Geçtiğimiz haftaya damgasını vuran bZx saldırısının detayları netleşti. Eski Google mühendisi, tek işlemde 350 bin dolar kazandıran "saldırı" ile ilgili bilgi verdi.
Merkeziyetsiz finans (DeFi) kredi platformu bZx üzerinde hafta sonu yaşanan olay kripto para dünyasını adeta ikiye böldü: Bir kişinin karmaşık manevralarla tek işlemde 350 bin dolar elde ettiği vakayı bir "saldırı" olarak görenler kadar, "sistem açığı" olarak görenler de mevcut. Konuya açıklama getirmeye çalışan eski Google yazılım mühendisi Korantin Auguste, The Block'ta yer alan haberde süreci adım adım anlattı.
Habere göre "saldırgan" işe ilk olarak kredili işlem için vesayetsiz (non-custodial) bir borsa olan dYdX'ten 10 bin ETH (yaklaşık 2,49 milyon dolar) kredi alarak başladı.
Bu paranın yarısını DeFi kredi protokolü Compound'a gönderen şahıs veya şahıslar, Bitcoin tarafından 1:1 oranında desteklenen Ethereum tabanlı "wrapped bitcoin" (WBTC) tokenden 112 adet aldı. Saldırganın bir sonraki adımı, kalan paradan 1.300 ETH'yi bZx'e göndererek, 5x kaldıraçla kısa pozisyon (short) açmak oldu.
Önce krediyi kapattı
Habere göre bZx, Uniswap borsa protokolüne yönlendirilmiş bir Kyber emriyle 5637 ETH'i kendi içinde 112 WTBC'ye dönüştürdü. Ardından, ilk başta alınan 10 bin ETH yine dYdX platformuna geri gönderildi.
Auguste'ye göre saldırgan, bZx'in Uniswap üzerinde 3 kat şişirilmiş fiyatla işlem yapmasına neden olan bir açıktan faydalandı. Saldırganın 112 WBTC'yi 6871 ETH karşılığında satmasını sağlayan ise, "Uniswap'teki arz karmaşası" oldu.
Yaptığı işlemler sonucunda elinde 71 ETH kalan saldırgan, bunun yanı sıra "İşlemi 5500 ETH teminatlı bir Compound pozisyonuyla bitirdi ve sadece 112 WTC ödünç almış oldu. Bunun Compound'daki getirisi yaklaşık 350 bin dolar oldu."
Mantıkta hata var!
bXz'in karşılaştığı bu saldırının sebebini bir sistemin kodlamasındaki bir "mantık hatası" olarak değerlendiren Auguste, saldırganın 350 bin dolar civarında kazanç elde etmesine karşın, protokolün kaybının 620 bin dolara ulaştığına dikkat çekti.
Funds are SAFU:
— bZx (@bzxHQ) February 15, 2020
1/*All users have ZERO losses*. Last night there was a widely reported attack that took place against our protocol. From the perspective of the protocol, someone simply took out a loan. From the perspective of the lender, this loan is like any other.
Geçtiğimiz hafta yaşanan saldırı sonrasında konuyu araştıran bZx ise önceki gün yayımladığı bir tweet dizisinde, hiçir kullanıcının kayıp yaşamayacağını ve protokolün gerekli telafiyi yapacağını duyurdu.