以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

成都鏈安:從balancer事件看DeFi安全問題_DEF:Disbalancer

Author:

Time:1900/1/1 0:00:00

2019年以來,DeFi逐漸成為區塊鏈的熱點,一時間大量資金開始涌入各類DeFi項目。自Synthetix項目嶄露頭角后,DeFi項目如雨后春筍般紛紛出現在人們的視線里。但隨著DeFi的不斷發展,DeFi項目的安全問題也愈發緊急。前不久發生的Balancer被攻擊事件,攻擊者利用Balancer資金池與通縮貨幣結合產生的漏洞,盜取資金池500,000美元。而后不到24小時,balancer再次遭受攻擊,攻擊者利用Compound“借貸即挖礦”的特性,竊取了資金池中無人認領的Comp幣。

對于第一次攻擊事件,我們在前面已經有分析,感興趣的朋友可以移步。對于第二次攻擊事件,筆者覺得攻擊者的行為是介于薅羊毛和非法攻擊之間,并不能一口咬定就是非法攻擊。從一方面看,攻擊者確實是違背了Balancer合約設計的理念,利用Balancer的代碼漏洞竊取了本不屬于自己的利益。但是從另一方面看,攻擊者竊取的資金,并不是資金池內的本金,是Compound“借貸即挖礦”的特性而產生的盈利,且即使攻擊者不攻擊,Balancer合約本身也并沒有合理的將這筆錢分配給用戶。這就像一個超市每天產生的空紙盒,公司并沒有明文規定怎么處理,一般都是堆積到一定程度后,某個發現的員工拿去賣出,此員工獲得利益。這時候來了個外來的人,他發現了這些紙盒可以產生利益,所以就去應聘員工,賣出紙盒后馬上離職再去下一家。Balancer官方在第二次事件發生后,也未對此做出相對的修復措施,這也間接表明了官方的態度,官方可能更傾向于這是一種“薅羊毛”行為。

成都鏈安:2022年第1季度區塊鏈安全生態造成的損失達到12億美元:4月20日消息,成都鏈安統計數據顯示,加密行業2022年第1季度安全事件造成的損失達到12億美元。[2022/4/20 14:36:00]

而這次事件,總共涉及到了三個DeFi項目。Balancer、dydx和Compound。WhatisDeFi?

DeFi中文意思是“去中心化金融”,旨在利用區塊鏈技術完成傳統金融中的借貸、存儲、支付等功能,縮短金融交易中的交易時間,減少交易手續費,解決跨國難等問題。目前DeFi上火熱的項目有Compound、Maker、dydx等,如下圖所示:

成都鏈安:InuSaitama疑似遭遇套利攻擊,損失約430個ETH:3月27日消息,據成都鏈安技術團隊分析,InuSaitama疑似遭遇套利攻擊,攻擊者(0xAd0C834315Abfa7A800bBBB5d776A0B07b672614)在 Saitamask(0x00480b0abBd14F2d61Aa2E801d483132e917C18B)中通過swap交換出了幾乎10倍價值的SAITAMA Token,之后再通過uniswap交換回ETH,將其轉移到0x63493e679155c2f0aAd5Bf96d65725AD6427faC4,共獲利約430個ETH。[2022/3/27 14:19:43]

OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息,OneSwap已9月6日順利通過智能合約代碼安全審計,此次審計工作由三家業內知名的安全公司慢霧科技,派盾PeckShield,成都鏈安完成。在審計過程中,三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作,以最大程度確保及時發現漏洞。

審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準,審計中發現的問題目前都已解決或正在解決中。

OneSwap是一個基于智能合約的完全去中心化的交易協議,在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可,可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息,Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]

