DeFi項目Soda協議被曝安全漏洞，「蘇打水」險流空_DEF:defi幣多少錢一個

一場DeFi協議的漏洞險情最終在網友「曝光式」預警下得到了開發方的補救。被曝光存在漏洞的協議名叫Soda.finance，剛剛創建一周，目前團隊尚處匿名狀態。

9月20日下午，網友「廢X廢」在微博上警示DeFi用戶，Soda協議的合約有漏洞，其中一個抵押借款池內的借款單可被人「隨便清算」。

一個小時后，Soda協議方作出響應，分別提示借款人還款、抵押者提款的同時，表示將修復漏洞，暫停前端借款功能。

盡管如此，至9月21日凌晨，Soda抵押借款池中仍有400多個ETH被惡意清算。當日上午，該協議官方在Twitter上稱，漏洞已修復，新部署的智能合約預計9月22日21點生效。

DeFi市場熱絡的同時，安全事故其實一直如影隨形。從6月「流動性挖礦」引爆市場后，區塊鏈安全機構PeckShield統計，6月、7月、8月共計17起安全事件發生在DeFi領域，至少造成400萬美元的損失。

DeFi火爆的同時，安全事件也在警示每一位DeFi參與者：別被市場熱度「燒光」了風險意識。

Compound Labs CEO：UST、Celsius和3AC等公司的問題再次證實了DeFi的必要性:金色財經報道，Compound Labs首席執行官兼創始人Robert Leshner在社交媒體上表示，我成為DeFi的創始人，是為了創造一個更透明、更自主、更安全的金融系統。

看著UST、Celsius、3AC以及（希望不會）更多的公司暴雷，這些公司都是不透明和基于信任的，這再次證實了去中心化金融的必要性。[2022/6/15 4:28:18]

Soda存清算漏洞2萬ETH遇險

9月20日下午5點，網友「廢X廢」在微博上公開了一個有關Soda.finance協議的風險提示，「不要抵押WETH借SoETH，合約有漏洞，其他人可以隨便清算你的借款單」。

廢X廢在微博爆料Soda合約存在漏洞

公開預警之前，「廢X廢」曾通過Soda公開的官方渠道通知過對方，「不過好像開發人員沒在。」

Avalanche鏈上DeFi協議總鎖倉量為107.6億美元:金色財經報道，據DefiLlama數據顯示，目前Avalanche鏈上DeFi協議總鎖倉量為107.6億美元，24小時增加0.23%。鎖倉資產排名前五分別為AAVE（30.4億美元）、TraderJoe（14.6億美元）、Benqi（13.2億美元）、Curve（12億美元）、multichan（6.83億美元）。[2022/2/10 9:42:21]

公開信息顯示，Soda于9月15日創建在以太坊上，它是一個抵押借貸場景的DeFi協議，國內用戶喜歡用「蘇打水」稱呼該協議。按照Soda設計的規則，一個借貸池內，當借款人的債務和利息費用超過抵押資產的價值和清算比例時，債權人可以通過智能合約觸發清算，按照協議規定的折現率獲得SoETH憑證，從而獲得債務人的抵押資產及協議提供的挖礦獎勵。

按照「廢X廢」的說法，他發現的這個漏洞將對SoETH/WETH抵押借貸資金池產生風險，即任何人借此漏洞對協議發起攻擊，借款人抵押在上述資金池中的WETH將面臨「被擼走」的風險。

DeFi協議Glide Finance合約漏洞被利用，損失金額約30萬美元:10月18日消息，DeFi 協議 Glide Finance 發推稱，合約漏洞被利用，資金從配對合約中被抽走，損失金額約為 30 萬美元，漏洞原因為團隊在審計后進行了費用參數更改，但未將合約上的數字從 1000 更新為 10000。目前團隊正在聯系交易所阻止資金轉移，提醒在 Glide 流動性資金池中存放資金的用戶提取資金。

Glide Finance 是一個亦來云智能鏈（ESC）上運行的去中心化交易 / 自動化做市商、收益農業和 Staking 平臺，旨在通過充當用戶和建立在其上的項目的流動性來源來加速亦來云生態系統的采用。[2021/10/18 20:37:28]

