탈중앙화 대출 프로토콜 bZx가 불과 며칠 간격으로 두 차례나 해킹 당해 총 95만4,000달러의 손실을 봤다. bZx에 대한 해킹성공은 DeFI또한 중앙화된 플랫폼일 뿐이라는 결론을 도출하면서 탈중안화 금융(DeFi) 지지자를 충격에 빠트렸다.

bZx의 보고서에 따르면, 이 프로토콜이 처음 공격 당한 것은 bZx 팀이 ETHDenver 산업 행사에 참여하고 있던 2월 14일이었다고 한다. 두 번째 공격은 2월 18일에 일어났다.

1차 공격

공격자는 다수의 DEFI 프로토콜을 이용해 상당량의 이더와 WBTC(wrapped Bitcoin: 이더리움 상의 토큰으로서 비트코인의 가격을 추종한다)를 대출 및 교환했다. 이는 해커가 가격을 조작해 탈중앙화 레버리지 거래로부터 이익을 낼 수 있도록 하는 방식으로 이루어졌다.

공격 내용에 대한 심층분석 결과에 따르면, 공격자의 레버리지 거래는 안전점검 기능에 의해 방지되었어야 했지만, bZx의 스마트 컨트랙트에 존재하는 버그로 인해 작동되지 않았다고 한다. 프로토콜 개발 팀은 현재는 해당 버그가 패치된 상태라고 발표했다.

2차 공격

2차 공격의 성격은 아직은 확실치 않은 부분이 많지만, 프로젝트 CVO(Chief Vision Officer)이자 오퍼레이션 리드(operation lead)인 카일 키스너(Kyle Kistner)가 공식 bZx 텔레그램 그룹에 올린 메시지는 이것이 오라클 조작 공격이었음을 시사하고 있다. 오라클은 일반적으로 중앙집중화된 구성요소로서, 체인 상의 애플리케이션에 외부 데이터를 제공한다.

암호화폐 전문 매체인 더 블록(The Block)은 손실액을 2,388 ETH(약 63만 6,000달러)로 추산하고 있다. 키스너는 bZx 팀이 1차 해킹 때 그랬던 것처럼 해킹을 무력화하고 사용자 자금의 손실을 막을 수 있다고 말했다. 또한 bZx 개발자들이 체인링크(Chainlink) 프로토콜 기반의 오라클로 전환할 예정이라고 밝혔는데, 이러한 조치를 통해 시스템 안전성을 더 높일 것임을 시사한 듯하다.