Wen | ooh ooh
Edit | Wen knife
DeFi from the loan agreement bZx assets stolen in the past six days, and the matter becoming a crisis of confidence born yet subsided.
February 15 and 18, respectively, the two attackers use DeFi loan agreement bZx of "contract loophole" in less than 15 seconds, the success of "arbitrage" nearly millions of dollars.
Although bZx protocol developers to adopt emergency management authority, part of the proceeds will be successful attacker's locked, but open with a key operation has also attracted a pause function of the market questioned.
Moreover, in the second day of challenge bZx suffer, DeFi ecological value of the assets in locking down $ 142 million in a few hours, the ecological crisis of confidence DeFi outbreak.
The matter was deemed "DeFi death knell," while others see it as growing pains. The fact is undeniable that, bZx event make money DeFi ecological circle noticed yet amount to anything. At the same time, it also brings a warning to every entrepreneur in the DeFi application development.
bZx attacker three days of nearly million dollar arbitrage
"Anonymous borrow someone else's money to attack the project, and finally return to get out, which is not possible in the traditional financial system." February 24, contract audit firm Quantstamp intelligent co-founder Richard Ma's remarks on Twitter on triggered a lot of discussion.
DeFi bZx assets from the loan agreement has been stolen over the past six days, the negative impact caused by things continues.
February 15, in less than 15 seconds Square Ethernet unit block of time, there is an attacker using DeFi loan agreement bZx of "contract loophole" in between 5 DeFi products Intelligent call contract mechanism back and forth, with zero capital cost of success " arbitrage "350,000 US dollars worth of tokens. Three days later, bZx suffered a similar attack again, worth 640,000 US dollars tokens have been successfully set to go.
"The fundamental reason is because the two attacks to the center of trade agreements Uniswap share trading price of the pool, when the attacker to manipulate the market price through a variety of ways, will have room for arbitrage." Slow fog security team Yudan tell hive Finance.
Taking the first arbitrage, for example, "attacker" first borrowing the 10000 Ethernet Square in 5500 into a DApp Compound in mortgage lending, lent 112 WBTC. WBTC of tokens Token is a token bit, the bit exchange ratio between the coin is 1: 1.
