编者注:原标题为《bZx事件的启示》
黑客在ETHDenver大会期间对bZx发起攻击,就像是对DeFi精心策划的一次精准伏击。虽然损失的金额不大,但它显然对过去两天的市场行情产生了一些影响。
什么是bZx事件?
虽然很多人称bZx事件为“攻击事件”,但它本质上更像是利用DeFi协议和产品的一次套利操控。“攻击者”充分利用DeFi的多个协议和产品的功能,以很低成本获得资金,通过操纵价格,实现获利。此次操作十几秒,也就是以太坊一个区块的时间。它发生在2020年2月15日以太坊区块高度9484688期间。
整个操作大致如下:
第一步,通过闪贷从dYdX中借出了10,000个ETH。
去中心化流动性协议Kyber Network宣布支持bZx代币:7月16日,去中心化流动性协议Kyber Network官方博客发文,宣布支持bZx协议代币BZRX。早前消息,去中心化借贷平台bZx代币BZRX已于7月13日开始解锁。[2020/7/16]
第二步,当“攻击者”拿到10,000个ETH后,它将其中5,500个ETH存入Compound作为抵押品,并借出112个wbtc。这112wbtc为后续抛售做准备。
第三步,将1,300个ETH存入bZX,发起bZx保证金交易,借入5637.6个ETH,并通过Kyber的Uniswap储备库,兑换获得51.3个wbtc,导致产生极大的滑点。
第四步,wbtc的价格在Uniswap上被拉高3倍多,然后攻击者将从Compound借来的112wbct抛售,这导致产生6871.4个ETH的回报。
DeFi贷款协议bZx公布BZRX地址,代币将于7月13日开始释放:7月12日消息,DeFi贷款协议bZx在推特表示,其代币BZRX地址已经确定为0x56d811088235F11C8920698a204A5010a788f4b3,目前正在等待更新代币logo。
此前报道,bZx团队决定将分配给众筹所用的代币置于一个为期4年的锁定合约,最短生效期(cliff)为6个月,BZRX代币释放的时间为美东时间7月13日10时,即北京时间7月13日22时开始计算。不过,目前团队并没有公布更多信息,包括可购买该代币的交易平台以及代币价格等。[2020/7/12]
第五步,攻击者归还10,000ETH的dYdX闪贷。那么,这时攻击者的余额有71.4ETH。其中的6871.4ETH和未动用的3200ETH,加起来一共是10,071.4ETH。因此,偿还闪贷后,还剩余71.4ETH。此外,攻击者还剩余Compound和bZx的头寸,其中Compound里有5,500WETH抵押品和112wbtc债务,bZx有4337WETH债务和51wbtc的抵押。根据市场价格,攻击者可以用大约4300ETH便可兑换出112wbtc,那么,也就是说攻击者归还112wbtc换回5500WETH,也就是1200ETH,那么加上之前71.4ETH,攻击者大约获利1,271.4个ETH,按照当时ETH280美元左右的价格,攻击者大约获利在35万美元左右。
动态 | bZx使用管理员密钥取消智能合约时间锁功能:bZx 宣布已使用管理员密钥移除了智能合约中的时间锁,以应对最近频繁发生的黑客套利事件。bZx 称,一旦平台通过测试,将会恢复时间锁功能。据此前报道, bZx 最近频繁遭受两次黑客套利行为,两次攻击的主要是因为 Uniswap 的价格的剧烈变化最终导致资产的损失,这本该是正常的市场行为,但是通过恶意操纵市场,攻击者可通过多种方式压低价格,使项目方造成损失。[2020/2/19]
无须许可的可组合性的另一面
DeFi是无须许可且可组合的,这些“货币乐高”可相互支持。好处是,利用其他货币协议迅速构建出产品和服务。以Maker的稳定币Dai为起点,构建出了Compound的借贷、Uniswap和kyber的去中心化交易、dydx保证金交易、pooltogether的加密乐透、dAppHub的Chai代币......为用户提供了全新的开放金融服务。
