- La compañía bZx detrás de la Dapp basada en Ethereum, Synthetix, confirma que el ataque más reciente sustrajo 600K USD de su sistema.
- Después de una investigación bZx determinó que el segundo ataque fue completamente diferente al original. Se trató de una modificación del oracle de la plataforma Synthetix.
La compañía bZx ha tenido una semana difícil. Después de reportar un primer ataque a su plataforma de trading y préstamo basada en Ethereum Fulcrum el 14 de febrero, la compañía confirmó que sufrió un segundo ataque el lunes 17 de febrero. El segundo ataque se dirigió a la plataforma Synthetix.
Contrariamente a lo que se especulaba, bZx afirmó que después de una investigación lograron determinar que el segundo ataque fue una versión modificada del original. En el segundo ataque se manipuló el oracle del protocolo de Synthetix. En el ataque a Fulcrum se robaron 1193 ETH o 300K USD, en el segundo ataque se robaron alrededor casi el doble con 600K USD perdidos del sistema de bZx. La compañía afirmó en su cuenta de Twitter (traducido libremente):
Afortunadamente, somos capaces de retrasar la realización de la pérdida de nuevo, y creemos que el sistema puede recuperarse de esto.
El primer ataque consistió en una manipulación a varios protocolos que resultaron en un préstamo no garantizado en la plataforma Fulcrum. bZx lanzó una actualización que en teoría debería prevenir ataques parecidos. El segundo ataque, por el contrario, no afectó al protocolo de la plataforma Synthetix. El atacante manipuló el oracle para afectar al token de la plataforma, el «sUSD». bZx afirmó (traducido libremente):
La reserva del sUSD en Kyber contenía un APR y un pool de Uniswap. Creemos que el atacante fue capaz de manipular ambos al mismo tiempo, manteniendo y evitando nuestro control de ambos lados de la propagación.
Una actualización será necesaria para permitir que la plataforma se mantenga funcionando con limitaciones. Además, la compañía fortificará la seguridad de sus plataformas. bZx trabajará con Chainlink y otros proveedores de oracle para robustecer y crear un nuevo oracle y reducir la posibilidad de ataques futuros (traducido libremente):
Nos reuniremos con Chainlink hoy y aceleraremos la adición del oráculo a nuestro modelo. Después de que esto se añada, nos pondremos en línea con una funcionalidad extremadamente limitada: prestar, no prestar y cerrar posiciones/préstamos. Las nuevas posiciones y los nuevos préstamos no estarán disponibles.
Critícas a bZx y última actualización del segundo ataque
Además de sufrir los ataques, la compañía bZx ha sido objeto de fuertes críticas. Para poder mitigar los efectos de los ataques, el equipo de bZx decidió usar su llave de administrador y alterar las condiciones del smart contract. Esto ha puesto en duda la descentralización de las plataformas de bZx y ha causado suspicacia entre los usuarios. bZx hizo la siguiente advertencia (traducido libremente):
Hemos presionado un cambio usando nuestra clave de administrador para eliminar el bloqueo temporal de los contratos. Lo reinstalaremos una vez que sintamos que la plataforma está más probada en batalla. Esto también nos ayudará a desactivar el sistema tan pronto como el código del oracle haya terminado de ser auditado.
Los inversores de Fulcrum y Synthetix también han expresado preocupación por los fondos que todavía tienen en las plataformas. bZx declaró que los usuarios no tendrán pérdidas. Además, también advirtió a sus usuarios que podrían presentar inconsistencias en su balance de fondos en las plataformas (traducido libremente):
Si su saldo en la UI (Interfaz de Usuario) muestra menos de lo que prestó cuando trató de des-prestar, eso sólo refleja las condiciones actuales de liquidez. Su saldo en ETH no ha cambiado.
Como resultado de los ataques, el intercambio descentralizado Totle puso en pausa una cooperación que iban a lanzar con bZx. Sin embargo, anunciaron que integrarán los token pTokens de bZx en su plataforma.
Hace media hora, al momento de publicación, bZx confirmó que los fondos robados están suspendidos. La compañía afirmó que el atacante perdió control de los fondos debido a que su sistema se encuentra bajo mantenimiento de margen.
The attacker lost control of his collateral because the system recognizes it is under margin maintenance. Every loan under margin maintenance has the collateral liquidated. The attacker's collateral is no exception.
— bZx (@bzxHQ) February 19, 2020
Suscríbete a nuestro boletín de noticias semanal.
Sin spam, sin mentiras, solo grande información. Puedes cancelar tu suscripción en cualquier momento.
¡Síguenos en Facebook y Twitter y no te pierdas ninguna noticia!, ¿le gusta nuestro índice de precios?
