- La compañía bZx volvió a pausar su protocolo basado en Ethereum, debido a nuevo ataque. Las pérdidas se estiman en 2,388 ETH.
- bZx lanza reporte completo sobre el ataque maliciosa que resultó en la pérdida de 350K USD en ETH.
Después de reportar un ataque malicioso que resultó en la pérdida de 350K USD en ETH, bZx volvió a entrar en pausa. De acuerdo a bZx, el protocolo que usa la plataforma basada en Ethereum registró un nuevo ataque el 17 de febrero del 2020. Específicamente el ataque fue hecho a otra de sus plataformas de trading y préstamos, Synthetix.
bZx es la compañía detrás de Fulcrum y Synthetix, la dapp víctima del ataque referido. La compañía creó el protocolo descentralizado bZx que permite a sus dapps nativas comerciar y hacer préstamos con margen y apalancamiento.
De acuerdo con bZx, el sistema de Synthetix no fue afectado, pero los tokens de la plataforma (sUSD) se vieron involucrados. El atacante parece haber procedido igual que en el ataque a Fulcrum. Se aprovechó de una vulnerabilidad en varios protocolos para obtener ganancias, después de recibir una garantía en Synthetix.
En este nuevo ataque las pérdidas se estiman en 2,388 ETH, alrededor de 640K USD. El co-fundador de bZx, Kyle Kitstner afirmó que el atacante volvió a manipular el oracle que provee el feed de precios a la plataforma Synthetix. En Fulcrum se lanzó una actualización para prevenir un ataque usando este método. Además, la plataforma implementará oracles de Chainlink para obtener un feed de precios más robusto, menos propenso a manipulación.
Aunque la compañía afirma que puede volver a solucionar el problema, se ha pedido que todas sus operaciones sean paralizadas.
https://twitter.com/bzxHQ/status/1229626207869657088
Detalles del informe post mortem: ¿cuál fue el impacto del ataque?
El 17 de febrero, bZx publicó el informe post mortem del atacante ocurrido el día de San Valentín. En el informe se da información detallada sobre la cadena de eventos que resultó en la pérdida de 1193 ETH, alrededor de 300K USD. El atacante hizo una serie de operaciones complejas y ocurrió de la siguiente forma (traducido libremente):
Se abrió un préstamo rápido en dYdX por 10.000 ETH.
5500 ETH se enviaron a Compound para garantizar un préstamo de 112 wBTC.
1300 ETH fueron enviados a Fulcrum pToken sETHBTC5x, abriendo una posición corta de 5x contra el ratio ETHBTC.
5637 ETH fue prestada y cambiada a 51 WBTC (Wrapped Bitcoin) a través de la reserva Uniswap de Kyber, causando un gran deslizamiento.
El atacante cambió los 112 WBTC prestados de Compound a 6871 ETH en Uniswap, resultando en una ganancia.
El préstamo de 10.000 ETH de dYdX fue devuelto con las ganancias.
La manipulación que hizo el atacante provocó que el precio de los WBTC cayeran brevemente hasta los $ 4.000 en Kyber. El precio del token atado al Bitcoin regresó al precio no manipulado del mercado para ese momento, cerca de los 10,000 USD. Sin embargo, la maniobra permitió que el atacante obtuviera las ganancias mencionadas. Por ahora, parece que el ataque a Synthetix siguió el mismo modus operandi.
El ataque, como afirma bZx, ha resultado en un préstamo no garantizado en la plataforma. bZx afirma que todavía no es una pérdida, pero que se puede convertir en una pérdida (traducido libremente):
Esto significa que la deuda puede ser servida con la actual garantía por los próximos 202 años. Cuando la garantía se agote en el año 2222, habrá una pérdida de 4698,02 ETH que se socializará en todo el fondo de préstamos.
De hecho, para prevenir que haya pérdidas bZx afirma que es necesario usar su llave de administrador y liquidar los wBTC en ETH. La compañía afirma que si procede de esta manera, para la fecha establecida el fondo de garantía tendrá tiempo de cubrir las pérdidas.
Queda esperar la reacción y las declaraciones de la compañía ante este nuevo ataque. Por ahora, parece que una investigación más profunda en el protocolo descentralizado bZx podría provocar la paralización de todas las dapp nativas de la compañía.
¡Síguenos en Facebook y Twitter y no te pierdas ninguna noticia!, ¿le gusta nuestro índice de precios?
