Merkeziyetsiz kredi protokolü bZx, yalnızca birkaç gün arayla toplamda 954 bin dolar kayba uğratan iki siber saldırıya uğradı.

Protokol, bZx'in raporuna göre ilk kez 14 Şubat'ta, ekip ETHDenver etkinliğindeyken saldırıya uğradı. İkinci saldırı ise 18 Şubat'ta gerçekleşti.

İlk saldırı nasıl oldu?

Saldırganlar, birden çok DeFi protokolünü önemli miktarda Ether ve Ethereum blockchain ağında Bitcoin (BTC) fiyatını takip eden bir token olan Wrapped Bitcoin (WBTC) kredisi çekmek ve fiyatları manipüle ederek merkeziyetsiz kaldıraçlı alım satımdan kar elde etmek için kullandı.

Saldırgan, ilk olarak merkeziyetsiz kredi protokolü dYdX'ten 10 bin Ether (ETH) borç aldı ve bunun 5.500'ünü (1,46 milyon dolar), DeFi protokolü Compound üzerinde aldığı 112 WBTC kredisi (1 milyon dolardan fazla) için teminat olarak gösterdi.

Saldırgan, bunun ardından 1.300 Ether'i (372 bin dolar) bZx'in Fulcrum alım satım platformuna ETH/BTC paritesi için 5 kat kaldıraçlı pozisyon açılması amacıyla gönderdi, onun ardından da Kyber Uniswap yoluyla 5.637 ETH kredi alarak bu parayı 51 WBTC ile değiştirdi ve büyük bir fiyat kaymasına neden oldu.

Saldırgan, Compound'da kredi olarak aldığı 112 WBTC'yi 6.671 Ether'e dönüştürerek 1.193 ETH (318 bin dolar) kar sağladı. Saldırgan, en sonunda da dYdX'ten aldığı 10 bin ETH krediyi ödedi.

Kapsamlı araştırmaya göre saldırganın kaldıraçlı alım satımı başlattığı işlemin güvenlik önlemleri tarafından önlenmesi gerekiyordu fakat, bZx'in akıllı sözleşmesinde bir hata nedeniyle önlenemedi. Protokol ekibi, hatanın düzeltildiğini duyurdu.

İkinci saldırı

İkinci saldırının nasıl gerçekleştiği henüz tam bilinmiyor fakat, projenin CVO'su ve operasyon lideri Kyle Kistner, resmi bZx Telegram grubunda bunun bir Oracle manipülasyonu saldırısı olabileceğini söylediOracle, zincir dahilinde uygulamalara harici veri sunan bir merkezi bileşendir.

The Block, zararın 2.388 ETH (636 bin dolar) olduğunu tahmin ediyor. Kistner, ekibin ilk saldırıda olduğu gibi kullanıcıların zararını karşılayacağını belirtti. Kistner, bZx geliştiricilerinin Chainlink protokolü üzerindeki Oracle'a geçerek sistemi daha güvenli hale getireceklerini ekledi.