, Tom Bean, defendió la decisión de introducirlos en la plataforma. "Según todos los indicios, el código de préstamo flash de bZx no fue lo que permitió este ataque. Simplemente se utilizó una herramienta que funcionó correctamente y que podría haberse sustituido por los préstamos flash de DYDX y Aave ", escribió en el canal de Telegram de la compañía.

Kyle Kistner, director visionario y líder de operaciones de bZx, confirmó, también en Telegram, que el hackeo del préstamo flash era "totalmente controlable". Destacó que bZx aceleraría los planes de integración de Chainlink para diversificar los precios y evitar que se repitan las manipulaciones de los oráculos.

Un representante de bZx informó a CoinDesk que el equipo estaba intentando resolver el exploit con su equipo de ingenieros. Bean y Kistner no respondieron de inmediato a las llamadas para solicitar comentarios.