之后,攻击者从剩下的4500个ETH中拿出了1300个,存入借贷协议bZx,并以5倍杠杆借出了5637个ETH,之后马上兑换为WBTC。由于bZx接入了代币交易协议Kyber,而该协议又可链接至去中心化交易协议Uniswap 里的WBTC交易池,导致WBTC价格被拉高。
攻击者通过一系列操作获得了51.34WBTC,不过这一步尚未产生任何收益。此时,WBTC的价格已经在 Uniswap上拉高3倍多。
套利发生在最后一步。攻击者把Compound借出来的112个WBTC,通过bZx高价卖出,进而获得了6871.4个ETH,不仅清了5000ETH的原始债务,还成功套利了约1271ETH,按当时ETH 280美元价格计算,攻击者获利约35万美元。
攻击者套利示意图
Yudan认为,“在DeFi生态中,价格共享本该是一件好事,大家共享一个市场,防止每个 DeFi应用中的价格出现不一致而产生其他风险。但这同时也引入了过度依赖第三方价格的问题。当第三方价格市场被人为操纵,依赖这些第三方数据的 DeFi 项目就有可能出现损失。”
事件引发的众多讨论声中,不少人都将此次攻击当成是针对DeFi生态问题的精准伏击。虽然两次攻击损失的金额不敌中心化交易所一次被盗的规模,但从bZx两次攻击只相差了3天时间,DeFi项目的安全问题引发了业界及用户的担忧。
DeFi生态锁定资产蒸发2亿美元
2月18日,bZx再遭攻击当天,据分析平台DeFi Pulse统计,DeFi生态中锁定资产价值在数小时内下跌1.42亿美元。
DeFi生态锁定资产跌至10.8亿美元
数据显示,本月初时,DeFi协议中锁定的资产总价值首次突破10亿美元大关,并于2月15日创下历史新高,达到12.2亿美元。bZx事件后,生态中锁定资产价值已从高点的跌至如今的10.72亿美元。
bZx事件导致DeFi生态出现了信任危机,“大家害怕锁定的资产会丢失。”有业内人士称。
如今, bZx协议开发者采用了紧急管理权限,成功把攻击者的部分收益锁住了。但项目方拥有“一键暂停”功能的操作又引来了市场质疑——这是否有悖去中心化的理念?有人认为,这让整个Defi生态暴露了“原罪”。
“这就是我不相信DeFi的原因。”莱特币创始人李启威(Charlie Lee)在推特上直言,大多数DeFi可以被一个中心化的部门关闭,所以它只是一个去中心化的“戏院”,“除非我们增加更多的中心化,否则没有人能避免黑客攻击或漏洞被利用。”
面对外界对DeFi生态的质疑,长期观察DeFi生态的机构投资者Blockpower创始人杨民道给出了另一种解读。他告诉蜂巢财经,“相比于DeFi去中心化金融,我更喜欢开放金融(open finance) 这个说法。开放金融的特点是开放、透明和信任最小化,非去中心化的权限管理并不意味着中心化的运作。”
Yudan也持相同看法,他认为,外界不应该就此次安全事件而否定整个DeFi生态,“DeFi的初心是开放金融,一个 DeFi产品上线,也意味着存在很多未知风险。而项目方的管理员私钥则是在遭遇‘黑天鹅’事件后的最后一道防火墙,这个管理员操作在链上也是公开的,公众可以通过链上交易进行监督。”
Yudan认为,未来只要项目方合理利用好这样的超级权限,一定程度上有利于项目更好的发展,并且在引入这种中心化的超级权限时,完全可以将这样的权限进行分权,“比如使用多重签名,来降低项目方内部作恶的风险。”
DeFi市场规模增3倍 安全迎挑战
bZx事件在币圈闹得沸沸扬扬,有人将它视为“DeFi丧钟”,也有人将它视为成长的阵痛。但这次攻击事件,也让币圈开始显露对DeFi生态及应用的兴趣。“不学习Defi,真的跟不上节奏。”有业内从业者在转发bZx事件时感慨。
如果说2018年是 DeFi 的萌芽初期,那么过去的2019年称得上是DeFi发展元年。据DAppTotal 数据显示,DeFi全行业的锁仓总值大幅增长,从2019年1月1日的3.02亿美元,飙升至年底的9.31亿美元,涨幅近300%。
DeFi 是Decentralized Finance(去中心化金融)的简称,也称为开放式金融,目前主要在以太坊网络生态内较为活跃,经过两三年的探索发展,衍生出了稳定币、借贷平台、衍生品、预测市场、保险、支付平台等多种金融创新。
中央系统控制和调节金融系统是现存的主流状态。DeFi则希望通过分布式开源协议,建立一套具有透明度、可访问性和包容性的点对点金融系统,将信任风险最小化。
目前,DeFi 在以太坊网络中出现了MakerDAO、Compound 等知名度较高的应用, EOS 网络上也已经有EOSREX这样的平台,此外不少新兴公链,如Cosmos、Polkadot、Nervos也曾表示未来会在DeFi应用领域中做重点布局。
DeFi应用头部排行榜
不过,bZx事件让外界注意到,致力于解决中心化金融信任风险的DeFi如今也因安全问题而面临信任危机。
“MakerDAO 并未受此次事件的影响。”该项目的中国区负责人潘超对蜂巢财经表示,这类攻击对MakerDAO无效,“因为Dai不依赖算法储备池类的 DEX 提供流动性,也没有使用 DEX 价格作为预言机喂价。”
潘超认为,bZx事件也给每个DeFi从业者都带来了警示,设计产品时要谨慎考虑所接入的其他协议,因为这些外接协议可能隐藏着⻛险,影响自身系统,“DeFi本身不是问题,问题是协议之间的耦合。”潘超也指出,此次bZx被攻击的漏洞对于独立的单个协议无效,但是几个协议联系起来,就会产生套利风险,用户应该选择经过时间检验的产品。”
当DeFi市场不断壮大之时,也给行业安全带来全新挑战。因为,如果DeFi生态是一个所有人都能看到的透明金融池,那么黑客也必是窥视者之一。
互动时间
bZx后,你还会使用DeFi应用吗?
