L’ex ingegnere di Google Korantin Auguste spiega l’attacco a Fulcrum
L’ex ingegnere di Google Korantin Auguste spiega l’attacco a Fulcrum
Blockchain

L’ex ingegnere di Google Korantin Auguste spiega l’attacco a Fulcrum

By Marco Cavicchioli - 17 Feb 2020

Chevron down

L’ex ingegnere di Google Korantin Auguste ha pubblicato un post sul suo blog con cui ha spiegato l’attacco a Fulcrum. 

Il post, intitolato “The bZx attack explained“, ora tuttavia risulta rimosso, ma se ne conosce comunque il contenuto. 

Auguste ha spiegato in modo dettagliato come è stata attaccata la piattaforma DeFi bZx, su cui si basano i servizi di Fulcrum, rivelando che l’aggressore ha preso in prestito 10.000 ETH da dYdX, un exchange non custodian per il margin trading, inviandone poi 5.000 alla piattaforma di prestiti DeFi Compound e prendendo in prestito 112 WBTC (Wrapped Bitcoin) per eseguire l’attacco.

Successivamente ha inviato 1.300 ETH a bZx per aprire una posizione short con leva 5x su WBTC. Secondo Auguste, questa chiamata ha aperto una posizione su Fulcrum cortocircuitando ETH contro WBTC con una leva x5 con 1.300 ETH, che ad oggi valgono più di 300.000 dollari. 

La piattaforma bZx ha poi convertito internamente 5.637 ETH in 51 WBTC attraverso un ordine Kyber indirizzato a Uniswap e l’attaccante ha convertito i 112 WBTC in 6.871 ETH su Uniswap per poi rispedire i 10.000 ETH iniziali a DyDx.

Auguste dichiara che l’aggressore ha così sfruttato un bug in bZx che gli ha fatto scambiare una quantità enorme su Uniswap ad un prezzo gonfiato di 3 volte, riuscendo poi a vendere 112 WBTC per 6.871 ETH perché “l’offerta di Uniswap è tutta distorta”. 

La transazione è stata conclusa con una posizione composta con 5.500 ETH a garanzia e solo 112 WBTC presi in prestito, ovvero circa 350.000 $ di capitale in Compound

La causa sarebbe un bug logico nella codifica di bzX che ha causato una perdita di capitale per la piattaforma di circa 620.000 $ ed un profitto di circa 350.000 $ per l’attaccante. Non si tratterebbe pertanto di un bug Oracle, ma di una vulnerabilità del protocollo bzX. 

bZx ha comunque dichiarato che i suoi utenti non subiranno perdite perché verranno ricompensati.

Marco Cavicchioli
Marco Cavicchioli

Classe 1975, Marco è un docente di web-technologies e divulgatore online specializzato in criptovalute. Ha fondato ilBitcoin.news, ed il suo canale YouTube ha più di 25mila iscritti.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.