“三天内被攻击两次，涉及近百万美元。”近日，bZx 被“攻击”事件在业内闹得沸沸扬扬。2月15日，bZx团队在官方电报群上发出公告，称有黑客对bZx协议进行了漏洞攻击，造成部分ETH已经丢失。据悉，此次攻击者获得总利润为1193ETH，当时价值 29.8万美元；2月18日，bZx疑似遭遇第二次攻击，不同的是本次的对象是ETH/sUSD交易对，Ethhub 创始人Eric Conner估算到，这一次攻击者获利2388个ETH，约64.4万美金。

这次“攻击”事件因“时间之短、金额之大”，引发了大家对DeFi规则和流动性危机的重新审视。透过bZx 被“攻击”事件本身来看，这次事件本质上实则是利用DeFi协议和产品的一次套利操控。甚至有媒体认为，这番操作单从操作角度来看妙不可言，因为攻击者充分利用DeFi的多个协议和产品的功能，以很低成本获得资金，通过操纵价格来套利。

整个过程中，攻击者固然是找到了技术漏洞，但最终达成攫取利益的目的，是通过WBTC/ETH的价格操纵来实现的，即利用低流动性市场。由于Uniswap内WBTC（基于以太坊链上的BTC）深度相对太浅，价格极易操纵。攻击者正是利用了这一缺陷，通过操纵WBTC的价格，仅用1300个ETH就将Uniswap内WBTC的价格拉升到大约正常价格3倍左右，大幅偏离正常值，然后将其抛售实现套利。从攻击流程上来看，第二次攻击的根本原因，是由于平台间共享流动性过小以及价格机制设计缺陷导致的。

对此，Apifiny集团CTO Ashu Swami表示：“在过去的一年里，我们看到许多成功的黑客利用的不是技术上的安全漏洞，而是商业模式中的经济漏洞。在DeFi的乌托邦世界里，人们倾向于相信市场，但市场很容易被操纵。比如股票市场，尽管有相对成熟的金融监管政策，而且市场经过长时间的积累，可以学习借鉴的经验也很多，但股市仍会受到操纵。在加密领域，这将是一个更大的问题，因为缺乏监管和历史数据，无法对流动性危机(如bZx攻击者所利用的危机)进行任何压力测试。”据悉，Ashu Swami 毕业于麻省理工，曾在 Quadeye Securities 担任高级副总裁，主导过Morgan Stanley的高频交易业务，还曾经是Intel 的核心研发骨干。

来源：侃链哥