Projeto DeFi bZx explorado pela segunda vez em uma semana, perde US$ 630 mil em Ether

Criminosos roubaram US$ 630.000 em Criptomoeda ether ( ETH ) após explorar um feed de preços do projeto de empréstimo baseado em ethereum bZx.

O ataque – o segundo em menos de uma semana – começou logo após as 03:00 UTC de terça-feira, quando os invasores aparentemente fizeram um empréstimo rápido de 7.500 ETH (aproximadamente US$ 1,98 milhão), usando 3.518 ETH (~$ 939.300) para comprar a stablecoin sintética USD sUSD do emissor, que eles então postaram como garantia para um empréstimo bZx, de acordo compara um analista no Twitter.

Eles então usaram 900 ETH (~$240.000) para aumentar o valor do sUSD por meio de um feed de preço integrado do provedor de liquidez Kyber Network até que a stablecoin do dólar atingiu o pico de $2. Usando essa garantia inflacionada, eles fizeram outro empréstimo de 6.796 ETH (aproximadamente $1,8 milhões) que foi usado para pagar o empréstimo original de 7.500 ETH , embolsando os 2.378 ETH restantes.

O valor total roubado é de aproximadamente US$ 633.000, segundoÍndice de preços do Ether da CoinDesk. No total, o ataque levou pouco mais de um minuto do começo ao fim. Os exploradores deixaram um empréstimo aberto com metade da garantia necessária agora que o sUSD retornou à sua indexação ao dólar.

O montante total de ether bloqueado em contratos de empréstimo bZx caiu quase pela metade, de 40.000 ETH (~$ 10,7 milhões) para 23.000 ETH (~$ 6,1 milhões) desde que a exploração ocorreu, de acordo com o site de estatísticas Pulso DeFi.

A conta oficial do Twitter do bZxconfirmado às 04:38 UTC, o projeto suspendeu a negociação após detectar "transações suspeitas usando empréstimos rápidos e negociação no Synthetix". Um porta-voz do bZx confirmou no canal do grupo no Telegram que a própria empresa, e não qualquer um dos usuários da plataforma, cobriria o déficit.

O ataque ocorreu dias após a queda do bZxvítimapara um ataque semelhante baseado em empréstimo rápido, onde mais de US$ 350.000 em criptomoedas foram extraídos da plataforma. Não está claro se os dois ataques foram realizados pela mesma pessoa ou grupo.

O que são empréstimos rápidos?

A grande maioria das facilidades de empréstimo DeFi dependem de empréstimos supercolateralizados: os tomadores geralmente só podem tomar emprestado cerca de 75 por cento do valor de sua garantia. Embora isso incentive os usuários a pagar os empréstimos, também exige que os credores tenham liquidez muito alta — às vezes em uma gama diversificada de ativos — para liquidar os empréstimos rapidamente.

Empréstimos flash são instrumentos que permitem que os traders liquidem os empréstimos em nome do credor. Funcionam fazendo com que o trader tome um empréstimo do credor – dessa vez sem postar nenhuma garantia – e então pague a dívida do mutuário e colete o depósito. Usando o depósito, eles podem pagar o empréstimo original e embolsar os fundos restantes.

Os empréstimos rápidos já estavam disponíveis em outros projetos DeFi, como a plataforma de empréstimos sem custódia Aave Protocol, que tem oferecidoeles desde o começo do ano.

A bZx lançou seus próprios instrumentos de empréstimo flash somente na segunda-feira. O CEO Tom Bean defendeu a decisão de introduzir empréstimos flash na plataforma. "Por todos os relatos, o código de empréstimo flash na bZx não foi o que permitiu esse ataque. Foi apenas uma ferramenta usada que funcionou corretamente e poderia ter sido trocada por empréstimos flash DYDX e Aave ", ele escreveu no canal Telegram da empresa.

Kyle Kistner, diretor visionário e líder de operações da bZx, confirmou, também no Telegram, que o hack do empréstimo rápido era "completamente tratável". Ele destacou que a bZx aceleraria os planos de integrar a Chainlink para diversificar os feeds de preços e evitar que manipulações de oráculos acontecessem novamente.

Um representante da bZx disse ao CoinDesk que a equipe estava tentando resolver o exploit com sua equipe de engenheiros. Bean e Kistner não retornaram imediatamente as ligações para comentar.