- L’entreprise à l’origine du protocole de crédit décentralisé basé sur Ethereum, bZx, tire les leçons du piratage d’un million de dollars.
- bZx va augmenter son fonds d’assurance grâce aux revenus de Kyber et intégrer la technologie Oracle de Chainlink.
Le piratage du protocole de crédit décentralisé bZx a choqué la communauté DeFi et Ethereum. Le cofondateur de bZx a maintenant publié une déclaration finale sur la question et a déclaré que la septième plus grande plate-forme financière décentralisée prévoit un nouveau départ. Dans un récent billet de blog intitulé « Mea Culpa: A New Beginning », Kistner écrit qu’il assume l’entière responsabilité de cette vulnérabilité.
En février, la plateforme DeFi a été victime de deux piratages successifs. Le premier hack a été décrit par la crypto-communauté comme très sophistiqué et a en même temps remis en question la sécurité de l’écosystème DeFi. L’hacker a pu voler plus d’un million de dollars américains dans Ethereum (ETH) en utilisant des « prêts flash » sur la plateforme Fulcrum, y compris Compound, une autre plateforme DeFi populaire. Dans le rapport final, Kistner décrit l’approche du premier hacker:
Le pirate a emprunté 7 500 ETH sur iETH en utilisant la fonction flashBorrowToken(). Il a ensuite converti 900 ETH pour 155 994 sUSD sur Kyber et a ensuite converti 3 518 ETH pour 943 837 sUSD avec l’échange de Synthetix, EtherForSynths(), au prix de 0,0037 sUSD/ETH (taux sain). Ensuite, l’agresseur a emprunté 6 796 ETH sur bZx et a envoyé 1 099 841 sUSD, au prix de 0,006 sUSD/ETH (taux déformé). L’agresseur a ensuite remis 7 500 ETH au bZx pour rembourser le crédit, ce qui a donné un bénéfice de 2 378 ETH
Kistner affirme en outre dans le billet de blog que bien que des fonds aient été perdus, l’argent des utilisateurs est toujours en sécurité (traduction libre) :
De l’argent a été perdu, mais nous maintenons que l’argent des utilisateurs est en sécurité. Cela est possible parce que l’entreprise et les personnes impliquées dans le protocole absorbent les pertes à la place des utilisateurs. Les flux de trésorerie de l’entreprise et du protocole sont dirigés vers les fonds d’assurance, où ils attendent que les dettes soient dues. Compte tenu de la valeur actuelle du fonds d’assurance et de son taux de croissance annualisé, il devrait plus que couvrir la perte au moment où elle doit être réalisée en 2285 après JC.
En outre, selon Kistner, des modifications seront apportées au protocole, ce qui permettra au fonds d’assurance de couvrir les pertes plus rapidement :
Nous modifierons la façon dont la valeur du fonds d’assurance augmente afin d’accélérer sa capacité à couvrir la perte le plus rapidement possible. D’un point de vue conservateur, nous serons en mesure d’augmenter la part de la couverture en valeur de plus d’un ordre de grandeur. […] Nous allons introduire deux flux de revenus supplémentaires : Les revenus de trading et l’arbitrage.
La société génère actuellement des revenus en sa qualité de filiale du Kyber. Ces revenus seront transférés de l’entreprise vers le fonds d’assurance.
Leçons du hack bZX
Comme le poursuit Kistner, l’entreprise a tiré quelques leçons. Tout d’abord, selon Kistner, il a été négligent d’insérer silencieusement les prêts flash dans le réseau principal sans audit.
La volonté de publier un code non contrôlé est une renonciation à la confiance placée en nous pour écrire des logiciels financiers sécurisés.
Comme l’insuffisance des données sur les prix était l’une des causes du piratage, la société intégrera la technologie oracle de Chainlink pour obtenir des données fiables et décentralisées sur les prix, comme l’a signalé le CNF.
Suivez-nous sur Facebook et Twitter et ne manquez plus aucune nouvelle ! Vous appréciez nos indices de prix?