动态 | 尽管DEX交易量飙升,但BzX漏洞事件凸显行业隐忧:去年,以太坊上的DEX交易额超过23亿美元,而2020年有望轻松超越。根据Dune Analytics的数据,以太坊DEX过去7天的交易额达到1.19亿美元,同比增长71%。与此同时,为了满足不断增长的需求,新的DEX也在不断涌现。尽管如此,DEX行业依然存在隐忧。2月15日发生的DeFi贷款协议BzX漏洞事件引发了激烈的争论,争论的焦点是去中心化的交易协议是否真的是去中心化的,还是一个“紧急开关”的存在会使所有这些声明无效。此前,BzX的一个合约被操纵,损失了约35万美元的ETH,而后该合约被关闭。注:BzX是第七大DeFi协议,锁定了超过1800万美元的资金。(Bitcoin.com)[2020/2/18]
这一独特的属性属于DeFi,但同时它也是双刃剑,一旦其中的某个货币协议出问题,也会影响其它协议或产品。这次零成本的“攻击”运用了不同DeFi协议和产品的闪贷、保证金交易、抵押借贷、去中心化交易等功能,其中涉及到协议和产品,几乎是DeFi领域的半壁江山,dYdX、Compound、Uniswap/kyber、bZx等。
这次“攻击”之所以能实现就是基于这些无须许可的DeFi协议和产品的可组合性。这次攻击的厉害之处在于攻击者并没有动用自有资金,完全是通过利用DeFi协议和产品进行操作。其中关键的是闪贷不用抵押,只要在一个以太坊区块内偿还即可。由于不用抵押资产,这也是本次bZx“攻击”事件可以实现空手套白狼的关键起点,此外5倍的保证金交易导致攻击者可以低成本借入大量的代币。不过要最终达成目的,“攻击者”还需要通过价格操纵来实现,其核心是WBTC/ETH的价格操纵,通过拉升WBTC,然后将其抛售产生收益。
其实此类事件不是第一次发生。蓝狐笔记之前也提到synthetix曾发生过的“攻击事件”《DeFi与加密世界的经济危机》。
去中心化预言机和DeFi保险需求的增加
由于DeFi具有潜在安全性的问题,bZx事件让去中心化预言机和DeFi保险再次进入人们的视野。在此次事件后,bZx计划与去中心化预言机项目Chainlink合作,以防止价格操控。除了Chainlink,其他的去中心化预言机也会有需求,毕竟单个预言机的风险相对较高。目前Tellor、Dos、Band、Nest等都在探索去中心化预言机的方向。关于去中心化预言机的相关内容可以参考之前的文章《ChainLink、预言机与两个世界的连接》、《一文读懂Tellor:PoW的预言机有什么不一样?》。
DeFi保险也日益重要。鉴于DeFi潜在的安全风险,DeFi保险可以打消不少用户参与的担忧,像NexusMutual、Opyn等DeFi保险项目开始为用户提供保险服务。根据NexusMutual的披露,当前一共有6位bZx用户在NexusMutual上购买了保险,一共价值8.7万美元的保险,如有损失可获理赔。此外,Opyn也开始为Compound上的用户质押资产提供保险服务。
随着DeFi领域锁定资金量级的增加,去中心化预言机和DeFi保险的需求也会随之相应增加。------风险警示:蓝狐笔记所有文章都不能作为投资建议或推荐,投资有风险,投资应该考虑个人风险承受能力,建议对项目进行深入考察,慎重做好自己的投资决策。
来源:哈希派作者:LucyCheng数学天才WeiDai、哈希现金发明者AdamBack是中本聪首次现身前主动联络的密码学专家;而我们今天要介绍的JamesA.
1900/1/1 0:00:00作者:肖磊看市作为全球经济绝对的主力,美国已经着手启动应对危机,美联储并没有等到本月中旬的议息时间,突然紧急降息50个基点.
1900/1/1 0:00:00比特币的采矿奖励即将减半,这一直被视作比特币看涨事件。由于减半使比特币的通货膨胀率下降,这会导致比特币的交易价格上涨。曾经发生过的减半事件也能佐证这一事实.
1900/1/1 0:00:00来源:金色财经作者:AlexGladstein编译:Maxwell本期文章反面论证比特币的重要性,从一个“没有比特币的2040年,世界是什么样”的科幻世界开始讲起,反推比特币的好处.
1900/1/1 0:00:00这次新冠肺炎,对中国和世界经济的伤害是巨大的。一开始还有人隔岸观火,但如今确诊病例已经遍及除南极洲之外所有大洲.
1900/1/1 0:00:00来源:碳链价值作者:白夜FCoin不仅给给加密货币行业敲响了警钟,同样整个互联网行业也应该有所警觉,有些互联网创业者采取的竞争方式就是不断融资补贴用户,通过「烧钱」占据市场领先位置.
1900/1/1 0:00:00