金色观察 | 一招“攻击”15秒内获利超36万美元 多个DeFi明星项目卷入

也许这个世界终归是属于聪明人的。

近日DeFi世界就遭到了聪明人的“攻击”（exploit）。 2月16日，DeFi项目bZx被某个人或者团队利用规则上的漏洞，在DeFi项目间腾挪套利，15秒内（一个以太坊区块时间）获得36万美元的收益。多个DeFi明星项目如Compound，DyDx，Uniswap，kyber，bZx均卷入其中。

除Kyber外其余四个项目均位列DeFi前十，数据来源defiplus

事情经过

金色财经合约行情分析 | BTC突破近一年高点，市场或出现结构性变化:据火币BTC永续合约行情显示，截至今日18:00（GMT+8），BTC价格暂报10786美元（+5.08%），20:00（GMT+8）结算资金费率为0.111543%。

BTC昨晚在9点后再次上攻突破10300美元，量价齐升，未遇到明显阻力，最高到11460美元。根据火币交割合约数据，BTC当季合约成交额较昨日大幅增涨，持仓量继续上升，精英多头占比降低，当季合约溢价增长3.4%。BTC突破近一年的最高点，市场可能将发生结构性变化。由于短期获利筹码较多，目前市场有所回调。

USDT于火币全球站OTC的报价为6.95元，溢价率为-0.73%。[2020/7/28]

据Trustnode和Hydro报道，“攻击”利用了各个DeFi项目的优缺点，步骤分为六步。

金色财经挖矿数据播报 | BSV今日全网算力上涨5.22%:金色财经报道，据蜘蛛矿池数据显示：

ETH全网算力176.226TH/s，挖矿难度2232.10T，目前区块高度9925609，理论收益0.00808270/100MH/天。

BTC全网算力109.990EH/s，挖矿难度15.96T，目前区块高度627219，理论收益0.00001575/T/天。

BSV全网算力1.430EH/s，挖矿难度0.22T，目前区块高度631785，理论收益0.00062922/T/天。

BCH全网算力1.798EH/s，挖矿难度0.25T，目前区块高度632007，理论收益0.00050055/T/天。[2020/4/23]

第一步，从dydx 0闪电贷（flashloan）借出1万ETH。所谓“闪电贷”，就是不需要任何抵押物，只要借贷和还款在一个区块时间内（以太坊上为15秒）完成即可。

金色独家 方图创始人蔡良滨：加密货币市场的监管与规范会来得很快:针对美国证券交易委员会（SEC）将于北京时间6月14日凌晨两点在佐治亚州亚特兰大州立大学举行一次市民会议一事，金色财经邀请方图创始人蔡良滨对此作出解读，蔡良滨表示：SEC每年都会有Town Hall Meeting，可以简单地理解为全民大会，这次大会除了传统的共同基金、ETF投资等议题外，还专门开设了加密货币与区块链的议题。而一般来说，SEC会在准备好大部分的具体监管措施之后，再以Town Hall的方式与投资者分享和交流。很可能，关于加密货币市场的一套完整的监管与合规规范会来得比我们想象得还要快，这次大会是一次洞悉未来监管方向的很好的机会。前段时间，方图团队核心成员参加了北美对冲基金经理闭门会议，参会机构之中其实有不少已经在开发加密货币的量化交易策略。从传统投资机构入场到这次SEC以Town Hall的形式与投资者交流，都预示着加密货币投资市场会迎来更加成熟与合规的时代，而这个时代的基础设施建设领域，孕育着很大的创业机会，比如专业级的加密货币衍生品配套、专业级的聚合交易软件、权威的托管与信披机制、专业级的行情服务商等。[2018/6/13]

第二步，把借出来的1万ETH中的一半即5500ETH存入Compound，借出112 WBTC。

金色财经讯:11月7日21：50分许，parity客户端钱包官方公告称发现严重漏洞，将影响7月20日以后存入ETH的用户，无法将资产转出。受此消息影响，ETH价格已经下跌5%左右，火币Pro最新价格为1946元人民币。[2017/11/8]

第三步，把剩下的4500ETH中的1300 ETH存入bZx，开5倍杠杆借出5637 ETH。

第四步，将这5637 ETH兑换为WBTC，因为bZx接入的预言机为Kyber，流动性来自Kyber Reserve，Kyber Reserve又链接至Uniswap WBTC pool，导致Uniswap WBTC价格被拉高，获得51.34 WBTC

第五步，把Compound借出来的112 wBTC在Uniswap WBTC pool高价卖出（第四步把价格拉高了），获得 6800 ETH

第六步，将3200 ETH（未用过）+ 6800 ETH [步骤5中卖出112 WBTC] = 10000ETH还给dydx

以太坊区块高度9484688上的交易记录

上面所有这些交易都在一个以太坊区块（15秒内）完成。

最终从bZx旗下的交易平台Fulcrum.trade提取ETH。随后，bZx已关闭其Fulcrum交易平台进行维护，bZx联合创始人Kyle Kistner表示，一部分ETH已经丢失。据分析，“攻击者”盈利约36万美元。

事件后续

据Defiplus数据，这次攻击事件似乎对bZX没有什么影响。2月16日，bZX中锁仓的ETH减少4500枚，想必有“攻击者”提取的功劳。

不过，仅仅经过一天，2月17日bZX中锁仓的ETH增加了近1.4万枚，总额达到4.2万枚。

对于此次事件，bZx也做出了回应，bZx表示用户损失为零，从协议角度看只是有人借了一笔贷款，从借款人角度看，和其他借款没有什么区别。贷款者与其他贷款一样要支付利息。实际上，它目前正在向贷出方支付很高的利率。只要它是永久借款人，对贷方来说就是一个很大的福音。

攻击者目前剩下60万个wBTC抵押品。我们将使用它来流转利息和退出流动性给现有的iETH持有者。我们将使用管理员密钥来完成。对于我们来说，这是一个非常困难的决定，但不能掉以轻心。

目前，基于存在亏损的想法，iETH供应出现了恐慌和出逃。但是，只要我们有这名借款人并确保他们继续支付利息，那么这笔资金就很健康，而且将继续如此。

我们将尽快发布更详细的报告。现在，我们想向用户保证这笔资金实际上是安全的。任何贷方都不会受到攻击的影响。

因为，bZX用到了管理员密钥来冻结资金，影响到了不少人对DeFi的疑虑。

莱特币创始人李启威在推特上表示，这就是我不相信DeFi的原因。这是两个世界中最糟糕的。大多数DeFi可以被一个中心化的部门关闭，所以它只是一个去中心化的“戏院”。然而，除非我们增加更多的中心化，否则没有人能够撤销黑客攻击或漏洞利用。

标签：ETHBTCBZXDEFI男生用ethereal代表什么意义BTCUI币bZx Vesting TokenDeFiSocial Gaming

狗狗币价格热门资讯