Le projet DeFi bZx est exploité pour la deuxième fois en une semaine et perd 630 000 $ en Ether.

Des acteurs malveillants ont dérobé 630 000 $ de Cryptomonnaie Ether ( ETH ) après avoir exploité un flux de prix du projet de prêt basé sur Ethereum bZx.

Le attaque – le deuxième en moins d'une semaine – a commencé juste après 03h00 UTC mardi, lorsque les attaquants ont apparemment contracté un prêt flash de 7 500 ETH (environ 1,98 million de dollars américains), en utilisant 3 518 ETH (~ 939 300 dollars) pour acheter le stablecoin synthétique USD sUSD auprès de l'émetteur, qu'ils ont ensuite déposé comme garantie pour un prêt bZx, selonà un analyste sur Twitter.

Ils ont ensuite utilisé 900 ETH (environ 240 000 $) pour faire grimper la valeur du sUSD grâce à un flux de prix intégré du fournisseur de liquidités Kyber Network, jusqu'à ce que le stablecoin dollar atteigne 2 $. Grâce à cette garantie gonflée, ils ont contracté un autre emprunt de 6 796 ETH (environ 1,8 million de dollars), qui a servi à rembourser l'emprunt initial de 7 500 ETH , empochant les 2 378 ETH restants.

Le montant total volé s'élève à environ 633 000 $, selonIndice des prix de l'Ether de CoinDeskL'attaque, dans son intégralité, a duré un peu plus d'une minute. Les exploitants ont laissé un prêt ouvert avec la moitié des garanties requises, maintenant que le sUSD est revenu à son ancrage au dollar.

Le montant total d'ether bloqué dans les contrats de prêt bZx a presque diminué de moitié, passant de 40 000 ETH (environ 10,7 millions de dollars) à 23 000 ETH (environ 6,1 millions de dollars) depuis que l'exploit a eu lieu, selon le site de statistiques. Impulsion DeFi.

Le compte Twitter officiel de bZxconfirmé À 04h38 UTC, le projet a suspendu ses échanges après avoir détecté des « transactions suspectes utilisant des prêts flash et des échanges sur Synthetix». Un porte-parole de bZx a confirmé sur la chaîne Telegram du groupe que c'était l'entreprise elle-même, et non les utilisateurs de la plateforme, qui couvrirait le manque à gagner.

L'attaque survient quelques jours après la chute du bZxvictimeUne attaque similaire, basée sur un prêt flash, a permis d'extraire plus de 350 000 dollars de cryptomonnaies de la plateforme. On ignore si les deux attaques ont été menées par la même personne ou le même groupe.

Que sont les prêts flash ?

La grande majorité des dispositifs de prêt DeFi reposent sur des prêts sur-collatéralisés : les emprunteurs ne peuvent généralement emprunter qu'environ 75 % de la valeur de leur garantie. Si cela incite les utilisateurs à rembourser leurs prêts, cela exige également des prêteurs une liquidité très importante – parfois dans une gamme d'actifs diversifiée – afin de liquider rapidement les prêts.

Les prêts flash sont des instruments permettant aux traders de liquider des prêts pour le compte du prêteur. Le principe est simple : le trader contracte un prêt auprès du prêteur, sans fournir de garantie, puis rembourse la dette de l'emprunteur et encaisse l'acompte. Grâce à cet acompte, il peut rembourser le prêt initial et empocher le solde restant.

Les prêts flash étaient déjà disponibles sur d'autres projets DeFi tels que la plateforme de prêt sans garde Aave Protocol, qui a offerteux depuis le début de l'année.

bZx n'a lancé ses propres instruments de prêts flash que lundi. Le PDG Tom Bean a défendu cette décision : « De toute évidence, le code de prêt flash sur bZx n'est pas à l'origine de cette attaque. Il s'agissait simplement d'un outil qui fonctionnait correctement et qui aurait pu être remplacé par les prêts flash DYDX et Aave », a-t-il écrit sur la chaîne Telegram de l'entreprise.

Kyle Kistner, directeur visionnaire et responsable des opérations de bZx, a confirmé, également sur Telegram, que le piratage du prêt flash était « parfaitement gérable ». Il a souligné que bZx accélérerait son projet d'intégration de Chainlink afin de diversifier les flux de prix et d'empêcher de nouvelles manipulations d'oracles.

Un représentant de bZx a déclaré à CoinDesk que l'équipe tentait de résoudre l'exploit avec ses ingénieurs. Bean et Kistner n'ont pas immédiatement répondu aux appels pour commentaires.