- A empresa bZx pausou novamente o seu protocolo baseado no Ethereum devido a outro ataque. As perdas são estimadas em 2.388 ETH.
- bZx divulgou um relatório completo sobre o ataque malicioso que resultou na perda de $350.000 em ETH.
Após relatar um ataque malicioso que resultou na perda de $350.000 em ETH, o bZx parou suas operações novamente. De acordo com a plataforma baseada no Ethereum bZx, o protocolo registrou um novo ataque em 17 de fevereiro de 2020. O ataque foi feito em outra de suas plataformas de negociação e empréstimo, a Synthetix.
A bZx é a empresa por trás da Fulcrum e da Dapp Synthetix, a vítima do referido ataque. A empresa criou o protocolo descentralizado bZx que permite que seus Dapps nativos negociem e emprestem com margem e alavancagem.
De acordo com o bZx, o sistema Synthetix não foi afetado, mas uma das plataformas token “sUSD” foi envolvida. O atacante parece ter usado o mesmo tipo de ataque, tal como no Fulcrum. Ele tirou vantagem de uma vulnerabilidade em vários protocolos para ter lucro após receber uma garantia sobre Synthetix.
Neste novo ataque as perdas são estimadas em 2.388 ETH, cerca de 640.000 dólares. O co-fundador do bZx Kyle Kitstner disse que o atacante manipulou novamente o oráculo que fornece o preço de alimentação para a plataforma Synthetix. Uma atualização foi lançada em Fulcrum para evitar um ataque usando este método. Além disso, a plataforma irá implementar oráculos Chainlink para obter uma alimentação de preço mais robusta, menos propensa à manipulação.
Apesar de a empresa afirmar que pode corrigir o problema novamente, foi-lhe pedido que todas as suas operações sejam encerradas.
https://twitter.com/bzxHQ/status/1229626207869657088
Detalhes do relatório post-mortem: qual foi o impacto do ataque?
Em 17 de fevereiro, bZx publicou um relatório post-mortem sobre o atacante do Dia dos Namorados. O relatório dá informações detalhadas sobre os eventos que resultaram na perda de 1.193 ETH, cerca de 300.000 dólares. O atacante usou os seguintes passos para tirar proveito da falha de segurança:
Um empréstimo flash da dYdX para 10.000 ETH foi aberto.
5.500 ETH foi enviado para a Compound para garantir um empréstimo de 112 wBTC.
1.300 ETH foi enviado para o Fulcrum pToken sETHBTC5x, abrindo uma posição curta de 5x em relação ao rácio ETHBTC.
5.637 ETH foi emprestado e trocado para 51 WBTC através da reserva Uniswap da Kyber, causando um grande deslizamento.
O atacante trocou os 112 WBTC emprestados do Compound para 6871 ETH na Uniswap, resultando em lucro.
O empréstimo flash de 10.000 ETH da dYdX foi pago a partir dos lucros.
A manipulação feita pelo atacante fez com que o preço do WBTC caísse brevemente para $4.000 na Kyber. Após algumas horas, o preço do token ligado ao Bitcoin voltou ao preço de mercado não manipulado de cerca de $10.000. No entanto, a manobra permitiu que o atacante obtivesse os lucros acima mencionados. Por enquanto, parece que o ataque à Synthetix seguiu o mesmo modus operandi.
O ataque, como alega o bZx, resultou num empréstimo sem garantia na plataforma. O bZx afirma que ainda não é uma perda, mas que pode tornar-se uma perda:
Isto significa que a dívida pode ser servida com as actuais garantias para os próximos 202 anos. Quando as garantias terminarem no ano 2222, haverá uma perda de 4698,02 ETH que será socializada em todo o pool de empréstimos.
Na verdade, para evitar perdas, o bZx alega que é necessário usar sua chave de administrador e liquidar os wBTCs na ETH. A empresa alega que, se proceder nesta base, na data de vencimento o fundo de garantia terá tempo para cobrir as perdas.
Resta saber como a empresa irá reagir a este novo ataque. Por enquanto, parece que uma nova investigação sobre o protocolo descentralizado do bZx poderia levar ao encerramento de todos as Dapps nativas da empresa.
Siga-nos no Facebook e Twitter e não perca mais nenhuma notícia quente! Gosta dos nossos índices de preços?