在微博上回復其他網友時，「廢X廢」透露，他研究Soda的爆倉清算規則時發現了這個漏洞，「當時該協議上累計有超過2萬個以太坊。」

2萬ETH時值700萬美元，留言網友也對「廢X廢」發現漏洞告知協議方而沒有利用協議「擼走」2萬ETH的行為表示贊許，甚至尊稱他為「廢老師」。

納斯達克證券交易所將為DeFiChain代幣化股票服務提供喂價:9月9日消息，納斯達克證券交易所將是向DeFiChain代幣化股票服務提供喂價的公司之一。納斯達克、Finnhub和Tiingo的價格信息將為DeFiChain上的服務提供動力。DeFiChain是比特幣網絡上專門用于貨幣應用和服務的去中心化金融區塊鏈。DeFiChain將提供與蘋果（Apple）、特斯拉（Tesla）、亞馬遜（Amazon）和GameStop等上市公司的基礎價格相對應的代幣化股票。這些代幣化股票將由加密貨幣進行抵押，這意味著交易員不必通過經紀人等中介機構。（彭博社）[2021/9/9 23:13:41]

但廢老師也表示，在發現這個漏洞后自己也清算了一個ETH，「之所以不清算所有人的，是不想惹麻煩。」

網友一邊圍觀廢老師的發現，也在等待Soda協議方的反饋。

9月20日近19點時，也就是在「廢X廢」通知協議方險情未獲回復，又公開提示風險的1個多小時后，Soda發布公告，提示SoETH/WETH資金池的借款者盡快還款、抵押者及時退出的同時，表示將修補漏洞，暫停前端借款功能，如有用戶因為這個漏洞受損，他們將盡可能推出補償方案。

Primitive Ventures 創始合伙人萬卉：DeFi讓比特幣變成非常好的生息資產:金色財經現場報道，4月24日，由印比特主辦、金色財經和易礦聯合主辦，珠海市橫琴新區數鏈數字金融研究院指導的《2021新基建區塊鏈峰會》在成都召開。在題為《時隔18個月再度聯手 復盤明牌長牛》的高峰對話中，Primitive Ventures 創始合伙人萬卉表示，對于加密貨幣長期玩家來說，對大勢的把握比較重要。在18個月前有3個周期的共振，分別是：比特幣減半周期，經濟的債務周期，法幣的信用周期。

Dovey表示，這一輪牛市中沒有看到比特幣大于35%的跌幅，其波動性在收斂。當比特幣價格超過55555美元后，已經相當于一個中大型科技股的體量，未來會有更多的傳統金融架構基礎進入并為它服務。至于牛市頂端大約是20萬美金，在頂端之前約是15萬美元，原因在于它已與作為金融交易資產黃金的市值持平。

另外，Dovey指出，DeFi讓比特幣變成非常好的生息資產，而且是我們這個平等世界信用等級最高的平行資產。從比特幣角度，當然是利好。現階段仍處于DeFi發展史的前三分鐘上，有大量的金融的樂高根本沒有搭完。所以大家應該深度參與和關注DeFi。[2021/4/24 20:54:15]

Soda團隊至今匿名被疑國內背景

然而，這個漏洞還是被人利用了。「廢X廢」于9月21日凌晨披露的圍觀記錄顯示，至少有5個地址借漏洞嘗試攻擊，共「擼走」了約446個ETH，時值15萬美元。

廢X廢圍觀攻擊者的操作記錄

截至目前，Soda協議的SoETH/WETH資金池內尚有等值ETH的2156個SoETH。對于之前被惡意清算走的資產如何解決，Soda官方還沒有做出回應。

事實上，Soda協議自9月15日上線后就未公開代碼審計結果的相關信息，團隊信息處于匿名狀態。協議一即上線，中心化交易所Gate.io的平臺幣GT便出現在Soda的流動性挖礦池內，抵押GT可以挖得SODA獎勵，另外兩個挖礦池的抵押資產是USDT和ETH。不過，目前Gate.io還未上線SODA的交易。

Soda提供GT抵押挖礦流動池

有用戶質疑Soda的開發團隊系國內人員，一個依據是，此次漏洞事件后，官方在社交平臺Discord上的公告用中文寫就。該平臺的Soda討論組內，當官方客服用英文發布信息時，有用戶調侃，「別發英文了，大家英文都不好，看不懂說什么。」Soda官方并對團隊背景做出回應。