在DiFi的項目里,很多都是將傳統金融行業的工具直接搬到區塊鏈上,比如借貸、存儲。但區塊鏈和現實世界是有極大差異的,他們的底層邏輯是不同的。例如,在傳統金融領域,“信用”是作為信貸的根本條件,銀行會對一個人的信用進行評級,從而判斷是否可以放貸給他。在區塊鏈這個封閉的世界里,因區塊鏈的隱私性,地址無法關聯到人,也就不存在“信用”屬性。如果要實現“信用”,就必須要有預言機來獲取真實世界的信息。但也正是因為區塊鏈與現實世界的不同,使得DeFi可以實現一些現實世界無法實現的功能。dydx閃電貸:0抵押借出3千萬美元在balancer第一次事件中,攻擊者利用dydx借貸了3千萬美元,但是卻無需任何抵押物。這在傳統的金融領域是無法做到的,傳統金融領域的借貸方式都是以“資產抵押”或者“信用抵押”作為規避借貸風險的手段,但因為區塊鏈的特性,可以做到將一筆交易回滾,所以也就可以實現0抵押進行大額借款。dydx允許用戶進行一筆0抵押的大額借款,用戶只需在一筆交易中將借款進行歸還即可。如果用戶在一筆交易后并未將借款歸還,那么交易將被回滾,花出去的錢又可以收回來,從而規避了本金風險。雖說在一筆交易中必須歸還借款,但智能合約又允許用戶在一筆交易中進行多次操作,用戶可以在這筆交易中以低價大量買入某種代幣,再以高價賣出,即使差價非常小,在巨量本金的基礎下,也可以實現可觀的收益。如果放在傳統的金融領域,一般是難以實現這種操作的。但有了dydx,任何人都可以獲得這一筆“巨額資金”。新事物的出現總是存在兩面性,dydx閃電貸為一般人提供使用巨款的可能性的同時,也為躲在暗處的黑客提供了幫助。就如Balancer第一次被攻擊,如果沒有dydx,黑客必須籌集巨額的本金,才能實現將資金池內的通縮代幣抽空,否則將無法進行攻擊。Balancer:通過收取費用來管理自己的資產在傳統金融里,用戶需要向第三方的管理機構支付管理費用,從而平衡自己的資產,保障資產價值。但Balancer的出現打破了這一情況,資產擁有者可以通過收取費用來保障自己的資產價值。Balancer允許用戶建立自己的資金池,將自己的不同資產放入池中,當不同資產的市場價格產生變化時,形成的差價會誘使套利者在資金池中進行兌換,從而使得資金池中的各種代幣含量達到一種平衡。套利者通過套利行為獲得利益,而資金擁有者也因此平衡了資產價值。假設一個資金池中有DAI和WBTC兩種代幣,當DAI在外部升值時,DAI兌換WBTC的比例就會減少,這會誘使套利者在此資金池將手中的WBTC兌換成DAI,直到資金池兌換比例和外部一樣為止,這使得資金池內的DAI持有量上升,總體價值下降。當DAI在外部貶值時,又會誘使套利者將手中的DAI兌換成WBTC,因為早先持有大量的DAI,合算起來,總體價值再次回升。經過套利者的持續操作,資金池內總是保持著一種平衡。Balancer的這種資金池模型并沒有太大問題,但當遇到如通縮貨幣或者Compound這種特殊的代幣時,就會產生問題。Balancer資金池的核心是變動的兌換比例,正常情況下,這種比例會隨不同代幣的流入流出而變化,使得池內金額達到一種平衡,但遇到通縮貨幣或者Compound這類特殊貨幣時,流入流出的數據就與用于計算比例的數據產生誤差,這種誤差使得攻擊者可以進行攻擊并獲利。如何看待DeFi

