Protocole de prêt décentralisé bZx piraté deux fois en quelques jours

Decentralized Lending Protocol bZx Hacked Twice in a Matter of Days


Les partisans de la finance décentralisée (DeFi) sont durement touchés après que le protocole de prêt décentralisé bZx a vu deux hacks réussis à quelques jours d'intervalle avec des pertes totalisant environ 954 000 $.

Selon bZx, rapport, le protocole a été compromis pour la première fois le 14 février, lorsque l'équipe était à l'événement de l'industrie ETHDenver. La deuxième attaque, selon un média de l'industrie Le bloc, a eu lieu le 18 février.

Procédure de la première attaque

L'attaquant a utilisé plusieurs protocoles DeFi pour prêter et échanger des quantités importantes d'Ether et de Bitcoin enveloppé (WBTC) – un jeton sur la blockchain Ethereum qui suit le prix du Bitcoin (BTC) – d'une manière qui lui a permis de manipuler les prix et d'en tirer profit. d'un commerce décentralisé à effet de levier.

L'attaquant a d'abord emprunté 10000 Ether (ETH) au protocole de prêt décentralisé dYdX, puis a utilisé 5500 ETH (1,46 million de dollars) pour garantir un prêt de 112 Bitcoin (WBTC) enveloppé (plus de 1 million de dollars) sur le protocole DeFi Compound.

À ce stade, l'attaquant a envoyé 1 300 ETH (plus de 372 000 $) à ETH de négociation de marge décentralisée pour ouvrir une position à effet de levier 5x sur la paire ETH / BTC sur la plate-forme de trading Fulcrum de bZx et a emprunté 5 637 ETH via Kyber's Uniswap et les a échangés contre 51 WBTC, provoquant grand glissement.

Cela, à son tour, a permis à l'attaquant de profiter de l'échange du 112 WBTC de Compound à 6 671 ETH, ce qui a entraîné un profit de 1 193 ETH (près de 318 000 $). Le pirate a finalement remboursé le prêt de 10 000 ETH sur dYdX qu'il avait pris auparavant.

Selon une analyse approfondie de l'attaque, la transaction avec laquelle l'attaquant a ouvert le commerce à effet de levier aurait dû être empêchée par des contrôles de sécurité, mais ces contrôles n'ont pas été déclenchés en raison d'un bogue dans le contrat intelligent de bZx. L'équipe derrière le protocole a annoncé que le bogue avait été corrigé.

La deuxième attaque

La nature de la deuxième attaque n'est toujours pas très claire, mais message du CVO du projet et du chef des opérations, Kyle Kistner du groupe officiel bZx Telegram suggère qu'il s'agissait d'une attaque par manipulation d'oracle. Les oracles sont généralement des composants centralisés qui fournissent des données externes aux applications en chaîne.

Le bloc estime la perte à 2 388 ETH (près de 636 000 $). Kistner a déclaré que l'équipe peut neutraliser le piratage et empêcher la perte de fonds d'utilisateurs comme ils l'ont fait pour le premier piratage. En outre, il promis que les développeurs de bZx passeront à des oracles basés sur le protocole Chainlink, suggérant apparemment que cela rendrait le système plus sûr.

Cointelegraph mettra à jour cet article avec de plus amples informations une fois qu'il sera disponible.

La prévalence de la crypto dans les hacks

La non-réversibilité des transactions est une propriété de base de la plupart des crypto-monnaies, ou du moins est recherchée par la plupart des projets. Bien que souhaitable pour de nombreuses raisons, cette fonctionnalité est également appréciée par les cybercriminels qui parviennent à conserver des fonds s'ils parviennent à les voler, tandis que les virements bancaires pourraient plutôt être inversés.

Les groupes de hackers disent également en avance sur la courbe en mettant à jour leurs méthodes. La firme de cybersécurité TrendMicro a récemment découvert que le groupe de piratage Outlaw mettait à jour sa boîte à outils pour voler les données des entreprises depuis près de six mois.

Plus tôt ce mois-ci, Cointelegraph a rapporté que des pirates avaient compromis cinq cabinets d'avocats américains et exigé deux rançons Bitcoin de 100 pour chacune: une pour restaurer l'accès aux données et une pour supprimer la copie du pirate au lieu de la vendre.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *