Hechos clave:
- En cuatro días la startup ha sido vulnerada dos veces para sustraer alrededor de 3.581 ETH.
- El servicio fue colocado en pausa de nuevo debido a transacciones sospechosas con préstamos rápidos.
Un segundo ataque a una vulnerabilidad en la plataforma de préstamos de finanzas descentralizadas bZx fue registrada, entre la noche del lunes 17 y la madrugada del martes 18 de febrero, en el que se habrían perdido alrededor de 2.379 ethers, equivalentes a 645.000 dólares americanos.
El exploit ocurrió solo cuatro días después que en otro ataque la compañía reportó una pérdida de 1.193 ETH, alrededor de 300.000 dólares. Entre ambos episodios el monto sustraído alcanza los 3.581 ethers, lo que representa actualmente en el mercado unos 945.000 dólares. Ante lo sucedido bZx anunció que debió pausar sus operaciones para iniciar otra investigación sobre la falla de su contrato inteligente.
«Hemos vuelto a presionar el botón de pausa en el protocolo a la luz de transacciones sospechosas utilizando préstamos rápidos y operaciones en Synthetix (…) No afecta al sistema Synthetix, aunque sí involucraba sUSD», informó bZx en la madrugada de este martes.
We have hit the pause button on the protocol again in light of suspicious transactions using flash loans and trading on Synthetix.
— bZx (@bzxHQ) February 18, 2020
La situación se presentó justo cuando bZx ofreció su informe final sobre el primer ataque en el que se determinó que el trader utilizó un préstamo rápido por 10.000 desde el servicio dYdX para luego utilizar las plataformas Fulcrum y Compound.
Larry Cermak, analista y director de investigación en The Block, explicó a través de su cuenta en Twitter cómo actuó el atacante en esta oportunidad.
«Este fue un ‘ataque’ bastante elegante. Esto fue lo que pasó: se obtuvo un préstamo rápido por 7.500 ETH, luego canjeó 3.517 ETH en Synthetix por 940.000 sUSD (a un precio cercano a 1 dólar). Usó 900 ETH para comprar sUSD en Kyber y Uniswap para llevar el precio a más de 2 dólares. Luego pidió prestado 6.796 ETH en bZx usando sUSD como garantía (mucho más de lo que se suponía que debía porque el precio de sUSD parecía más alto)».
«Usó los ETH prestados y el saldo ETH restante (6.796+3.083) para pagar el préstamo rápido de 7.500 con un beneficio neto de 2.379 ETH (9.879-7.500). El pool bZx ETH perdió alrededor de 1.8 millones de dólares, mientras que el pool sUSD ganó USD 1.1 millones y el atacante ganó 640.000 dólares», destacó Cermak quien añadió que aparentemente ninguno de los fondos de los usuarios se había perdido.
This was quite an elegant “attack.” This is what happened:
1) Take out a flash loan of 7,500 ETH
2) Trade 3,517 ETH on Synthetix for $940k sUSD (at price close to $1)
3) Use 900 ETH to market buy sUSD on Kyber and Uniswap to push the price to more than $2
— Larry Cermak (@lawmaster) February 18, 2020
Kyle Kistner, cofundador de bZx, sugirió en Telegram que «este ataque parece ser un ataque de manipulación de oráculo», pero que se podía neutralizar como se hizo la última vez.
Hubo comentarios en las redes sociales sobre cómo los incidentes vividos por bZx pudiesen apuntar a la centralización, lo que contrasta con el área de las finanzas descentralizadas o DeFi. El usuario @brokerlesscc dice que mientras DeFi avanza con mucho auge, las acciones de los administradores de detener las operaciones de la plataforma al presionar un botón están enviando un mensaje en la dirección opuesta.
As the decentralized finance juggernaut rolls inexorably forward, the exploitation of defi project Bzx – in which $350K, or around 2% of total assets was taken – has called the decentralization of the industry into doubt. https://t.co/B2RfJFLP7K pic.twitter.com/uPISu54PAR
— brokerless (@brokerlesscc) February 18, 2020
El 8 de febrero se informó que las DeFi de Ethereum resguardan más de 1.000 millones de dólares en criptomonedas, lo que para muchos podría suponer una potencial manipulación del mercado.
