BZX:bZx事件的啟示：利用DeFi協議和產品的一次套利操控

編者按：本文來自藍狐筆記，Odaily星球日報經授權轉載。黑客在ETHDenver大會期間對bZx發起攻擊，就像是對DeFi精心策劃的一次精準伏擊。雖然損失的金額不大，但它顯然對過去兩天的市場行情產生了一些影響。什么是bZx事件？

雖然很多人稱bZx事件為“攻擊事件”，但它本質上更像是利用DeFi協議和產品的一次套利操控。“攻擊者”充分利用DeFi的多個協議和產品的功能，以很低成本獲得資金，通過操縱價格，實現獲利。此次操作十幾秒，也就是以太坊一個區塊的時間。它發生在2020年2月15日以太坊區塊高度9484688期間。整個操作大致如下：第一步，通過閃貸從dYdX中借出了10,000個ETH。第二步，當“攻擊者”拿到10,000個ETH后，它將其中5,500個ETH存入Compound作為抵押品，并借出112個wbtc。這112wbtc為后續拋售做準備。第三步，將1,300個ETH存入bZX，發起bZx保證金交易，借入5637.6個ETH，并通過Kyber的Uniswap儲備庫，兌換獲得51.3個wbtc，導致產生極大的滑點。第四步，wbtc的價格在Uniswap上被拉高3倍多，然后攻擊者將從Compound借來的112wbct拋售，這導致產生6871.4個ETH的回報。第五步，攻擊者歸還10,000ETH的dYdX閃貸。那么，這時攻擊者的余額有71.4ETH。其中的6871.4ETH和未動用的3200ETH，加起來一共是10,071.4ETH。因此，償還閃貸后，還剩余71.4ETH。此外，攻擊者還剩余Compound和bZx的頭寸，其中Compound里有5,500WETH抵押品和112wbtc債務，bZx有4337WETH債務和51wbtc的抵押。根據市場價格，攻擊者可以用大約4300ETH便可兌換出112wbtc，那么，也就是說攻擊者歸還112wbtc換回5500WETH，也就是1200ETH，那么加上之前71.4ETH，攻擊者大約獲利1,271.4個ETH，按照當時ETH280美元左右的價格，攻擊者大約獲利在35萬美元左右。無須許可的可組合性的另一面

bZx回應用戶挖礦獎勵結果有差異 稱計算方式可更改問題不大:10月17日早間，去中心化借貸平臺bZx官方發推稱，在流動性挖礦中，官方計算的是三周的挖礦獎勵，而不是三個一周的挖礦獎勵。該計算方式導致了一些早期用戶收到的獎勵結果與預期獎勵結果之間存在一定差異。官方稱，如果社區治理希望在將來糾正這一點，是可以做更改實現的。剛剛，bZx官方再次更新推文稱，而這最終影響是代幣在流動性挖礦計劃的參與者中分布更廣。官方稱：“我們不認為這是一個嚴重的問題”。[2020/10/17]

DeFi是無須許可且可組合的，這些“貨幣樂高”可相互支持。好處是，利用其他貨幣協議迅速構建出產品和服務。以Maker的穩定幣Dai為起點，構建出了Compound的借貸、Uniswap和kyber的去中心化交易、dydx保證金交易、pooltogether的加密樂透、dAppHub的Chai代幣......為用戶提供了全新的開放金融服務。這一獨特的屬性屬于DeFi，但同時它也是雙刃劍，一旦其中的某個貨幣協議出問題，也會影響其它協議或產品。這次零成本的“攻擊”運用了不同DeFi協議和產品的閃貸、保證金交易、抵押借貸、去中心化交易等功能，其中涉及到協議和產品，幾乎是DeFi領域的半壁江山，dYdX、Compound、Uniswap/kyber、bZx等。這次“攻擊”之所以能實現就是基于這些無須許可的DeFi協議和產品的可組合性。這次攻擊的厲害之處在于攻擊者并沒有動用自有資金，完全是通過利用DeFi協議和產品進行操作。其中關鍵的是閃貸不用抵押，只要在一個以太坊區塊內償還即可。由于不用抵押資產，這也是本次bZx“攻擊”事件可以實現空手套白狼的關鍵起點，此外5倍的保證金交易導致攻擊者可以低成本借入大量的代幣。不過要最終達成目的，“攻擊者”還需要通過價格操縱來實現，其核心是WBTC/ETH的價格操縱，通過拉升WBTC，然后將其拋售產生收益。其實此類事件不是第一次發生。藍狐筆記之前也提到synthetix曾發生過的“攻擊事件”《DeFi與加密世界的經濟危機》。去中心化預言機和DeFi保險需求的增加

