Un exploit lors d'ETHDenver révèle la nature expérimentale de la Finance décentralisée

DENVER – Le projet de Finance décentralisée (DeFi) bZx a subi une attaque au cours de laquelle un pirate informatique a réussi à manipuler plusieurs protocoles DeFi pour extraire 350 000 $ de la plateforme, soit environ 2 % des actifs sous gestion.

En réponse, la société a désactivé son protocole de prêt et de trading Fulcrum à 7h00 UTC. Elle effectuait une présentation à ETHDenver lors du piratage. Les pirates ont exploité l'oracle de tarification de la société pour inciter le protocole à céder les fonds. Selon certaines sources, bZx ne dépendait que d' un ONE oracle pour la tarification.

L'entreprise, qui n'a pas encore réapparu à EthDenver, plus tardconfirmé dans un tweetcela compensera les prêteurs pour les pertes potentielles.

L'attaque pourrait être symptomatique d'un problème persistant dans la DeFi, a déclaré le PDG de Chainlink, Sergey Nazarov, lors de l'événement : comment obtenir des informations sur les prix.

L'attaque était encore plus remarquable en raison de son timing, car l'équipe a dû faire face au piratage pendant le hackathon EthDenver de la communauté Ethereum , qui se concentre principalement sur la DeFi.

Nazarov a déclaré que l'approvisionnement en données de prix à partir d' un oracle - des services qui collectent et émettent des informations sur les prix en chaîne - reste problématique et que les équipes DeFi travaillent toujours dessus, bien que sa relation avec ce problème n'ait pas encore été fermement établie, a-t-il ajouté.

« Vous ne pouvez T compter sur [ un seul] oracle connecté à une API d'échange », a déclaré Nazarov.

Le PDG de Staked, Tim Ogilvie, qui entretient une relation de travail avec bZx, a déclaré que la perte équivaut à une prime de bogue coûteuse et met en évidence la nouveauté des prêts flash, une nouvelle fonctionnalité DeFi qui permet aux traders d'emprunter et de restituer des fonds dans de courtes fenêtres que le pirate a exploitées pour l'attaque.

Selon Ogilvie, l'attaquant a emprunté 10 000 ETH, d'une valeur d'environ 2,67 millions de dollars, dans le cadre d'un prêt flash.

L'attaquant a ensuite divisé les fonds empruntés, envoyant 5 000 ETH au protocole DeFi Compound et l'autre moitié à bZx. Après les dépôts, l'attaquant a vendu à découvert des Wrapped Bitcoin (WBTC) sur bZx, puis a rapidement emprunté 112 WBTC sur Compound, pour une valeur d'environ 1,1 million de dollars, et a vendu les WBTC empruntés sur Uniswap, une autre place de marché DeFi, a déclaré Ogilvie.

Ogilvie a déclaré que lel'entreprise a nié sur Twitter, que bZx utilise le flux de prix d'UniSwap pour le WBTC. Lorsque l'attaquant a abandonné 1,1 million de dollars de WBTC sur Uniswap, la position courte sur bZx est devenue extrêmement rentable, a déclaré Ogilvie.

« La question pour la DeFi est : qu'est-ce qui est sûr ? Comment créer un ensemble sûr et sécurisé d'oracles [de prix] qui fonctionnent réellement ? Les approches varient, et il peut arriver de faire le mauvais choix », a déclaré Ogilvie.

« Les risques sont importants. C'est une nouvelle catégorie, elle évolue rapidement et cela signifie que des choses vont se briser », a déclaré Ogilvie.

Le huitième plus grand marché DeFi selonDeFi Pulse16 pour cent des fonds bloqués dans bZx ont été retirés du protocole au cours des dernières 24 heures.