也许这个世界终归是属于聪明人的。
近日DeFi世界就遭到了聪明人的“攻击”(exploit)。 2月16日,DeFi项目bZx被某个人或者团队利用规则上的漏洞,在DeFi项目间腾挪套利,15秒内(一个以太坊区块时间)获得36万美元的收益。多个DeFi明星项目如Compound,DyDx,Uniswap,kyber,bZx均卷入其中。
除Kyber外其余四个项目均位列DeFi前十,数据来源defiplus
事情经过
金色晚报 | 3月23日晚间重要动态一览:12:00-22:00关键词:美联储、支付宝、标普500指数、BSV
1. 美联储:将不限量按需买入美债和机构住房抵押贷款支持证券(MBS)。
2. 标普500指数抹去自特朗普上任以来的所有涨幅。
3. 数据:BSV匿名算力占比一度超50%,引发安全性质疑。
4. Block.one发布区块链应用程序构建教程。
5. Telegram“搬砖套利”最新案例,单一用户被370个ETH。
6. 媒体:支付宝已参与央行数字货币的四大职能。
7. 山东:提升区块链等应用场景支撑能力,全力打造“中国算谷”。
8. 河北印发打击工作要点 重点打击“虚拟货币”等活动。
9. 比特币日内震荡,最高涨至6600美元,最低跌至5686美元,现报6286美元。[2020/3/23]
据Trustnode和Hydro报道,“攻击”利用了各个DeFi项目的优缺点,步骤分为六步。
金色晨讯 | 1月25日隔夜重要动态一览:21:00-7:00关键词:新华网、巴基斯坦、推特、乌克兰
1. 新华网:纵观全年渝中经济工作,“区块链产业特色发展”值得点赞;
2. 巴基斯坦联邦调查机构查封两个加密货币矿场;
3. 推特封杀XRP Tip Bot帐户 称其违反推特规定;
4. 多数中东精英对比特币持怀疑态度;
5. 乌克兰财政部长:乌克兰将禁止加密货币钱包用于非法资金;
6. 英国兰开夏郡板球俱乐部将通过区块链发行本赛季的门票;
7. 达沃斯专家:由于担心被排除在新兴的加密行业之外 各国央行将重点放在加密货币上;
8. BTC全球均价8453美元,当前市值1536.89亿美元,前十加密货币涨多跌少。[2020/1/25]
第一步,从dydx 0闪电贷(flashloan)借出1万ETH。所谓“闪电贷”,就是不需要任何抵押物,只要借贷和还款在一个区块时间内(以太坊上为15秒)完成即可。
金色晨讯 | 工信部回应人大代表 正加快区块链等产业的引导,印度国防部长:区块链等技术有增强国防的潜力:1.人民日报:推动区块链安全有序发展;
2.BTC触及9500美元;
3.国务院发展研究中心李广乾:区块链已开始与实体经济产业深度融合,迎来“百花齐放”的大时代;
4.中国信通院云计算与大数据所所长何宝宏:要把依法治网落实到区块链管理中,推动区块链安全有序发展;
5.印度国防部长:区块链等技术有增强国防的潜力;
6.中国证券报:区块链概念股将继续短期修复,企稳后大概率将会呈现逐级上升趋势;
7.BitMEX:上周用户邮箱遭泄因内部流程失败;
8.加密交易所Einstein宣布将关闭,加拿大证券监管机构已获得其控制权;
9.北京政府打造“目录区块链” 10分钟解决数据共享难题;
10.包括微软、英特尔和IBM在内的企业引入了一个代币标准;
11.国际证监会组织称现有证券规则可能适用于Libra项目;
12.?EOS REX 资金池耗尽,暂无法卖出 REX 及租赁 CPU;
13.央行清算总中心与华为公司签署战略合作协议;
14.财政部原副部长朱光耀:数字经济、数字货币和社交媒体的制度制订已迫在眉睫;
15.工信部回应人大代表 正加快区块链等产业的引导;
16.FATF发布了关于数字身份的指导草案 内容提及DLT技术和交易所。[2019/11/5]
第二步,把借出来的1万ETH中的一半即5500ETH存入Compound,借出112 WBTC。
金色财经现场报道 EOS引力区联合创始人李万才 :每个区块链都是一个经济体:6月10日,清华数据院区块链产业发展论坛在清华大学召开。EOS引力区联合创始人李万才作《区块链共识经济体 》的主题演讲。他提到:“每个区块链都是一个经济体,它需要包含共识机制、通证模型和社区活力三要素”,他认为区块链的灵魂在社区,没有生态载体和社区生态的项目,和互联网项目没有区别。[2018/6/10]
第三步,把剩下的4500ETH中的1300 ETH存入bZx,开5倍杠杆借出5637 ETH。
第四步,将这5637 ETH兑换为WBTC,因为bZx接入的预言机为Kyber,流动性来自Kyber Reserve,Kyber Reserve又链接至Uniswap WBTC pool,导致Uniswap WBTC价格被拉高,获得51.34 WBTC
第五步,把Compound借出来的112 wBTC在Uniswap WBTC pool高价卖出(第四步把价格拉高了),获得 6800 ETH
第六步,将3200 ETH(未用过)+ 6800 ETH 【步骤5中卖出112 WBTC】 = 10000ETH还给dydx
以太坊区块高度9484688上的交易记录
上面所有这些交易都在一个以太坊区块(15秒内)完成。
最终从bZx旗下的交易平台Fulcrum.trade提取ETH。随后,bZx已关闭其Fulcrum交易平台进行维护,bZx联合创始人Kyle Kistner表示,一部分ETH已经丢失。据分析,“攻击者”盈利约36万美元。
事件后续
据Defiplus数据,这次攻击事件似乎对bZX没有什么影响。2月16日,bZX中锁仓的ETH减少4500枚,想必有“攻击者”提取的功劳。
不过,仅仅经过一天,2月17日bZX中锁仓的ETH增加了近1.4万枚,总额达到4.2万枚。
对于此次事件,bZx也做出了回应,bZx表示用户损失为零,从协议角度看只是有人借了一笔贷款,从借款人角度看,和其他借款没有什么区别。贷款者与其他贷款一样要支付利息。实际上,它目前正在向贷出方支付很高的利率。只要它是永久借款人,对贷方来说就是一个很大的福音。
攻击者目前剩下60万个wBTC抵押品。我们将使用它来流转利息和退出流动性给现有的iETH持有者。我们将使用管理员密钥来完成。对于我们来说,这是一个非常困难的决定,但不能掉以轻心。
目前,基于存在亏损的想法,iETH供应出现了恐慌和出逃。但是,只要我们有这名借款人并确保他们继续支付利息,那么这笔资金就很健康,而且将继续如此。
我们将尽快发布更详细的报告。现在,我们想向用户保证这笔资金实际上是安全的。任何贷方都不会受到攻击的影响。
因为,bZX用到了管理员密钥来冻结资金,影响到了不少人对DeFi的疑虑。
莱特币创始人李启威在推特上表示,这就是我不相信DeFi的原因。这是两个世界中最糟糕的。大多数DeFi可以被一个中心化的部门关闭,所以它只是一个去中心化的“戏院”。然而,除非我们增加更多的中心化,否则没有人能够撤销黑客攻击或漏洞利用。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。