Cựu kỹ sư Google giải thích cách hacker kiếm được $350.000 từ nền tảng DeFi bZx
Korantin Auguste – một cựu kỹ sư phần mềm của Google, đã giải thích chi tiết cách hacker tấn công vào dự án tài chính phi tập trung (DeFi) bZx mới xảy ra gần đây.
Trong một bài viết blog được công bố hôm thứ Hai trên trang web cá nhân Palkeo, Auguste cho biết một kẻ tấn công đã vay 10.000 ETH (trị giá 2,49 triệu USD) từ dYdX – một sàn giao dịch phi tập trung để giao dịch margin.
Sau đó, kẻ này gửi 5.000 ETH tới giao thức cho vay DeFi Compound và vay 112 Wrapped Bitcoin (WBTC) – một token ERC-20 dựa trên Ethereum được bảo trợ 1:1 bởi Bitcoin, để thực hiện cuộc tấn công.
Tiếp theo, kẻ tấn công đã gửi 1.300 ETH tới bZx để mở một vị thế short 5x cho WBTC. “Cuộc gọi này mở một vị thế Fulcrum, short ETH/WBTC với đòn bẩy 5x. Vị thế này là trên 1.300 ETH (rất lớn),” Auguste nói.
bZx sau đó đã chuyển đổi nội bộ 5.637 ETH thành 51 WBTC thông qua một order Kyber được chuyển đến Uniswap. Kẻ tấn công đã chuyển đổi 112 WBTC thành 6.871 ETH trên Uniswap. Sau đó, tên này gửi lại 10.000 ETH cho DyDx.
“Kẻ tấn công đã khai thác một lỗi bên trong bZx – thứ mà khiến nó phải giao dịch một số tiền rất lớn trên Uniswap, với mức giá tăng gấp 3 lần,” Auguste giải thích, và nói thêm rằng kẻ tấn công đã có thể bán 112 WBTC với giá 6871 ETH vì “nguồn cung Uniswap đã bị bóp méo.”
Hacker này đã kết thúc với 71 ETH, nhưng đó không phải là lợi nhuận chênh lệch giá thuần túy của họ, Auguste nói. “Họ đã kết thúc giao dịch với một vị thế Compound có 5.500 ETH tài sản thế chấp và chỉ có 112 WBTC vay. Đây là khoảng 350.000 USD vốn chủ sở hữu trong Compound.”
Nói đơn giản hơn, một “lỗi logic” trong coding của bzX đã gây ra sự mất mát vốn chủ sở hữu khoảng 620.000 USD cho giao thức và khoảng 350.000 USD lợi nhuận cho kẻ tấn công, Auguste cho hay. “Đó chỉ là một thực tế của việc mở vị thế khổng lồ của họ đã gây ra sự rò rỉ tiền từ bZx sang Uniswap, mà họ đã khai thác.”
Đáng chú ý, Auguste cho rằng đó không phải là lỗi của Oracle, mà là một lỗ hổng.
Ông cũng cho biết tổn thất vốn chủ sở hữu từ bZx và số tiền mà hacker kiếm được không tăng thêm vì “kể tấn công có thể đã không tối đa hóa lợi nhuận và họ đã khiến Uniswap hoàn toàn mất cân bằng sau cuộc tấn công. Rất nhiều bot sau đó đã vội vã kiếm lợi nhuận từ nó.”
bZx đã tweet vào hôm qua rằng người dùng sẽ không phải chịu thiệt hại vì nền tảng sẽ đền bù cho họ. Dự án cho biết sẽ phát hành một phân tích chi tiết vào lúc 7 giờ tối EST hôm nay.
Có thể bạn quan tâm:
- Tổng giá trị tiền điện tử bị khóa trong thị trường DeFi đạt mốc 1 tỷ USD
- Ví Trinity bị hack, IOTA Foundation tạm ngừng node mạng để điều tra
Tham gia kênh của chúng tôi để cập nhật tin tức và kiến thức hữu ích nhất tại:
- Telegram: https://t.me/toiyeubitcoin
- Facebook: https://www.facebook.com/toiyeubitcoindotcom/
Theo The Block
Biên dịch bởi ToiYeuBitcoin
