Decentralizované finance za posledních několik měsíců nepochybně exponenciálně rostly a doteď fungovaly skoro s čistým štítem. Co se změnilo?
Pravdou je, že navzdory silnému nárůstu uživatelů, kapitálů a velkému počtu protokolů, DeFi nepřekvapil žádný větší hack či bug. Ano, stala se nechvalně známá chyba u Yam, nejednalo se ale o žádnou velkou ztrátu.
V neděli 13. září však DeFi zasáhla velká chyba na protokolu bZx, obchodní platformě pro peněžní trh a on-chain na Ethereu.
8 milionů USD v Etheru, Chainlinku a Stablecoinech
V neděli ráno se uživatelé a samotný bZx vydali na Twitter, aby varovali uživatele DeFi, že se s protokolem něco stalo. V té době tým stojící za projektem, založeným na Ethereu, tvrdil, že při záhadném útoku nedošlo ke ztrátě finančních prostředků uživatelů.
Někteří analytici zmírňovali paniku tvrzeními, že miliony v mincích, jako je Ethereum, Chainlink a jiné stablecoiny, byly staženy do externě vlastněných účtů. Což jsou v podstatě účty, které nejsou chytrými kontrakty a jsou ve vlastnictví někoho mimo protokol.
Co se vlastně stalo
O několik hodin později vydal spoluzakladatel projektu Kyle Kistner zprávu o tom, co se skutečně stalo.
Jednoduše řečeno, došlo k chybě, která uživatelům umožnila na protokolu bZx duplikovat iTokeny:
„Každý token ERC20 má funkci transferFrom , která je zodpovědná za přenos tokenů. Tuto funkci bylo možné vyvolat, abyste vytvořili a přenesli iToken na sebe, což vám umožnilo uměle zvýšit vaš zůstatek. “
Podle všeho se jednomu útočníkovi podařilo pomocí této strategie během několika hodin odčerpat 219 199 LINK, 4 502 ETH a přibližně 4 miliony USD ve stablecoinech. To představuje ztrátu kolem 8 milionů dolarů.
Marc Thalen, vedoucí inženýr na Bitcoin.com, uvádí, že pomohl týmu identifikovat problém. Thalen byl za své úsilí údajně odměněn částkou 12 500 USD.
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— Marc Thalen (@MarcThalen) September 14, 2020
Veškeré prostředky byly nakonec vráceny
Přestože by byly jakékoli ztráty vyplaceny pojistným fondem bZx, vyšlo také najevo, že „chybějící prostředky jsou nyní obnoveny“.
To naznačuje, že prostředky ukradené útočníkem byly vráceny zpět týmu bZx.
📢 UPDATE:
We are relieved to announce that the missing funds are now restored. More information will follow.
Stay tuned!
— bZx (@bZxHQ) September 14, 2020
Není příliš jasné, proč tomu tak je, ale stejně jako v případě hacku dForce se mohlo stát, že se uživatelům podařilo zjistit, kdo byl útočníkem, a pod hrozbou předání donucovacím orgánům útočník finance vrátil. Existují zvěsti, že účet, použitý k hacku, je přímo propojen s účtem Binance.
Závěr
Přestože měl tento případ dobrý konec, podobné útoky mohou ohrozit popularitu DeFi. Naštěstí nejsou tak časté, aby ovlivnily jejich exponenciální křivku. Alespoň prozatím.
