bZx事件引發對DeFi平臺風險管理的思考_EFI:BasketDAO DeFi Index

最近，一段關于一個絕頂聰明的人在bZx上的贏得了約值35萬美元ETH收益的新聞，一下子在幣圈炸開了鍋，所有知名的區塊鏈媒體平臺都轉發了這段新聞，很多群友對操作過程提出了疑問，很多群組對此展開了熱烈的討論，令Flashloan這個名字在幣圈如雷貫耳，加密貨幣愛好者也終于弄清楚了許多之前從來不關心的DEFI應用及其功能，其效果遠遠大于為DeFi所做的宣傳推廣。

bZx協議遭遇攻擊現已修復 被盜資金已從保險資金中扣除:9月14日，bZx官方發推特稱，在美東時間上午3:28（北京時間9月13日15:30），我們開始研究該協議TVL的下降。到美東時間上午6:18（北京時間9月13日18:30），我們確認幾個iToken發生了重復事件。借貸暫時暫停。重復方法已從iToken合同代碼中修補出來，并且協議已恢復正常運行。隨后，1inch聯合創始人Anton Bukov發推稱攻擊者在此次事件中盜取了約4700枚ETH，并附上被盜資金地址。對此，bZx回應稱，資金目前沒有風險。列出的那些資金已從我們的保險基金中扣除。[2020/9/14]

圖片來源：互聯網到目前為止，雖然對這個操縱者的具體操作流程仍眾說紛紜，所以，我們在這里只劃重點：1.操縱者通過Flashloan閃電貸在DYDX平臺設定智能合約無抵押借了10000ETH；2.使用其中5500ETH在Compound借出112wBTC；3.在bZx用1300ETH有抵押借入5637.6WETH并沽空，把WBTC/WETH的兌換率從38拉高到約109，然后按照這個匯率在KyberSwap+Uniswap兌換了51.3WBTC。4.在Uniswap把WBTC拋售兌換成WETH,兌換率平均為61.4，之后完成dYdX的智能合約把10000ETH還了，剩下的ETH就是操縱者的利潤，約值35萬美金。令人震撼的是，整個貸款和還款過程必須在13秒內，也就是一個區塊內完成，換句話說，這個復雜的操作過程就是在電光火石之間完成。魔笛手技術開發社區的群友表示，十秒便把錢轉走了，信用貸能這么玩。直覺不行！我們請教了專家群友蔣旭憲先生，并參考了他寫的專業文章bZxHackFullDisclosure(WithDetailedProfitAnalysis)，才大致搞清楚上面的操縱過程，不過，我們仍然有很多疑問，并就這些問題在Soteria社區展開了熱烈的討論：SoteriaSSDE開發社區筆記2020.2.18.蘇博明-金融大觀園:bZx智能合約問題：當UniswapWBTC/ETH的兌換價從38被操縱拉高到109.8時，bZx上的抵押品應該不足，爆倉了，但bZx智能合約沒有任何要求增加抵押品的保護措施，也沒有清算行動，這是一個隱藏的問題。Claire:操縱者在電光火石之間完成這么復雜的操作，那些懂金融又懂編程的黑客現在真是如入無人之境，簡直是空手套白狼......蘇博明-金融大觀園:全球不多于10個吧？Claire:?感覺DEFI那班人象在玩游戲啊！兌換率在幾秒內拉高幾倍，然后用這個兌換價來找你兌換，人工智能在目前階段應該還不會做出反應吧？這時候Kyberswap應該觸發進一步的檢查，人會停一停，想一想，人工智能會嗎？蘇博明-金融大觀園:我認為現在DeFi金融資產，這些風險管理都沒做好，主要矛盾是這些資產都是線上的資產，使用范圍都很狹小，只能交易，投資，借貸。簡單來說這個DeFi風險管理沒有對標傳統的金融機構，主要矛盾是資產上鏈沒門，只要資產沒有上鏈，風險管理和傳統的接不上。Claire:操縱者就是利用流動性缺乏的情況下，拉高匯率然后兌換出貨。蘇博明-金融大觀園:是的，我也是這么理解的。但是如果想多一點的話就是鏈上資產沒有完善，所以才有那么多漏洞價格問題。點智成金資本-林健:我們現在只是把區塊鏈交易作為資本的一級半市場。Claire:流動性低，應用范圍窄，是其中一個兌換率可以在短時間內被拉高的原因，DeFi平臺還允許無抵押貸款。。。蘇博明-金融大觀園:我有篇文章寫的是我中有你，你中有我，就是跟傳統金融機構要合得來，不然我們玩不過他們的。Claire:這個是平臺的風險管理問題。總結，DeFi是以太坊今年的重頭戲，肩負振興以太坊的重任。那些既懂金融又懂編程的天才，在DeFi領域可以翻云覆雨，在電光火石的十幾秒之間，贏取幾十萬美金，我們為他們感嘆之余，是否有想過，把自己的財富存放在這些儲備池里，風險有多高呢？注：bZxHackFullDisclosure(WithDetailedProfitAnalysis)

