Il progetto DeFi bZx sfruttato per la seconda volta in una settimana, perde 630.000 $ in Ether

Alcuni malintenzionati hanno rubato 630.000 dollari in Criptovaluta Ether ( ETH ) dopo aver sfruttato un feed di prezzo del progetto di prestito basato su Ethereum bZx.

IL attacco – il secondo in meno di una settimana – è iniziato poco dopo le 03:00 UTC di martedì, quando gli aggressori hanno apparentemente contratto un prestito flash di 7.500 ETH (circa 1,98 milioni di dollari USA), utilizzando 3.518 ETH (~939.300 dollari) per acquistare la stablecoin sintetica USD sUSD dall’emittente, che hanno poi pubblicato come garanzia per un prestito bZx, secondoa un analista su Twitter.

Hanno quindi utilizzato 900 ETH (~$240.000) per aumentare il valore di sUSD tramite un feed di prezzo integrato dal fornitore di liquidità Kyber Network fino a quando la stablecoin in dollari non è salita a $2. Utilizzando questa garanzia gonfiata, hanno contratto un altro prestito di 6.796 ETH (circa $1,8 milioni) che è stato utilizzato per rimborsare il prestito originale di 7.500 ETH , intascando i restanti 2.378 ETH.

L'importo totale rubato vale circa 633.000 dollari, secondoIndice dei prezzi dell'Ether di CoinDesk. Nel complesso, l'attacco è durato poco più di un minuto dall'inizio alla fine. Gli sfruttatori hanno lasciato un prestito aperto con metà della garanzia richiesta ora che sUSD è tornato al suo ancoraggio al dollaro.

Secondo il sito di statistiche, la quantità totale di ether bloccata nei contratti di prestito bZx si è quasi dimezzata da 40.000 ETH (~$10,7 milioni) a 23.000 ETH (~$6,1 milioni) da quando è avvenuto l'exploit. Impulso DeFi.

L'account Twitter ufficiale di bZxconfermato alle 04:38 UTC il progetto ha sospeso le contrattazioni dopo aver rilevato "transazioni sospette che utilizzavano prestiti flash e contrattazioni su Synthetix". Un portavoce di bZx ha confermato sul canale Telegram del gruppo che la società stessa, e non uno qualsiasi degli utenti della piattaforma, avrebbe coperto il deficit.

L'attacco avviene pochi giorni dopo la caduta di bZxvittimaa un attacco simile basato su prestiti flash in cui sono stati estratti dalla piattaforma criptovalute per un valore di oltre $ 350.000. Non è chiaro se i due attacchi siano stati eseguiti dalla stessa persona o gruppo.

Cosa sono i prestiti flash?

La stragrande maggioranza delle strutture di prestito DeFi si basa su prestiti sovracollateralizzati: i mutuatari possono solitamente prendere in prestito solo circa il 75 percento del valore della loro garanzia. Sebbene ciò incentivi gli utenti a rimborsare i prestiti, richiede anche ai prestatori di avere una liquidità molto elevata, a volte in una vasta gamma di asset, per liquidare rapidamente i prestiti.

I prestiti flash sono strumenti che consentono ai trader di liquidare i prestiti per conto del prestatore. Funzionano facendo sì che il trader prenda un prestito dal prestatore, questa volta senza fornire alcuna garanzia, quindi ripagando il debito del mutuatario e riscuotendo il deposito. Utilizzando il deposito, possono ripagare il prestito originale e intascare i fondi rimanenti.

I prestiti flash erano già disponibili su altri progetti DeFi come la piattaforma di prestito non custodiale Aave Protocol, che ha offertoloro dall'inizio dell'anno.

bZx ha lanciato i suoi strumenti di prestito flash solo lunedì. Il CEO Tom Bean ha difeso la decisione di introdurre prestiti flash sulla piattaforma. "A quanto pare, il codice di prestito flash su bZx non è stato ciò che ha permesso questo attacco. Era solo uno strumento utilizzato che funzionava correttamente e avrebbe potuto essere sostituito con prestiti flash DYDX e Aave ", ha scritto sul canale Telegram dell'azienda.

Kyle Kistner, Chief Visionary Officer e Operations Lead di bZx, ha confermato, sempre su Telegram, che l'hacking dei prestiti flash era "completamente trattabile". Ha sottolineato che bZx avrebbe accelerato i piani per integrare Chainlink per diversificare i feed dei prezzi e impedire che le manipolazioni degli oracoli si verificassero di nuovo.

Un rappresentante di bZx ha detto a CoinDesk che il team stava cercando di risolvere l'exploit con il suo team di ingegneri. Bean e Kistner non hanno risposto immediatamente alle chiamate per un commento.