9月21日，Soda協議漏洞的后續進展在推特上披露，官方稱，目前漏洞已修補，并部署了新的智能合約。不過，由于智能合約有時間鎖，補丁修復后至少需要48小時才能生效。其官網顯示，新的智能合約生效時間預計在9月22日晚上9點。

部分協議存在「自留后門」惡性

Soda協議的漏洞問題依然只是DeFi領域的一個小小縮影。事實上，自從6月「流動性挖礦」將DeFi送上市場「熱搜」后，安全事故從未在這個板塊中停止。?

令人印象最深的恐怕是Yam.finance，剛出道大火，就因漏洞問題直接導致協議不到兩天就中止運行，YAM一度歸零。1個月后，Yam才在審計后重啟。

蜂巢財經根據PeckShield數據整理

區塊鏈安全機構PeckShield的月報顯示，6月、7月、8月三個月內，共計17起安全事件發生在DeFi板塊，至少造成了400萬美元的損失。

進入9月，知名抵押借貸協議bZx被盜走了4700ETH，好在后來被找回；穩定幣協議Lien也被發現存在代碼漏洞。

有業內人士透露，部分國內團隊打造的DeFi協議多為以太坊上成熟協議的山寨版，由于照搬開源代碼僅做簡單修改后匆忙上線，常常因修改代碼而出了岔子，「原來是正確的，結果被改錯了，」其中，增發漏洞是個十分危險的問題。

更可怕的是，市場上已經出現了協議開發團隊主動「留后門」的亂象。不久前，區塊鏈安全公司PeckShield安全人員在例行DeFi新上線項目風控掃描時發現，SushiSwap的新仿盤項目YUNo修改了代幣發行邏輯，存在惡意留后門，方便給管理員無限增發代幣的權限。

在這種高知識門檻下，對于普通用戶來說，密密麻麻的代碼簡直是天書，沒有計算機和互聯網工程職業背景的他們，根本無從判斷協議的安全性。他們參與DeFi挖礦就是在玩一場場碰運氣的游戲，毫無技術武裝，如同裸奔。

對此，區塊鏈安全機構成都鏈安的創始人楊霞支招，普通投資者在不懂代碼的情況下，可以看項目方的公開透明程度，比如代碼是否經過第三方審計，審計結果、項目方團隊信息是否公開等等，「越公開透明的項目，可信度相對越高」。

楊霞提示投資者，除了查看項目公開信息外，還可以分析項目模式，項目方的獲利點是否是完全模仿其他項目等信息。「如果完全模仿其他獲利項目，且項目方信息又不明確的，就需要提高警惕了。這種項目團隊的技術能力不是很強，或者干脆就有意留后門。」她建議，投資者要選擇自己綜合分析后認為有投資價值的項目去參與，切勿在不了解項目的情況下盲目跟風。

對于真正想在DeFi領域創業的開發方，楊霞建議，協議未經過安全審計前不要上線，相比起上線時間的推遲產生的影響，代碼漏洞導致的損失可能更大，「安全審計是目前公認的較好的方法，除此之外，項目方在開發時，可以預先設計好一些挽救措施，安全問題發生時可以讓損失降到最低。」

她舉例，使用代幣轉賬的Pausable功能，在發生安全事件時可以停止資金流動；通過代理實現代碼邏輯與資金分離也是可以考慮的方法。「但在使用這些方法時，也要保證權限的合理劃分，避免項目方權限過大，使其成為一個中心化的智能合約」。

匿名網絡，漏洞當前，在有價資產的利益誘惑下，并非每個人都愿意去做「廢X廢」這樣的「吹哨人」。DeFi挖礦協議層出不窮，與之同行的是一起起安全事件，這一聲聲的警鐘都在提醒DeFi參與者，別被市場熱度「燒光」了風險意識。

互動時間：如果你發現協議有漏洞，會通知項目方嗎？

Tags：DEFEFIDEFIODAdefi幣多少錢一個DeFiatoDeFi ForgeYoda Coin Swap

幣安app官方下載最新版