動態 | 成都鏈安推出Beosin-AML虛擬資產調查取證和反洗錢合規系統:為幫助虛擬資產服務商(VASP)監測交易風險、執行反洗錢合規程序,幫助監管部門監督VASP合規流程執行情況,幫助執法部門快速收集虛擬資產犯罪案件證據,為受害者提供技術協助,成都鏈安科技推出可視化的虛擬資產合規監測和調查取證分析系統Beosin-AML。系統上線技術援助服務,受害者被盜幣或不慎參與了跑路盤、資金盤等非法項目后,可在網站提交相關信息,平臺開展調查、分析和追蹤等取證服務。成都鏈安Beosin-AML虛擬資產調查取證和反洗錢合規系統,采集鏈上交易數據,分析加密貨幣犯罪和安全事件,結合機器學習模型綜合分析鏈上交易的合規和安全風險。幫助區塊鏈行業建立合法、合規的應用生態。[2019/12/10]

從上面的兩個項目不難看出,DeFi并不是簡單的將現實世界的金融體系搬到鏈上就可以的。因為底層的不同,造就了DeFi能夠做到現實金融體系無法做到的很多事情,比如0抵押借貸、跨國匯款等非常有前景的功能。但隨之而來的還有很大的風險和問題,比如如何與現實世界互通、如何得到政府的認可以及如何解決安全問題。“給我一個支點,我可以撬動地球”。對比于傳統金融,DeFi的底層靠的是智能合約,本質上是程序,程序擁有傳統金融不可比擬的高效性和便捷性,但也存在傳統金融無需考慮的代碼漏洞問題。如果黑客在智能合約中找到了這樣一個“支點”,便可以輕易撬動上千萬的資產。所以成都鏈安建議各位讀者,理性對待DeFi,選擇安全且有發展前景的項目進行理性投資,在進行投資前,做好調研工作,對未公開智能合約和審計報告的項目,要保持警惕。

分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

Tags:BalancerDEFALAbalanceDisbalancerWorld of DefishDIGITALAXFivebalance

以太坊價格今日行情
多數主流幣漲幅不明顯,或許因為他們少了這一點_HAN:4CHAN價格

編者按:本文來自風火輪社區,作者:佩佩,Odaily星球日報經授權轉載。大家好,我是佩佩,最近有很多小伙伴反饋,手里拿著的btcethbchltceos這些都不香了,想換車的心思蠢蠢欲動.

1900/1/1 0:00:00
Uniswap大賭場:比lCO瘋狂,6天10萬倍,跑路歸零一小時_ETH:UNI

編者按:本文來自DeepChain深鏈,作者:Mark,Odaily星球日報經授權轉載。來Uniswap“賭博”嗎?傾家蕩產那種!在lCO早已是“前塵往事”,IEO逐漸被遺忘之際,DeFi平臺U.

1900/1/1 0:00:00
中歐創業營發布「2020全球區塊鏈創新50強」:Aave、BSN等項目入選_區塊鏈:馬斯克

數據:兩個地址分別通過數百個地址收到140萬枚ARB和93萬枚ARB:3月24日消息,Lookonchain稱其監測到關于ARB代幣的2個“空投獵人”.

1900/1/1 0:00:00
從Twitter比特幣詐騙看密碼貨幣在監管下合規發行的必要性_tether:ETHE

編者按:本文來自PlatON,Odaily星球日報經授權轉載。北京時間7月16日凌晨3點左右,著名社交網站Twitter爆發嚴重安全事件,大批粉絲數量極高的Twitter賬號陸續被黑,從密碼貨幣.

1900/1/1 0:00:00
35倍的投資回報率,為什么用戶和資金還是這么少_USD:比特幣全球市值

編者按:本文來自Rossa私想匯,作者:Rossa,Odaily星球日報經授權轉載。一、比特幣的ROI是傳統市場70倍據cointelegraph消息,自2015年以來,比特幣的投資回報率(RO.

1900/1/1 0:00:00
Deribit期權市場播報:0717 - 鴨生艱難_BTC:API

昨天的播報中提到,在周五隨著賣方的倉位交割,保證金的釋放,IV一定會迎來下跌。因為今天仍然沒有太大的波動,所以IV也迎來了預料中的下跌.

1900/1/1 0:00:00
ads