DeFi借貸協議bZx將于9月1日開啟流動性挖礦:8月31日，DeFi借貸協議bZx官方宣布，將于9月1日開啟流動性挖礦。此前消息，在bZx協議的通證經濟生態中，分為iToken、pToken和GovernanceToken（BZRX）三種。iToken是用于累積利息的通證，它代表了借貸池中的份額，隨著借方向其中支付利息，借貸池中的份額會不斷增加。iToken可以交易，用作抵押品，或是由開發人員組合成結構化產品。pToken是用于加杠桿的通證，它代表了某標的資產特定倍數的多頭或空頭頭寸。BZRX則是治理通證，為中繼節點收集交易手續費，有點像中心化交易平臺中有權益屬性的平臺幣。[2020/8/31]

由于DeFi具有潛在安全性的問題，bZx事件讓去中心化預言機和DeFi保險再次進入人們的視野。在此次事件后，bZx計劃與去中心化預言機項目Chainlink合作，以防止價格操控。除了Chainlink，其他的去中心化預言機也會有需求，畢竟單個預言機的風險相對較高。目前Tellor、Dos、Band、Nest等都在探索去中心化預言機的方向。關于去中心化預言機的相關內容可以參考之前的文章《ChainLink、預言機與兩個世界的連接》、《一文讀懂Tellor：PoW的預言機有什么不一樣？》。DeFi保險也日益重要。鑒于DeFi潛在的安全風險，DeFi保險可以打消不少用戶參與的擔憂，像NexusMutual、Opyn等DeFi保險項目開始為用戶提供保險服務。根據NexusMutual的披露，當前一共有6位bZx用戶在NexusMutual上購買了保險，一共價值8.7萬美元的保險，如有損失可獲理賠。此外，Opyn也開始為Compound上的用戶質押資產提供保險服務。隨著DeFi領域鎖定資金量級的增加，去中心化預言機和DeFi保險的需求也會隨之相應增加。

bZx新預言機規劃公布，最終將集成Chainlink、Band和Uniswap v2:曾受閃電貸攻擊的去中心化貸款協議 bZx再次發文總結了發生在 2 月 17 日的攻擊事件，并公開了對于調整集成的價格預言機的三步路線。第一階段，bZx將采用Chainlink預言機作為bZx的參考價格，bZx認為目前Chainlink是目前市場中最佳的去中心化預言機解決方案；第二階段，bZx將采用Chainlink和Band兩個數據源，bZx認為Band的預言機地理位置更適合亞洲市場，這也能分散他們的預言機風險；第三階段，bZx將采用Chainlink、Band和Uniswap v2作為預言機，將這三者的平均價格作為 bZx的參考價格，下一代的Uniswap的價格源將會提供以時間作為權重的價格數據，這也就意味著攻擊和操縱會需要更多的成本和時間。（bzx.network）[2020/3/10]

動態 | 受bZx事件影響，Fulcrum保險池或無法立即彌補損失:金色財經報道，最近的兩起針對DeFi貸款協議bZx的攻擊可能會對貸款和保證金交易平臺Fulcrum構成生存威脅。隨著攻擊消息的傳播，DAI和ETH池的利用率飆升至100%，阻止了任何進一步的取款。由于Fulcrum保險池無法立即彌補損失，用戶被建議盡快撤出資金。據此前消息，DeFi貸款協議bZx曾被非法利用，導致一部分ETH丟失，預計損失達35萬美元。而后再次遭遇攻擊，攻擊者或獲利64萬美元。在攻擊發生后的數小時內，DeFi生態中鎖定資產價值下跌了近1.42億美元。[2020/2/28]

Tags：BZXETHDEFIEFIbZx Vesting Tokeneth官網登錄入口PeakDeFiKingDeFi

DOT