如何在几分钟内“合法”赚取30万美元+ 60万美元免费

DeFi（去中心化金融）是加密货币社区中的热门话题，这已不是什么秘密。您只需要查看DeFiPulse.com，就可以发现各种DeFi智能合约已经锁定了超过10亿美元的资金。

在过去的几个月中，随着越来越多的投资者蜂拥而至，以利用不同的DeFi协议可以提供的任何财务优势，这一数字已经大大增加。

但是，在过去的一周中，对特定DeFi网络进行了大规模攻击，在业界引起了一些警报和关注。在名为bZx（DeFi借贷平台）的平台上，一位用户设法通过两次单独攻击获得了近100万美元。

在本文中，我将尝试通过发生的情况来解释此攻击者如何使用两个单独的攻击媒介在两个不同的情况下设法利用DeFi生态系统内的一些安全漏洞。这可能会有些复杂，但是我已经尝试过让您尽可能简单。

让我们从第一次攻击开始。

情人节袭击-利用流动性不足的市场

第一次攻击发生在情人节，而bZx团队计划在ETHDenver的DeFi会议上发表演讲。作为一个简短的摘要，黑客基本上设法在一个平台上获得了一笔快速贷款，并将这笔贷款发送给了另外两个平台，在他开设“空头”（卖出）头寸之后，他利用低流动性获得了可观的收益。

这是发生的事情的分解。

攻击者在dYdX上获得了10,000 ETH的快速贷款，价值约260万美元。速记贷款基本上是基于代码的基于DeFi的贷款，因此，由于代码保证可以偿还贷款，因此不需要任何条件。所有步骤都被一次性编码到智能合约中，因此借贷，操作（贷款用途）和还款都在一次交易中进行。

通过这笔10,000 ETH贷款，向复合财务发送了5,500 ETH。它被用作攻击者获得112 wBTC贷款的抵押。这基本上只是以1：1为基础的ERC-20合成BTC令牌。在这里，攻击者将wBTC保持准备就绪，以便以后在其代码行中进行转储。

1,300 ETH被发送到Fulcrum（bZx）平台，用于为wETHwBTCx5市场上的wBTC开立ETH空头仓位。基本上，这意味着他做空了ETH并买进了wBTC，因为攻击者知道wBTC将要增加（因为他们计划了什么）。注意市场名称末尾的x5。这意味着他们使用了5倍的杠杆率，从而将其1,300 ETH膨胀为大约5,600 ETH。

然后使用KyberSwap将这5,600 ETH交换为51.34 wBTC。现在，这是魔术发生的地方。由于wBTC内流动性低，这种大的掉期导致市场下滑-使得wBTC的价格飙升。 wBTC的转换率达到109.9 wETH左右，约为正常转换率58.5 wETH / wBTC的三倍。

还记得5倍的sETHwBTC空头头寸吗？好吧，由于wBTC的转换价更高，这个位置现在处于高水平的盈利。

然后，攻击者通过UniSwap（另一个DeFi平台）将他们从Compound借来的112个wBTC出售回wETH，这使他们净赚了6,871 ETH。然后，攻击者继续偿还在dYdX上获得的10,000 ETH的原始贷款。

在通过Compound，bZx和其他wETH套利头寸完成所有计算之后，攻击者从第一次攻击中获得了约1,271 ETH的净收益，为他们带来了约31万美元的利润（以ETH价格约为250美元）。

一旦bZx团队注意到此攻击，他们便暂停了平台并在进行了一些安全性调整后不久重新打开。这使攻击者可以进行单独的攻击。

第二次攻击-操纵价格先知

几天后，我们看到了第二次攻击，其中攻击者通过不同的攻击媒介设法获得了大约2,388 ETH（约合600,000美元）。这种攻击媒介涉及价格操纵。

这是发生的事情的细目。

攻击者又获得了7,500 ETH的快速贷款（可能再次在dYdX上）。

他们用这笔贷款中的约3,518 ETH在Synthetix平台上购买了sUSD。在此交易中，他们以接近1美元的价格购买了大约940,000美元的sUSD。

然后将这笔sUSD发送至bZx，并用作平台上的抵押品，以备后用。

然后，攻击者使用原始贷款中的另外900 ETH在Kyber和UniSwap上购买sUSD。注入sUSD市场导致sUSD的价格飙升至2美元。

现在，sUSD的价格为2美元，这使攻击者可以从bZx上获得比他原本应该多得多的贷款。这是因为放置的sUSD抵押品看起来比实际要大得多。

随着通货膨胀的sUSD价格，攻击者得以在bZx上获得6,796 ETH的贷款。他们用这笔钱和剩余的ETH余额（3,083 ETH）偿还了他们所借出的原始快速贷款。

这导致攻击者总共获得了2388 ETH，而bZx的流动性损失了180万美元，sUSD的流动性增加了110万美元。剩下的60万美元留在了攻击者的手中。

我们学到了什么？

这种攻击肯定表明，DeFi协议使用的Oracle提要很容易受到操纵，并揭示了如何利用不同的攻击媒介。 bZx团队表示，他们正在加快实施名为ChainLink的新分散式预言机的工作，它将从许多不同的提要中获取价格数据，以防止可能的攻击源。

然而，对bZx的损害已经发生，从长远来看，很难判断它们的声誉是否会受到影响。

我们确实知道的一件事是，这凸显了DeFi可能仍未准备好进入大众市场，短期内仍将需要集中的“安全措施”。

—-

原文链接：https://coincodex.com/article/7056/how-to-make-300k-600k-for-free-in-minutes-legally/

原文作者：Yaz Sheikh

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。