Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 008Ataque con flash loan

Ataques con préstamo flash a bZx

El primer ataque con préstamo flash conocido drenó ~$954K de bZx dos veces en 4 días, usando préstamos de Aave para manipular precios del oráculo de Uniswap.

Fecha
Víctima
bZx
Cadena(s)
Ethereum
Estado
Fondos robados

El 14 y el 18 de febrero de 2020, el protocolo de préstamos bZx sufrió los primeros dos ataques con préstamo flash jamás registrados en Ethereum mainnet. Las pérdidas combinadas fueron modestas — aproximadamente 954.000 dólares — pero los ataques introdujeron una nueva clase de exploit que ha causado miles de millones en pérdidas desde entonces.

Qué ocurrió

Los préstamos flash habían sido lanzados por Aave aproximadamente un mes antes. Permiten a un usuario pedir prestada cualquier cantidad de un token sin colateral, a condición de que se devuelva en la misma transacción. El atacante de bZx se dio cuenta de que esta primitiva podía financiar el capital temporal requerido para manipular precios on-chain.

Ataque 1 — 14 de febrero (~$350K / 1.193 ETH)

El equipo de bZx estaba sobre el escenario en ETHDenver cuando se disparó el primer exploit:

  1. Préstamo flash de ETH desde un contrato de margen en la plataforma Fulcrum de bZx.
  2. Pedir WBTC prestado en bZx contra una posición deliberadamente sub-colateralizada (un bug separado de bZx permitía esto).
  3. Volcar el WBTC prestado en el pool WBTC/ETH de Uniswap, empujando el precio del WBTC marcadamente a la baja.
  4. Comprar WBTC de vuelta al precio deprimido en Kyber (que leía el precio manipulado de Uniswap como su oráculo).
  5. Devolver el préstamo flash, llevándose el beneficio del diferencial de precio.

Ataque 2 — 18 de febrero (~$600K / 2.378 ETH)

Cuatro días después, un atacante separado explotó el mismo patrón de oráculo usando sUSD como palanca de manipulación — pumpeando el precio reportado de sUSD frente a ETH vía compras financiadas con préstamo flash, luego pidiendo prestado masivamente contra el colateral inflado.

Consecuencias

  • bZx pausó ambos contratos atacados y parcheó los bugs específicos de dependencia de oráculo y sub-colateralización.
  • Las dos pérdidas fueron finalmente absorbidas por el protocolo desde reservas.
  • bZx sufrió un tercer gran incidente en noviembre de 2021 — un compromiso de clave privada que drenó aproximadamente $55M — y efectivamente cerró su producto de préstamos después.

Por qué importa

bZx es el incidente fundacional de la categoría de ataque con préstamo flash. Cada exploit con préstamo flash desde entonces — Beanstalk, Cream Finance, Cetus, incontables incidentes más pequeños — es descendiente del mismo patrón: adquirir temporalmente capital masivo → manipular un oráculo de precio on-chain → extraer valor contra la lectura manipulada → devolver el préstamo.

Las respuestas defensivas — oráculos ponderados por tiempo, feeds de precio desacoplados, mantenimiento de invariantes resistente a préstamos flash — son todas consecuencias del par de bZx.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2020/02/19/everything-you-ever-wanted-to-know-about-the-defi-flash-loan-attack
  2. [02]coindesk.comhttps://www.coindesk.com/markets/2020/02/18/defi-project-bzx-exploited-for-second-time-in-a-week-loses-630k-in-ether
  3. [03]quantstamp.comhttps://quantstamp.com/blog/market-dynamics-of-the-1st-bzx-hack-part-1

Registros relacionados