- Die Firma bZx hat ihr auf Ethereum basierendes Protokoll aufgrund eines weiteren Angriffs erneut pausiert. Die Verluste werden auf 2.388 ETH geschätzt.
- bZx hat einen vollständigen Bericht über den ersten böswilligen Angriff veröffentlicht, der zu einem Verlust von 350.000 Dollar in ETH führte.
Nach der Meldung eines weiteren bösartigen Angriffs, der zum Verlust von 350.000 Dollar in ETH führte, hat bZx seinen operativen Betrieb erneut eingestellt. Gemäß der Ethereum-basierten Plattform bZx registrierte das Protokoll am 17. Februar 2020 einen neuen Angriff. Der Angriff wurde auf einer anderen ihrer Handels- und Darlehensplattformen, Synthetix, durchgeführt.
bZx ist das Unternehmen hinter Fulcrum und Synthetix, dem Opfer des genannten Angriffs. Das Unternehmen schuf das dezentralisierte bZx-Protokoll, das seinen nativen Dapps den Handel und die Kreditvergabe auf Marge und Leverage ermöglicht.
Nach Angaben von bZx war das Synthetix-System nicht betroffen, aber eine der Plattform-Token „sUSD“ war beteiligt. Der Angreifer scheint die gleiche Art von Angriff wie bei Fulcrum verwendet zu haben. Er nutzte eine Schwachstelle in mehreren Protokollen aus, um nach Erhalt einer Sicherheitsleistung auf Synthetix einen Gewinn zu erzielen.
Bei diesem neuen Angriff werden die Verluste auf 2.388 ETH geschätzt, etwa 640.000 Dollar. bZx-Mitbegründer Kyle Kitstner sagte, der Angreifer habe erneut das Oracle manipuliert, das den Preis-Feed für die Synthetix-Plattform liefert. Es wurde ein Update für Fulcrum veröffentlicht, um einen Angriff mit dieser Methode zu verhindern. Darüber hinaus wird die Plattform die Oracles von Chainlink implementieren, um einen robusteren Preis-Feed zu erhalten, der weniger anfällig für Manipulationen ist.
https://twitter.com/bzxHQ/status/1229626207869657088
Obwohl das Unternehmen behauptet, dass es das Problem wieder beheben kann, wurde der Betrieb eingestellt.
Einzelheiten zum Post-Mortem Bericht: Welche Auswirkungen hatte der Angriff?
Am 17. Februar veröffentlichte bZx einen Post-Mortem Bericht über den Angreifer am Valentinstag. Der Bericht enthält detaillierte Informationen über die Ereignisse, die zum Verlust von 1.193 ETH, etwa 300.000 Dollar, führten. Der Angreifer nutzte die folgenden Schritte, um die Schwachstelle auszunutzen:
Ein Flash-Kredit von dYdX für 10’000 ETH wurde eröffnet.
5.500 ETH wurden zu Compound geschickt, um einen Kredit von 112 wBTC zu besichern.
1.300 ETH wurden an den Fulcrum pToken sETHBTC5x geschickt und eröffneten eine 5-fache Short-Position gegen die ETHBTC-Ratio.
5.637 ETH wurden ausgeliehen und über die Uniswap-Reserve von Kyber an 51 WBTC getauscht, was zu einem großen Kursverlust führte.
Der Angreifer tauschte die 112 WBTC, die er von Compound geliehen hatte, gegen 6.871 ETH auf Uniswap, was zu einem Gewinn führte.
Der Flash-Kredit von 10.000 ETH von dYdX wurde aus dem Erlös zurückgezahlt.
Durch die Manipulation des Angreifers fiel der Preis von WBTC bei Kyber kurzzeitig auf 4.000 Dollar. Nach einigen Stunden kehrte der Preis des an Bitcoin gebundenen Token auf den nicht manipulierten Marktpreis von etwa 10.000 Dollar zurück. Das Manöver ermöglichte es dem Angreifer jedoch, die oben genannten Gewinne zu erzielen. Vorerst scheint der Angriff auf Synthetix der gleichen Vorgehensweise zu folgen.
Der Angriff hat, wie bZx behauptet, zu einem unbesicherten Darlehen auf der Plattform geführt. bZx behauptet, dass es noch kein Verlust ist, aber dass es zu einem Verlust kommen könnte:
Dies bedeutet, dass die Schulden mit den aktuellen Sicherheiten für die nächsten 202 Jahre bedient werden können. Wenn die Sicherheiten im Jahr 2222 auslaufen, wird es einen Verlust von 4698,02 ETH geben, der über den gesamten Kredit-Pool verrechnet wird.
Um Verluste zu vermeiden, behauptet der bZx, dass es notwendig sei, seinen Administratorschlüssel zu verwenden und die wBTCs mit ETH abzurechnen.
Es bleibt abzuwarten, wie das Unternehmen auf den neuen Angriff reagieren wird. Vorerst scheint es, dass eine weitere Untersuchung des dezentralen bZx-Protokolls zur Schliessung aller Dapps der Firma führen könnte.
