Gli eventi degli ultimi giorni hanno inferto un duro colpo ai sostenitori della Finanza Decentralizzata (DeFi): bZx, protocollo decentralizzato per il prestito di fondi, ha subito due attacchi hacker consecutivi che hanno portato al furto di quasi un milione di dollari.

Un resoconto pubblicato da bZx svela che il protocollo è stato compromesso per la prima volta in data 14 febbraio, mentre il team di sviluppo di trovata all'evento ETHDenver. Il secondo attacco ha invece avuto luogo proprio oggi, 18 febbraio.

Il primo attacco

Gli assalitori hanno utilizzato svariati protocolli DeFi per prestare e scambiare quantità significative di Ether e Wrapped Bitcoin (WBTC) — un token sulla blockchain di Etherum che tiene traccia del prezzo di Bitcoin (BTC) — in modo da poter manipolare i prezzi e così generare profitti.

In particolare, gli hacker hanno prima preso in prestito 10.000 Ether (ETH) dal protocollo decentralizzato dYdX, dopodiché utilizzato 5.500 ETH (1,46 milioni di dollari) per collateralizzare un prestito di 112 WBTC (circa un milione di dollari) sul protocollo DeFi Compound.

A questo punto gli assalitori hanno inviato 1.300 ETH (oltre 370.000$) alla piattaforma decentralizzata di margin trading Fulcrum per aprire delle posizioni sulla coppia ETH/BTC con leva finanziaria 5x; hanno successivamente venduto 5.637 ETH per 51 WBTC tramite Uniswap, causando così uno slittamento dei prezzi.

Hanno poi scambiato i 112 WBTC di Compound per 6.671 ETH, generando un profitto di circa 1.193 ETH (quasi 320.000$). Gli hacker hanno infine ripagato il prestito di 10.000 ETH preso originariamente da dYdX.

Questa catena di transazioni non dovrebbe essere in teoria possibile, in quanto sono presenti dei controlli di sicurezza proprio per evitare simili manipolazioni dei prezzi. Questi controlli non si sono tuttavia attivati a causa di un bug presente sullo smart contract di bZx.

Il team di sviluppo ha confermato che il bug è stato ora risolto.

Il secondo attacco

La natura del secondo attacco è invece ancora incerta, ma un messaggio pubblicato sul gruppo Telegram di bZx da Kyle Kistner, CVO e Operations Lead del progetto, suggerisce che potrebbe essersi trattato di un oracle manipulation attack. Gli "oracle" sono solitamente componenti centralizzate che forniscono dati esterni per il corretto funzionamento delle applicazioni on-chain.

Il portale d'informazione The Block stima che con il secondo attacco siano stati rubati circa 2.388 ETH, equivalenti a ben 636.000$.

Kistner ha comunque sottolineato che il team può neutralizzare l'attacco e prevenire la perdita di fondi da parte degli utenti, proprio come già fatto per il primo attacco. Inoltre, gli sviluppatori di bZx pianificano di passare ad oracle basati sul protocollo Chainlink, al fine di incrementare la sicurezza del sistema.

Attacchi hacker nel settore delle criptovalute

La non-reversibilità delle transazioni è una delle caratteristiche alla base di molte criptovalute. Sebbene si tratti di una caratteristica positiva per un gran numero di ragioni, permette ai criminali di mantenere il possesso dei fondi che riescono a trasferire illecitamente sui propri wallet, a differenza dei bonifici che possono essere facilmente annullati dalle banche.

Questo mese un gruppo di hacker è riuscito a compromettere la sicurezza di cinque studi legali statunitensi e successivamente richiesto due pagamenti da ben 100 Bitcoin (BTC), equivalenti al tempo a circa 930.000$, da ognuno di essi: il primo pagamento per ripristinare l'accesso ai dati e il secondo per eliminare la loro copia dei file invece di venderla a terzi.