BZX:bZx事件引發對DeFi平臺風險管理的思考

最近，一段關于一個絕頂聰明的人在bZx上的贏得了約值35萬美元ETH收益的新聞，一下子在幣圈炸開了鍋，所有知名的區塊鏈媒體平臺都轉發了這段新聞，很多群友對操作過程提出了疑問，很多群組對此展開了熱烈的討論，令Flashloan這個名字在幣圈如雷貫耳，加密貨幣愛好者也終于弄清楚了許多之前從來不關心的DEFI應用及其功能，其效果遠遠大于為DeFi所做的宣傳推廣。

法院裁決將bZx DAO歸類為普通合伙企業:金色財經報道，在最新的法院判決中，法院將bZx DAO歸類為普通合伙企業。它指出，原告提供了足夠的事實，使持有DAO治理代幣的被告有資格成為普通合伙企業的成員。因此，根據加州合伙法，他們有理由對企業的義務負責。

在周一的裁決中，法院同意原告的立場，即DAO代幣持有人對協議投資者負有“注意義務”。該裁決認為，DAO代幣持有人未能采取足夠措施確保足夠的安全性，從而預防黑客攻擊。

據了解，去年11月bZx遭遇黑客攻擊損失5500萬美元，部分受損用戶向法院提起集體訴訟，要求將bZx DAO代幣持有人作為被告。（The Block）[2023/3/28 13:31:12]

圖片來源：互聯網到目前為止，雖然對這個操縱者的具體操作流程仍眾說紛紜，所以，我們在這里只劃重點：1.操縱者通過Flashloan閃電貸在DYDX平臺設定智能合約無抵押借了10000ETH；2.使用其中5500ETH在Compound借出112wBTC；3.在bZx用1300ETH有抵押借入5637.6WETH并沽空，把WBTC/WETH的兌換率從38拉高到約109，然后按照這個匯率在KyberSwap+Uniswap兌換了51.3WBTC。4.在Uniswap把WBTC拋售兌換成WETH,兌換率平均為61.4，之后完成dYdX的智能合約把10000ETH還了，剩下的ETH就是操縱者的利潤，約值35萬美金。令人震撼的是，整個貸款和還款過程必須在13秒內，也就是一個區塊內完成，換句話說，這個復雜的操作過程就是在電光火石之間完成。魔笛手技術開發社區的群友表示，十秒便把錢轉走了，信用貸能這么玩。直覺不行！我們請教了專家群友蔣旭憲先生，并參考了他寫的專業文章bZxHackFullDisclosure(WithDetailedProfitAnalysis)，才大致搞清楚上面的操縱過程，不過，我們仍然有很多疑問，并就這些問題在Soteria社區展開了熱烈的討論：SoteriaSSDE開發社區筆記2020.2.18.蘇博明-金融大觀園:bZx智能合約問題：當UniswapWBTC/ETH的兌換價從38被操縱拉高到109.8時，bZx上的抵押品應該不足，爆倉了，但bZx智能合約沒有任何要求增加抵押品的保護措施，也沒有清算行動，這是一個隱藏的問題。Claire:操縱者在電光火石之間完成這么復雜的操作，那些懂金融又懂編程的黑客現在真是如入無人之境，簡直是空手套白狼......蘇博明-金融大觀園:全球不多于10個吧？Claire:?感覺DEFI那班人象在玩游戲啊！兌換率在幾秒內拉高幾倍，然后用這個兌換價來找你兌換，人工智能在目前階段應該還不會做出反應吧？這時候Kyberswap應該觸發進一步的檢查，人會停一停，想一想，人工智能會嗎？蘇博明-金融大觀園:我認為現在DeFi金融資產，這些風險管理都沒做好，主要矛盾是這些資產都是線上的資產，使用范圍都很狹小，只能交易，投資，借貸。簡單來說這個DeFi風險管理沒有對標傳統的金融機構，主要矛盾是資產上鏈沒門，只要資產沒有上鏈，風險管理和傳統的接不上。Claire:操縱者就是利用流動性缺乏的情況下，拉高匯率然后兌換出貨。蘇博明-金融大觀園:是的，我也是這么理解的。但是如果想多一點的話就是鏈上資產沒有完善，所以才有那么多漏洞價格問題。點智成金資本-林健:我們現在只是把區塊鏈交易作為資本的一級半市場。Claire:流動性低，應用范圍窄，是其中一個兌換率可以在短時間內被拉高的原因，DeFi平臺還允許無抵押貸款。。。蘇博明-金融大觀園:我有篇文章寫的是我中有你，你中有我，就是跟傳統金融機構要合得來，不然我們玩不過他們的。Claire:這個是平臺的風險管理問題。總結，DeFi是以太坊今年的重頭戲，肩負振興以太坊的重任。那些既懂金融又懂編程的天才，在DeFi領域可以翻云覆雨，在電光火石的十幾秒之間，贏取幾十萬美金，我們為他們感嘆之余，是否有想過，把自己的財富存放在這些儲備池里，風險有多高呢？注：bZxHackFullDisclosure(WithDetailedProfitAnalysis)

