roki
Начинающий
Сегодня произошло 2 драматических события: "поломали" децентрализованную биржу fulcrum и биток выпал с 10к.
Про биток растекаться мыслью про древу не буду, мамкины аналитики уже вовсю это делают за меня, а вот про биржу выскажусь.
Благодаря желанию русских СМИ и около-СМИ побыстрее залить информацию, была допущена ошибка при переводе и теперь новости пестрят о том, что это взлом системы. И да, и нет, пирожок.
Сейчас разберемся, но сначала дисклеймер:
Официального заявления от команды биржи пока что не было, кроме признания наличия неправомерных действий в системе.
Раз
Fulcrum - биржа, работающая в этих ваших эфирных DeFi на протоколе bzx. Основное ее преимущество - маржинальная торговля без третьих лиц. То бишь, можно взять плечо и проебать свой депозит и не относить при этом денежки солцеликому CZ.
Два
Сегодня биржа стала беднее на 350 тысяч эфира. Предварительный анализ говорит, что случилось это не в следствии взлома кода, а в следствии взлома самой сути DeFi и не совсем правильного подхода команды к определению справедливой цены на актив. Технически, хацкер играл по правилам.
Три
Оракулы - это такие ребята, а точнее программы, которые смотрят цену на активы и предоставляют ее биржам и прочим лицам, кому она нужна. Естественно, все это делается на уровне кода, чтобы сама суть DeFi не проебалась. Fulcrum использовали в качестве оракула биржу uniswap.
Это три вводные, которые нужно знать, чтобы понять, что за хуйня произошла.
Теперь к сути (суть вытянули, развернув транзакции: эфир, хули).
Раз
Злоумышленник взял flash loan (быстрый займ, если по-русски, но как же это хуево звучит) на бирже dydx на 10к эфира. Эта котлетка была разделена на две части.
Два
На половину, то есть на 5к эфира, была открыта короткая позиция по паре BTC/WBTC на Fulcrum. (WBTC - биткоин на эфире. По аналогии с USDT, есть хранилище битков, к которому привязан курс. По идее, 1 WBTC = 1 BTC). Вторая половина поехала на Compound, где хитрый перец взял в долг 100+ WBTC.
Три
100+ WBTC были проданы угадай где? Конечно, на uniswap, который является оракулом Fulcrum'а. Ликвидности не хватило, чтобы удовлетворить ордер по текущей цене -> цена начала падать -> uniswap стал отдавать новые значения на биржу.
Шорт нашего красавчика отработал на все 100 процентов. Он погасил все задолженности, которые нахватал и вытащил из системы 350 тысяч эфира.
То бишь, атака произошла в следствии низкой ликвидности (злоумышленник продавил цену, чтобы отыграть свой шорт) + одного-единственного оракула у биржи.
Виноват ли в этом кто-то или это проблема дизайна всей системы - узнаем в следующей серии.
Однако DeFi сейчас на слуху и произошедшее - ахуительный прецедент, который определенно потянет за собой некоторые дискуссии.
Про биток растекаться мыслью про древу не буду, мамкины аналитики уже вовсю это делают за меня, а вот про биржу выскажусь.
Благодаря желанию русских СМИ и около-СМИ побыстрее залить информацию, была допущена ошибка при переводе и теперь новости пестрят о том, что это взлом системы. И да, и нет, пирожок.
Сейчас разберемся, но сначала дисклеймер:
Официального заявления от команды биржи пока что не было, кроме признания наличия неправомерных действий в системе.
Раз
Fulcrum - биржа, работающая в этих ваших эфирных DeFi на протоколе bzx. Основное ее преимущество - маржинальная торговля без третьих лиц. То бишь, можно взять плечо и проебать свой депозит и не относить при этом денежки солцеликому CZ.
Два
Сегодня биржа стала беднее на 350 тысяч эфира. Предварительный анализ говорит, что случилось это не в следствии взлома кода, а в следствии взлома самой сути DeFi и не совсем правильного подхода команды к определению справедливой цены на актив. Технически, хацкер играл по правилам.
Три
Оракулы - это такие ребята, а точнее программы, которые смотрят цену на активы и предоставляют ее биржам и прочим лицам, кому она нужна. Естественно, все это делается на уровне кода, чтобы сама суть DeFi не проебалась. Fulcrum использовали в качестве оракула биржу uniswap.
Это три вводные, которые нужно знать, чтобы понять, что за хуйня произошла.
Теперь к сути (суть вытянули, развернув транзакции: эфир, хули).
Раз
Злоумышленник взял flash loan (быстрый займ, если по-русски, но как же это хуево звучит) на бирже dydx на 10к эфира. Эта котлетка была разделена на две части.
Два
На половину, то есть на 5к эфира, была открыта короткая позиция по паре BTC/WBTC на Fulcrum. (WBTC - биткоин на эфире. По аналогии с USDT, есть хранилище битков, к которому привязан курс. По идее, 1 WBTC = 1 BTC). Вторая половина поехала на Compound, где хитрый перец взял в долг 100+ WBTC.
Три
100+ WBTC были проданы угадай где? Конечно, на uniswap, который является оракулом Fulcrum'а. Ликвидности не хватило, чтобы удовлетворить ордер по текущей цене -> цена начала падать -> uniswap стал отдавать новые значения на биржу.
Шорт нашего красавчика отработал на все 100 процентов. Он погасил все задолженности, которые нахватал и вытащил из системы 350 тысяч эфира.
То бишь, атака произошла в следствии низкой ликвидности (злоумышленник продавил цену, чтобы отыграть свой шорт) + одного-единственного оракула у биржи.
Виноват ли в этом кто-то или это проблема дизайна всей системы - узнаем в следующей серии.
Однако DeFi сейчас на слуху и произошедшее - ахуительный прецедент, который определенно потянет за собой некоторые дискуссии.