Проект DeFi bZx експлуатується вдруге за тиждень, втрачає 630 тисяч доларів в ефірі

Зловмисники втекли з Криптовалюта ефіру ( ETH ) на суму 630 000 доларів після того, як використали ціновий канал кредитного проекту bZx на основі ефіру.

The напад – другий менш ніж за тиждень – почався одразу після 03:00 UTC у вівторок, коли зловмисники, очевидно, взяли миттєвий кредит у розмірі 7500 ETH (приблизно 1,98 мільйона доларів США), використовуючи 3518 ETH (~939 300 доларів США) для придбання синтетичного стейблкойну sUSD у емітента, який вони потім розмістили як заставу для позики bZx, відповідно аналітику в Twitter.

Потім вони використали 900 ETH (~240 000 доларів США), щоб збільшити вартість sUSD за допомогою інтегрованого каналу цін від постачальника ліквідності Kyber Network, доки доларовий стейблкоїн не підскочив до 2 доларів. Використовуючи цю завищену заставу, вони взяли ще один кредит у розмірі 6796 ETH (приблизно 1,8 мільйона доларів), який був використаний для повернення початкової позики в 7500 ETH , поклавши решту 2378 ETH.

Загальна сума викраденого становить приблизно 633 000 доларів США Індекс цін на ефір CoinDesk. Загалом атака тривала трохи більше хвилини від початку до кінця. Експлуататори залишили відкриту позику з половиною необхідної застави тепер, коли sUSD повернувся до своєї прив’язки до долара.

Згідно зі статистичним сайтом, загальна кількість ефіру, заблокованого в кредитних контрактах bZx, зменшилася майже вдвічі з 40 000 ETH (~10,7 млн ​​доларів) до 23 000 ETH (~6,1 млн доларів) з моменту експлойту. DeFi Pulse.

Офіційний акаунт bZx у Twitter підтверджено о 04:38 UTC проект призупинив торгівлю після того, як виявив «підозрілі транзакції з використанням флеш-кредитів і торгівлі на Synthetix». Представник bZx підтвердив у Telegram-каналі групи, що сама компанія, а не хтось із користувачів платформи, покриє дефіцит.

Атака сталася через кілька днів після падіння bZx жертва до подібної атаки на основі флеш-позики, коли з платформи було вилучено криптовалюти на суму понад 350 000 доларів США. Невідомо, чи обидва напади були здійснені однією особою чи групою.

Що таке швидкі кредити?

Переважна більшість кредитних закладів DeFi покладаються на позики з надлишковою заставою: позичальники зазвичай можуть позичити лише близько 75 відсотків вартості своєї застави. Незважаючи на те, що це стимулює користувачів повертати позики, це також вимагає від кредиторів дуже високої ліквідності – іноді в різноманітних активах – щоб швидко ліквідувати позики.

Миттєві позики — це інструменти, які дозволяють трейдерам ліквідувати позики від імені кредитора. Це працює так, що трейдер бере позику в позикодавця – цього разу без надання застави – потім повертає борг позичальника та отримує депозит. Використовуючи депозит, вони можуть повернути початкову позику та покласти решту коштів.

Флеш-позики вже були доступні в інших проектах DeFi, таких як платформа некастодіального кредитування Aave Protocol, яка пропонується їх з початку року.

bZx лише в понеділок запустив власні інструменти швидкого кредитування. Генеральний директор Том Бін захистив рішення запровадити флеш-кредити на платформі. «За всіма твердженнями, код флеш-позики на bZx не був тим, що дозволило цю атаку. Це був просто використаний інструмент, який функціонував правильно, і його можна було замінити на флеш-позики DYDX і Aave », — написав він у Telegram-каналі компанії.

Кайл Кістнер, головний інспектор і керівник операцій bZx, також підтвердив у Telegram, що злом флеш-позики був «цілком піддатливим». Він підкреслив, що bZx прискорить плани з інтеграції Chainlink , щоб диверсифікувати цінові канали та запобігти повторенню маніпуляцій з оракулами.

Представник bZx повідомив CoinDesk, що команда намагається вирішити проблему за допомогою команди інженерів. Бін і Кістнер не відразу відповіли на дзвінки для коментарів.