ETH:bZx事件的启示：利用DeFi协议和产品的一次套利操控

编者按：本文来自蓝狐笔记，Odaily星球日报经授权转载。黑客在ETHDenver大会期间对bZx发起攻击，就像是对DeFi精心策划的一次精准伏击。虽然损失的金额不大，但它显然对过去两天的市场行情产生了一些影响。什么是bZx事件？

虽然很多人称bZx事件为“攻击事件”，但它本质上更像是利用DeFi协议和产品的一次套利操控。“攻击者”充分利用DeFi的多个协议和产品的功能，以很低成本获得资金，通过操纵价格，实现获利。此次操作十几秒，也就是以太坊一个区块的时间。它发生在2020年2月15日以太坊区块高度9484688期间。整个操作大致如下：第一步，通过闪贷从dYdX中借出了10,000个ETH。第二步，当“攻击者”拿到10,000个ETH后，它将其中5,500个ETH存入Compound作为抵押品，并借出112个wbtc。这112wbtc为后续抛售做准备。第三步，将1,300个ETH存入bZX，发起bZx保证金交易，借入5637.6个ETH，并通过Kyber的Uniswap储备库，兑换获得51.3个wbtc，导致产生极大的滑点。第四步，wbtc的价格在Uniswap上被拉高3倍多，然后攻击者将从Compound借来的112wbct抛售，这导致产生6871.4个ETH的回报。第五步，攻击者归还10,000ETH的dYdX闪贷。那么，这时攻击者的余额有71.4ETH。其中的6871.4ETH和未动用的3200ETH，加起来一共是10,071.4ETH。因此，偿还闪贷后，还剩余71.4ETH。此外，攻击者还剩余Compound和bZx的头寸，其中Compound里有5,500WETH抵押品和112wbtc债务，bZx有4337WETH债务和51wbtc的抵押。根据市场价格，攻击者可以用大约4300ETH便可兑换出112wbtc，那么，也就是说攻击者归还112wbtc换回5500WETH，也就是1200ETH，那么加上之前71.4ETH，攻击者大约获利1,271.4个ETH，按照当时ETH280美元左右的价格，攻击者大约获利在35万美元左右。无须许可的可组合性的另一面

bZx回应用户挖矿奖励结果有差异 称计算方式可更改问题不大:10月17日早间，去中心化借贷平台bZx官方发推称，在流动性挖矿中，官方计算的是三周的挖矿奖励，而不是三个一周的挖矿奖励。该计算方式导致了一些早期用户收到的奖励结果与预期奖励结果之间存在一定差异。官方称，如果社区治理希望在将来纠正这一点，是可以做更改实现的。刚刚，bZx官方再次更新推文称，而这最终影响是代币在流动性挖矿计划的参与者中分布更广。官方称：“我们不认为这是一个严重的问题”。[2020/10/17]

DeFi是无须许可且可组合的，这些“货币乐高”可相互支持。好处是，利用其他货币协议迅速构建出产品和服务。以Maker的稳定币Dai为起点，构建出了Compound的借贷、Uniswap和kyber的去中心化交易、dydx保证金交易、pooltogether的加密乐透、dAppHub的Chai代币......为用户提供了全新的开放金融服务。这一独特的属性属于DeFi，但同时它也是双刃剑，一旦其中的某个货币协议出问题，也会影响其它协议或产品。这次零成本的“攻击”运用了不同DeFi协议和产品的闪贷、保证金交易、抵押借贷、去中心化交易等功能，其中涉及到协议和产品，几乎是DeFi领域的半壁江山，dYdX、Compound、Uniswap/kyber、bZx等。这次“攻击”之所以能实现就是基于这些无须许可的DeFi协议和产品的可组合性。这次攻击的厉害之处在于攻击者并没有动用自有资金，完全是通过利用DeFi协议和产品进行操作。其中关键的是闪贷不用抵押，只要在一个以太坊区块内偿还即可。由于不用抵押资产，这也是本次bZx“攻击”事件可以实现空手套白狼的关键起点，此外5倍的保证金交易导致攻击者可以低成本借入大量的代币。不过要最终达成目的，“攻击者”还需要通过价格操纵来实现，其核心是WBTC/ETH的价格操纵，通过拉升WBTC，然后将其抛售产生收益。其实此类事件不是第一次发生。蓝狐笔记之前也提到synthetix曾发生过的“攻击事件”《DeFi与加密世界的经济危机》。去中心化预言机和DeFi保险需求的增加

DeFi借贷协议bZx将于9月1日开启流动性挖矿:8月31日，DeFi借贷协议bZx官方宣布，将于9月1日开启流动性挖矿。此前消息，在bZx协议的通证经济生态中，分为iToken、pToken和GovernanceToken（BZRX）三种。iToken是用于累积利息的通证，它代表了借贷池中的份额，随着借方向其中支付利息，借贷池中的份额会不断增加。iToken可以交易，用作抵押品，或是由开发人员组合成结构化产品。pToken是用于加杠杆的通证，它代表了某标的资产特定倍数的多头或空头头寸。BZRX则是治理通证，为中继节点收集交易手续费，有点像中心化交易平台中有权益属性的平台币。[2020/8/31]

由于DeFi具有潜在安全性的问题，bZx事件让去中心化预言机和DeFi保险再次进入人们的视野。在此次事件后，bZx计划与去中心化预言机项目Chainlink合作，以防止价格操控。除了Chainlink，其他的去中心化预言机也会有需求，毕竟单个预言机的风险相对较高。目前Tellor、Dos、Band、Nest等都在探索去中心化预言机的方向。关于去中心化预言机的相关内容可以参考之前的文章《ChainLink、预言机与两个世界的连接》、《一文读懂Tellor：PoW的预言机有什么不一样？》。DeFi保险也日益重要。鉴于DeFi潜在的安全风险，DeFi保险可以打消不少用户参与的担忧，像NexusMutual、Opyn等DeFi保险项目开始为用户提供保险服务。根据NexusMutual的披露，当前一共有6位bZx用户在NexusMutual上购买了保险，一共价值8.7万美元的保险，如有损失可获理赔。此外，Opyn也开始为Compound上的用户质押资产提供保险服务。随着DeFi领域锁定资金量级的增加，去中心化预言机和DeFi保险的需求也会随之相应增加。

数据：bZx ETH借出年利率降至16%，或表明更多贷方已回归:DeFi贷款协议bZx近期连续遭遇两起恶性攻击事件，为了吸引更多的贷方，该平台借出ETH的年利率曾一度高达41.9％。目前，该数字已降低至16%，虽然仍高于其他各大DeFi平台，但通过数据可看出，已有更多的贷方重新回到了bZx。（CryptoBriefing）[2020/3/9]

动态 | bZx使用管理员密钥取消智能合约时间锁功能:bZx 宣布已使用管理员密钥移除了智能合约中的时间锁，以应对最近频繁发生的黑客套利事件。bZx 称，一旦平台通过测试，将会恢复时间锁功能。据此前报道， bZx 最近频繁遭受两次黑客套利行为，两次攻击的主要是因为 Uniswap 的价格的剧烈变化最终导致资产的损失，这本该是正常的市场行为，但是通过恶意操纵市场，攻击者可通过多种方式压低价格，使项目方造成损失。[2020/2/19]

标签：ETHBZXEFIDEFETHBNbzx币团队ZEFI币DeFi Firefly

比特币行情热门资讯