围绕区块：分析bZx攻击，DeFi漏洞，加密中的借记卡状态以及其他加密新闻

bZx攻击和DeFi漏洞分析

DeFi正在以一种使金融工具可访问，可编程且对所有人有用的方式将金融工具引入互联网。就像互联网如何使任何人都能轻松创建，共享和编程信息一样，DeFi也在金钱和财务上做同样的事情。

DeFi产品是不可靠的，全局的（任何人都可以访问），透明的（任何人都可以检查代码）和不可变的（除非经过编程才能更改）。它们也可以相互组合，可以在彼此之上构建产品，类似于将乐高积木组合成大于其总和的东西。

搭建舞台

这是一个新颖的环境。任何人都可以编程财务。今天的结果是一个流动而强大的金融工具网络，这是创新和实用的新温床。例如，DeFi创建了一种称为“快速贷款”的产品 -本质上是无风险的贷款，任何人都可以在单笔交易期间借入数百万美元。如果到交易结束时您还没有偿还贷款，则整个交易都将回滚。没有资金面临风险，任何最终用户都可以出于任意目的而部署大量资金。

那么bZx攻击发生了什么？

BZx （又名Fulcrum）是一种DeFi产品，提供令牌化的借/贷和保证金交易平台。任何人都可以向bZx的资金池增加资本并从其资本中借贷，或者通过保证金交易其他资产来利用多头或空头。他们的平台利用DeFi的可组合性，使用许多其他DeFi协议来完全服务于这些产品。

攻击的核心是一项难以置信的交易，该交易借入了数百万美元的速记贷款，然后通过几种DeFi协议将这些资金穿行，以优雅地操纵和利用bZx的抵押池。看一下这个：

1. 攻击者通过DyDx （乐高＃1）的快速借贷借入了1000万美元的ETH，在此过程中没有抵押品。
2. 使用500万美元的ETH在bZx上的ETH-wBTC簿中获得5倍空头头寸（Lego＃2）。 BZx将订单转发给KyberSwap （Lego＃3），后者调查了可能的最佳汇率，并最终在Uniswap （Lego＃4）上完成了订单。这导致了明显的滑点，并使Uniswap的wBTC价格上涨了3倍。
3. 将其余的500万美元的ETH携带给了Compound （Lego＃5），并借以ETH抵押品借入了wBTC堆栈。
4. 用这个借来的wBTC卖给Uniswap的虚高价格
5. 使用步骤4的利润和步骤2的收益，全额还清了快速贷款，交易成功完成。

这一操作产生了71 ETH的直接利润，以及对价值1200 ETH的Compound的有效贷款，净利润为1271 ETH（当时价值$ 355K）。该交易还产生了一个活跃的bZx贷款，该贷款在水下很深，这就是“损失”的来源。

关键机制是能够在交易薄的书（ETH-wBTC）上获得5倍大的保证金空头头寸的能力，这导致了明显的滑点。 BZx旨在防止这种情况的发生，但是攻击者发现了一个聪明的漏洞，绕过了这些检查。这项疏忽使bZx抵押品池遭受了巨大损失，而此过程中的所有其他乐高积木均按设计运行，未造成任何损失。要了解更多信息，Peckshield 在这里提供了出色的细分。

善后和第二次进攻

攻击后，bZx团队立即使用他们的管理员超级键来暂停 bZx的交易和借入 ，并修复了潜在的错误。当社区讨论这种新攻击并恢复交易和借贷时，通过类似的机制发生了第二次攻击 。

第二次攻击与第一次攻击类似，但是不需要绕过任何滑移规则。取而代之的是，利用一笔小额贷款将Uniswap的Synthetix美元价格提高到2美元（而不是1美元），然后MyToken提示：