一步步揭开利用借贷协议 bZx 套取 51BTC 的真相

昨天，DeFi借贷协议bZX被操作，0成本套利51BTC，一步一步解释黑客是如何操作的。

原文标题：《DeFi低调分享|如何空手套白狼51个BTC》
撰文：Bowen

从昨天晚上所有DeFi相关的群里就热闹了起来，主要是因为bZx受到Oracle(预言机)攻击，存币用户受到了损失。

很多分析没有一步一步解释黑客是怎么通过声东击西，在5个DeFi产品中，以0成本套利。

我们梳理了整个攻击过程。

结论：

黑客通过多合约调用，在一笔链上交易中，用0抵押金，让bZx借贷池损失51.34BTC，在Compound得到18w美金等值的存款。
bZx锁定管理权限，黑客没有成功提取51.34BTC盈利。

简单介绍一下bZX

bZx是一种去中心化的保证金交易协议。
Fulcrum（bZx产品名）的功能是能够使用代币作为抵押来借贷。
为了确定需要多少抵押品去借钱，bZx使用Kyber作为链上预言机来检查抵押品和借贷的比例。

简单来说，bZx类似一家银行，用户通过抵押虚拟货币，加杠杆借贷。
和银行一样，用户抵押100元的房子（BTC,ETH）,换出66元的现金（DAI,USDC）

但是银行的借款，贷款，清算都是一家机构独立完成。
然而bZx的保证金交易依赖Kyber的链上流动性和报价。
也就是说bZx对抵押品的价格的估算，是依靠Kyber完成的。

我们了解胰腺癌Kyber网络的功能。
Kyber网络从储备（Reserve）中获取流动性。
当用户想要在两个代币A和B之间进行交易时，
主Kyber合约将查询所有已注册的储备金以获取A/ETH和ETH/B之间的最佳汇率，
然后使用所选的两个储备金进行交易。

黑客通过操控Kyber和UniswapWBTC/ETH的价格，完成了空手套白狼的交易。

黑客攻击步骤：

那么问题来了：
谁赚了钱？
谁赔了钱？
到底谁犯了错？

结论：

利益相关：

DDEXMargin是一个去中心化交易平台，可以杠杆交易，借贷，生息。DDEXMargin通过在以太坊上的智能合约完成100%保证金交易。

来源链接：mp.weixin.qq.com

—-

编译者/作者：Hydro社区

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。