聲音 | Quantstamp CEO：類似bZx攻擊唯一需要匿名的是活動的收益:對于bZx遭攻擊事件，Quantstamp的首席執行官兼聯合創始人Richard Ma表示，盡管快速貸款被認為是bZx“攻擊”的根源問題，以及其他一些理論上的治理攻擊，但Ma解釋說，許多這樣的攻擊實際上是可能不使用快速貸款的。不同之處在于，現在的競爭環境在擁有數百萬美元資產的人和一無所有的人之間變得平等了。由于混合器的流動性較低，以及KYC在大多數交易所的嚴格執行，很難用自己的錢來利用這種套利機會。bZx這種攻擊更加具有意義，因為使用別人的錢（貸款）來攻擊項目，最后歸還，與攻擊者完全無關，唯一需要匿名的是活動的收益。Ma還表示，被項目和用戶忽視的主要攻擊載體之一是拒絕服務(DoS)攻擊，這是一種新的攻擊變體，可能會在未來削弱無須許可金融服務空間。按照他的說法，這些攻擊根本上是由權力集中造成的。（ambcrypto）[2020/2/24]

聲音 | bZx聯合創始人：1inch.exchange的博客文章是片面的 且違反披露政策:bZx的聯合創始人Kyle Kistner表示，1inch.exchange的博客文章是片面的。Kistner表示，我們同意支付他們一筆賞金，即使他們違反了我們的披露政策，向公眾公布了漏洞，他稱，“1inch.exchange發布博客文章是相當嚴重的違規行為。我們告訴他們，我們正在撰寫一份檢查報告，并將其安排在2月底發布。行業標準的負責任披露準則規定，披露時間為90天(例如谷歌、微軟都遵循這些準則）。我們要求他們簽署保密協議，因為他們似乎熱衷于敲詐我們”。（TheBlock）[2020/2/21]

動態 | bZx：第二次攻擊是oracle操作攻擊 與此前不同:Defi協議bZx再次遭受攻擊。對此，BZX發推稱，第二次攻擊是一次oracle操作攻擊，與第一次攻擊完全不同。攻擊者從系統中獲得了大約60萬美元的凈利潤。Kyber上的sUSD儲備金包含APR和Uniswap池。我們認為，攻擊者能夠同時操縱這兩者，并繞過相關檢查。我們將實施一項更改，允許交易者和借款方平倉。在此期間我們將加強協議安全以確保不會再次發生類似事件。另外，我們正在與chainlink和其他Oracle網絡合作，以創建更安全的Oracle網絡和縮小協議可攻擊范圍。Bitcoinist指出，bZx遭受二次攻擊表明需要對DeFi智能合約進行徹底審計。[2020/2/19]

Tags：BZXETHDEFIEFIbZx Vesting TokenethicaldilemmaBasketDAO DeFi IndexCOREFI

XLM