ETH:金色觀察 | 一招“攻擊”15秒內獲利超36萬美元 多個DeFi明星項目卷入

也許這個世界終歸是屬于聰明人的。

近日DeFi世界就遭到了聰明人的“攻擊”（exploit）。 2月16日，DeFi項目bZx被某個人或者團隊利用規則上的漏洞，在DeFi項目間騰挪套利，15秒內（一個以太坊區塊時間）獲得36萬美元的收益。多個DeFi明星項目如Compound，DyDx，Uniswap，kyber，bZx均卷入其中。

除Kyber外其余四個項目均位列DeFi前十，數據來源defiplus

事情經過

金色晨訊 | 9月7日隔夜重要動態一覽:21:00-7:00關鍵詞：阿根廷、BTC、澳大利亞

1.阿根廷國家移民局遭到勒索軟件攻擊而被要求支付362萬美元BTC贖金。

2.兩名Electrum軟件錢包用戶報告丟失大量比特幣。

3.研究人員：犯罪分子正在使用“獨家采礦”進行比特幣洗錢。

4.觀點：美國經濟復蘇或使人們對BTC等避險資產的需求下降。

5.區塊鏈平臺Lygon將實現澳大利亞銀行擔保數字化。[2020/9/7]

據Trustnode和Hydro報道，“攻擊”利用了各個DeFi項目的優缺點，步驟分為六步。

第一步，從dydx 0閃電貸（flashloan）借出1萬ETH。所謂“閃電貸”，就是不需要任何抵押物，只要借貸和還款在一個區塊時間內（以太坊上為15秒）完成即可。

金色午報 | 3月24日午間重要動態一覽:7:00-12:00關鍵詞：區塊鏈應用、代幣安全、比特幣上漲。

1.北京副中心政務服務大廳建設將運用區塊鏈等最新科技。

2.廣州市全力推進區塊鏈+AI+食品溯源智能監管。

3.福建出臺十二條措施鼓勵企業和高校開展區塊鏈等技術攻關和應用。

4.瑞康醫藥旗下吉祥天區塊鏈醫藥健康服務平臺上線。

5.山東省廉凱：提升區塊鏈等應用場景支撐能力全力打造“中國算谷”。

6.安全警告：第三方代幣發行平臺或暗留后門代碼增發并竊取代幣。

7.印度加密交易所CoinDCX完成300萬美元A輪融資。

8.美國足球明星：多考慮“比特幣和美元之間的匯率”。

9.BTC在6500美元上方震蕩調整 BSV漲幅超5%。[2020/3/24]

第二步，把借出來的1萬ETH中的一半即5500ETH存入Compound，借出112 WBTC。

分析 | 金色盤面：FGI恐慌指數上升至24:金色盤面綜合分析：FGI恐慌指數上升至24，價格的上漲讓投資者恢復了對市場的信心，人氣有所回升。從盤面來看BTC壓力位在6640美元，目前多空雙方陷入僵持，仍需注意風險控制。[2018/8/19]

第三步，把剩下的4500ETH中的1300 ETH存入bZx，開5倍杠桿借出5637 ETH。

第四步，將這5637 ETH兌換為WBTC，因為bZx接入的預言機為Kyber，流動性來自Kyber Reserve，Kyber Reserve又鏈接至Uniswap WBTC pool，導致Uniswap WBTC價格被拉高，獲得51.34 WBTC

金色財經獨家分析 區塊鏈助力廣州創建金融風險監測防控中心 形成金融風險監測防控的“廣州模式”:今日，廣州市金融工作局舉辦《廣州市決勝防控金融風險攻堅戰三年行動計劃（2018-2020年）》新聞發布會。發布會上，局長邱億通表示，具體工作重點之一是利用區塊鏈等技術創新建設廣州金融風險監測防控中心。今日，國務院印發進一步深化福建、天津、廣東自由貿易試驗區改革開放方案的通知，在依法合規前提下，加快區塊鏈、大數據技術的研究和運用。此番，廣州在區塊鏈領域再度發力，將有助于廣州確立廣州在我國成為區塊鏈產業重地的地位，同時推動區塊鏈技術在各行各領域內的應用。[2018/5/24]

第五步，把Compound借出來的112 wBTC在Uniswap WBTC pool高價賣出（第四步把價格拉高了），獲得 6800 ETH

第六步，將3200 ETH（未用過）+ 6800 ETH [步驟5中賣出112 WBTC] = 10000ETH還給dydx

以太坊區塊高度9484688上的交易記錄

上面所有這些交易都在一個以太坊區塊（15秒內）完成。

最終從bZx旗下的交易平臺Fulcrum.trade提取ETH。隨后，bZx已關閉其Fulcrum交易平臺進行維護，bZx聯合創始人Kyle Kistner表示，一部分ETH已經丟失。據分析，“攻擊者”盈利約36萬美元。

事件后續

據Defiplus數據，這次攻擊事件似乎對bZX沒有什么影響。2月16日，bZX中鎖倉的ETH減少4500枚，想必有“攻擊者”提取的功勞。

不過，僅僅經過一天，2月17日bZX中鎖倉的ETH增加了近1.4萬枚，總額達到4.2萬枚。

對于此次事件，bZx也做出了回應，bZx表示用戶損失為零，從協議角度看只是有人借了一筆貸款，從借款人角度看，和其他借款沒有什么區別。貸款者與其他貸款一樣要支付利息。實際上，它目前正在向貸出方支付很高的利率。只要它是永久借款人，對貸方來說就是一個很大的福音。

攻擊者目前剩下60萬個wBTC抵押品。我們將使用它來流轉利息和退出流動性給現有的iETH持有者。我們將使用管理員密鑰來完成。對于我們來說，這是一個非常困難的決定，但不能掉以輕心。

目前，基于存在虧損的想法，iETH供應出現了恐慌和出逃。但是，只要我們有這名借款人并確保他們繼續支付利息，那么這筆資金就很健康，而且將繼續如此。

我們將盡快發布更詳細的報告。現在，我們想向用戶保證這筆資金實際上是安全的。任何貸方都不會受到攻擊的影響。

因為，bZX用到了管理員密鑰來凍結資金，影響到了不少人對DeFi的疑慮。

萊特幣創始人李啟威在推特上表示，這就是我不相信DeFi的原因。這是兩個世界中最糟糕的。大多數DeFi可以被一個中心化的部門關閉，所以它只是一個去中心化的“戲院”。然而，除非我們增加更多的中心化，否則沒有人能夠撤銷黑客攻擊或漏洞利用。

Tags：ETHBTCBZX區塊鏈ethnicitytBTC價格BZX價格區塊鏈存證怎么操作

XLM