Korantin Auguste, un ex ingeniero de software de Google, ha explicado en detalle un ataque reciente contra el proyecto de finanzas descentralizadas (DeFi) bZx.
En una publicación de blog publicado el lunes En su sitio web personal Palkeo, Auguste dijo que un atacante tomó prestados 10,000 ETH (actualmente con un valor aproximado de $ 2.49 millones) de dYdX, un intercambio sin custodia para el comercio de margen. (WBTC), un token basado en ethereum respaldado 1: 1 por bitcoin, para llevar a cabo el ataque.
Luego, el atacante envió 1300 ETHs a bZx para abrir una posición corta de 5x para WBTC. "Esta llamada abre una posición Fulcrum, acortando ETH contra WBTC con un apalancamiento x5. Esta posición está en 1300 ETH (enorme)", dijo Auguste.
bZx luego convirtió internamente 5637 ETH a 51 WBTC a través de una orden Kyber enrutada a Uniswap . El atacante convirtió el 112 WBTC a 6871 ETH en Uniswap. Luego enviaron los 10,000 ETH a DyDx.
"El atacante explotó un error en bZx que hizo que intercambiara una gran cantidad en Uniswap, a un precio inflado 3x", dijo Auguste, y agregó que el atacante pudo vender 112 WBTC para 6871 ETH porque "el suministro de Uniswap está distorsionado".
El atacante terminó con 71 ETH, pero ese no es su "beneficio puro de arbitraje", dijo Auguste. “Terminaron la transacción con una posición compuesta con 5500 ETH de garantía y solo 112 wBTC prestados. Esto es alrededor de 350k $ en capital en Compuesto ".
En pocas palabras, un" error lógico "en la codificación de bzX causó una pérdida de capital de alrededor de $ 620,000 para el protocolo y alrededor de $ 350,000 en ganancias para el atacante, dijo Auguste. "Es el simple hecho de abrir su enorme posición lo que causó una fuga de fondos de bZx a Uniswap, que explotaron".
Notablemente, Auguste dijo que no era un error de Oracle, sino más bien una vulnerabilidad.
Él También dijo que la pérdida de capital de bZx y el dinero que ganó el atacante no cuadran porque "el atacante posiblemente no maximizó sus ganancias, y dejaron a Uniswap completamente desequilibrado después de su ataque". Muchos bots se apresuraron a sacarle provecho ".
bZx tuiteó ayer que los usuarios no sufrirán pérdidas ya que los compensará. Se espera que el proyecto publique a las 5pm MST (es decir, 7 p.m. EST) hoy. El bloque publicará una historia en consecuencia.
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.theblockcrypto.com/post/56171/bzx-exploit-former-google-engineer-explains-how-an-attacker-made-350k-in-single-transaction?utm_source=rss&utm_medium=rss