卡巴斯基：針對bZx的釣魚攻擊可能由Lazarus黑客組織實施，該組織與朝鮮有密切聯系:11月12日消息，美國網絡安全公司卡巴斯基針對保證金交易借貸平臺bZx私鑰泄露事件調查發現，該次針對bZx的網絡釣魚攻擊很可能是由 Lazarus（Bluenoroff Advanced Persistent Group）組織執行，該組織長期以來一直攻擊金融機構和加密貨幣交易所，與朝鮮有密切聯系，被稱為國家支持的黑客組織。卡巴斯基調查分析了Lazarus在2017年、2019年和2020年進行的一些攻擊，發現該次私鑰事件的網絡釣魚郵件與之前攻擊所使用的工具具有相似性。

此前消息，11月5日，保證金交易借貸平臺bZx在Polygon和BSC部署的私鑰被泄露，造成超過5500萬美元資金被盜，該次攻擊是針對bZx開發者的網絡釣魚攻擊。[2021/11/12 21:45:39]

動態 | 1inch團隊：bZx拒絕停止智能合約并打算隱藏整個事件:加密貨幣兌換聚合器公司1inch.exchange官方推特今日發布詳述其與bZx團隊接觸過程的文章，文中提到，1月11日，bZx的Fulcrum平臺在以太網上發布其FlashFlash貸款功能，我們發現其中有一筆交易可能會竊取3個池中的250萬美元用戶資金。于是向Fulcrum提供了指向黑客證明交易的鏈接，希望他們能夠立即停止其智能合約。但Fulcrum方拒絕了，他們認為在構建和排隊補丁的過程中，有必要冒著用戶資金損失的風險，以避免造成負面關注。Fulcrum團隊還試圖用35000美元使我們沉默并隱藏整個事情。對此，bZx聯合創始人Kyle Joseph Kistner在推特上留言稱，1inch團隊威脅了我們。隨后1inch回應稱，我們并沒有行威脅之事，我們只是說你不應該在截圖上公開我們的照片和名字，否則我們有辦法阻止。[2020/2/21]

動態 | bZx遭受二次攻擊，需要對DeFi智能合約進行徹底審計:昨日去中心化金融（DeFi）貸款協議bZx再次被攻擊后，該平臺被關閉并離線，開發人員試圖修復合同，保證惡意行為體無法執行另一次攻擊。第一次攻擊讓加密社區措手不及，因為flashloans是DeFi平臺提供的新產品。第二次攻擊表明，需要對DeFi智能合約進行非常徹底的審計。bZx在兩次攻擊中都凍結了平臺，這一事實表明，即使將其作為DeFi進行銷售，但最終它是一個集中化平臺，開發者可以使用“管理密鑰”來關閉平臺上的交易。（Bitcoinis）[2020/2/19]

Tags：BZXEFIDEFIDEFbZx Protocolyefi幣最近怎么了Axis DeFiDefiskeletons

Gateio