Стартап bZx лишился $350 тысяч в ходе конференции ETHDenver-2020, где команда выступила с докладом о преимуществе созданного протокола для рынка децентрализованных финансов (DeFi). Атака хакера вынудила компанию срочно остановить кредитно-инвестиционный сервис и работу принадлежащей ей торговой площадки Fulcrum.
Средства клиентов bZx не пострадали, атака не привела к взлому платформы, но использовала уязвимость «ценовых оракулов», которые определяют курсы криптовалют при выдаче и возврате кредита.
Стартап bZx пока не публиковал подробностей атаки, расследование провел портал CoinDesk, выяснивший, что площадка использовала лишь один источник информации. Поставщиком курс для выдачи и погашения кредитов была стоимость Wrapped Bitcoin (WBTC) – смарт-контракта на платформе Ethereum, используемого отраслью DeFi.
Злоумышленник применил гениально простую схему, воспользовавшись низкой ликвидностью WBTC. Он оформил на bZx кредит на 10 000 ETH. Половину этих средств он отправил на другой кредитный сервис – DeFi Compound, купив на них 112 WBTC.
Что произошло далее, видно на графике Wrapped Bitcoin. Купленных 112 WBTC хватило, чтобы устроить памп +20%. На пике роста, трейдер меняет оставшиеся 5000 ETH в сервисе bZx на WBTC, которые тут же продает, что уже приводит к дампу. Он возвращает курсы к первоначальной точке, позволяя злоумышленнику закрыть все кредиты, сохранив по 20% заработка на каждом из пропорционально разделенном депозите.
С вычетом всех издержек, сумма прибыли составила $350 тыс при вложенных $2,67 млн, вряд ли можно считать это хакерской атакой. Компании было удобно включить в ценообразование Ethereum-контракт WBTC, потеря средств – плата за ошибку ценовой централизации.
Команда bZx уже пообещала возместить средства пострадавшим инвесторам, выступившим второй стороной сделки.