عوامل مخرب توانستند پس از سوءاستفاده از قیمت های موجود در bZx پروژه وام دهی بر بستر اتریوم، تقریبا ۶۳۰,۰۰۰ دلار اتر به دست بیاورند.
این حمله، که دومین حمله طی کمتر از یک هفته بود، در ساعت ۳ سه شنبه رخ داد و طی آن، حمله کنندگان وام ۷۵۰۰ اتر به ارزش تقریبی ۱.۹۸ میلیون دلار دریافت کردند. سپس از ۳۵۱۸ اتر (تقریبا معادل با ۹۳۹,۳۰۰ دلار) استفاده کردند تا استیبل کوین sUSD بخرند و سپس آن را به عنوان وثیقه برای وام bZx قرار دادند.
سپس از ۹۰۰ اتر (تقریبا معادل با ۲۴۰,۰۰۰ دلار) برای افزایش ارزش sUSD از طریق شبکه کایبر پرداختند تا اینکه قیمت این استیبل کوین به ۲ دلار افزایش یافت. با استفاده از این وثیقه، وام دیگری به ارزش ۶۷۹۶ اتر (تقریبا معادل با ۱.۸ میلیون دلار) دریافت کردند که از آن برای بازپرداخت وام اصلی ۷۵۰۰ اتر استفاده کردند و ۲۳۷۸ اتر باقی مانده را به جیب زدند.
کل دارایی سرقت شده تقریبا ۶۳۳,۰۰۰ دلار بود. این حمله از ابتدا تا انتها بیش از یک دقیقه بیشتر زمان نبرد. اکنون که sUSD به قیمت یک دلار برگشته است، حمله کنندگان وام باز با نیمی از وثیقه مورد نیاز را به جای گذاشته اند.
پس از این حمله، مجموع اتر مسدود شده در قراردادهای وام دهی bZx تقریبا از ۴۰,۰۰۰ اتر (تقریبا ۱۰.۷ میلیون دلار) به ۲۳,۰۰۰ اتر (تقریبا ۶.۱ میلیون دلار) کاهش یافته است.
حساب رسمی توییتر bZx تایید کرده است پس از آنکه تراکنش های مشکوک استفاده کننده از وام های سریع و معاملات در Synthetix را شناسایی کرد، انجام معاملات را به حالت تعلیق درآورده بود. سخنگوی bZx در کانال تلگرام این شرکت تایید کرد که این نقص را برطرف خواهند کرد.
این حمله چند روز پس از آن رخ داد که bZx قربانی حمله مشابه و مبتنی بر وام سریع (flash loan) شده بود که طی آن، بیش از ۳۵۰,۰۰۰ دلار ارز دیجیتال از این پلتفرم سرقت شد. هنوز مشخص نیست که این دو حمله توسط یک شخص یا گروه انجام شده است یا خیر.
وام سریع چیست؟
بخش عمده ای از پلتفرم های وام دهی دیفای بر وام های وثیقه ای متکی است. طی این وام ها، وام گیرنده ها معمولا میتوانند فقط ۷۵ درصد ارزش وثیقه خود را وام دریافت کنند. اگرچه این موضوع باعث ترغیب کاربران به بازپرداخت وام ها میشود، اما این به این نکته نیاز دارد که وام دهندگان، نقدینگی بسیار زیادی داشته باشند تا بتوانند وام ها را سریعا نقد کنند.
وام های سریع، ابزاری هستند که به کاربران امکان میدهند تا وام ها را از جانب وام دهنده نقد کنند. نحوه کار این وام ها اینطور است که معامله کننده از وام دهنده یک وام دریافت میکند (این بار هیچ وثیقه ای ارسال نمیکند) سپس بدهی خود را پرداخت میکند و سپرده را برمیدارد. با استفاده از سپرده، آنها میتوانند وام اصلی را پرداخت کنند و سرمایه باقی مانده را برای خود بردارند.
وام های سریع در سایر پروژه های دیفای نظیر پلتفرم وام دهی Aave Protocol از ابتدای سال در دسترس بوده است.
پلتفرم bZx ابزار وام سریع خود را در روز دوشنبه عرضه کرد. تام بین (Tom bean) مدیرعامل bZx از تصمیم معرفی وام های سریع در این پلتفرم دفاع کرد. وی در کانال تلگرام این شرکت نوشت:
کدهای وام سریع در bZx به هیچ وجه طوری نبود که اجازه چنین حمله هایی را بدهد، بلکه صرفا ابزاری بود که عملکرد مناسبی داشت و میتوانست با وام های سریع Aave و DyDx مبادله شود.
کایل کیستنر (Kyle Kistner) مدیر ارشد چشم انداز آنی bZx نیز تایید کرد که هک وام سریع کاملا قابل پیگیری بوده است. وی خاطرنشان کرد که bZx در نظر دارد تا یکپارچه سازی با چین لینک (Chainlink) را سرعت ببخشد تا باعث یکسان سازی قیمت ها و جلوگیری از دستکاری های اوراکل شود.
