北京時間2020年08月05日,DeFi期權平臺Opyn的看跌期權智能合約遭到黑客攻擊,損失約37萬美元。Opyn是一個通用期權協議,于今年2月份轉型為保險平臺,通過oTokens為DeFi平臺提供可交易的ETH看跌期權,以此錨定ETH市場價格,為高波動性的DeFi市場提供相對的穩定性。PeckShield安全團隊獲悉Opyn平臺遭受攻擊后,迅速定位到問題關鍵點在于:攻擊者發現Opyn智能合約行權接口對接收到的ETH存在某些處理缺陷,其合約并沒有對交易者的實時交易額進行檢驗,使得攻擊者可以在一筆對自己發起真實的交易之后,再插入一筆偽裝交易騙得賣方所抵押的數字資產,進而實現空手套白狼。簡單來說,由于OpynETHPut智能合約中的行權函數exercise()沒有對交易者的ETH進行實時校驗。根據Opyn平臺的業務邏輯,看跌期權的買方給賣方轉移相應價值的ETH,即可獲得賣方抵押的數字資產。狡猾的攻擊者,先向自己發起偽裝的交易,利用這筆ETH可以重復使用的特性,再次向賣方用戶發起轉賬,進而騙取賣方已經抵押的數字資產。下面為您詳細分析漏洞原因及攻擊過程。漏洞詳細過程分析
報告:鎖定在DeFi中的價值一年內增長936%:10月1日消息,在9月30日的“價值流報告”中,加密分析平臺DappRadar報告說,最近的趨勢是NFT和區塊鏈游戲出現了可觀的增長,但DeFi仍在產生可觀的價值。盡管價值在某種程度上從DeFi流向了NFT,但似乎這兩個類別都在獨立產生價值。盡管出現了BinanceSmartChain(BSC)、Solana和Avalanche等競爭對手網絡,但該研究深入研究了基于以太坊的DeFi,它仍然是該領域的主導力量。價值繼續流入,自2020年7月以來,以太坊上漲了400%,而穩定幣Tether和Dai同期分別上漲了1,300%和500%。DappRadar目前報告的總鎖定價值為1148億美元,比去年同期增長936%。該報告補充說,該行業的TVL在7月23日至9月5日期間增長了75%,在所有連鎖店達到1950億美元的峰值。(cointelegraph)[2021/10/1 17:19:45]
先來說說,Opyn平臺的業務邏輯:當用戶使用Opyn合約行權即買賣期貨時,需要買方向賣方轉入相應數量的ETH或者ERC20Token,然后合約將銷毀買方對應的oToken,而后買方將獲得賣方已經抵押的資產。例如:小王認為行情進入了下跌趨勢,看到Opyn上掛著一個小李對ETH330美元的看跌期權,于是進入交易系統,向小李轉賬一個ETH,獲得小李抵押的等額數字資產。若此刻行情已經跌至了300美元,小王便可獲得其中的差價。
DeFi資產管理協議dHEDGE V2在Polygon部署并集成SushiSwap:DeFi資產管理協議dHEDGE在Polygon部署V2,新平臺還與去中心化交易所SushiSwap集成。Henrik Andersson表示,dHEDGE DAO目前正在考慮集成Aave。dHEDGE計劃在其他EVM兼容鏈上推出其v2平臺,可能包括Eth2、Optimism和Arbitrium。(Cointelegraph)[2021/8/2 1:28:45]
圖1.exercise()函數中循環執行傳入的vaults地址列表如上面的合約代碼片段所示,行權函數exercise()的內部是一個循環,依據參數中傳遞的vaultsToExerciseFrom中的地址數量依次調用真正的行權邏輯_exercise()函數。
DeFi基金Dispersion Holdings在倫敦阿奎斯證券交易所上市:4月30日消息,由上市加密礦業公司Argo Blockchain聯合創始人成立的DeFi基金Dispersion Holdings在倫敦阿奎斯證券交易所上市,代碼為DEFI。Dispersion的董事包括Argo Blockchain聯合創始人邁克爾·愛德華茲和Timothy Le Druillenec。Dispersion首席執行官邁克爾·愛德華茲在接受采訪時表示:“我們將投資建立在以太坊生態系統、幣安生態系統和波卡生態系統之上的早期DeFi項目。”(Coindesk)[2021/4/30 21:13:58]
DeFi 概念板塊今日平均漲幅為8.27%:金色財經行情顯示,DeFi 概念板塊今日平均漲幅為8.27%。47個幣種中42個上漲,5個下跌,其中領漲幣種為:HDAO(+47.57%)、WICC(+20.13%)、SUSHI(+18.59%)。領跌幣種為:SRM(-10.40%)、TRB(-2.58%)、COMP(-1.84%)。[2021/4/28 21:05:53]
圖2.重用傳入合約的ETH來獲得抵押資產函數處理ERC20Token時,和大部分的DeFi項目做法一樣,使用transferFrom(),如代碼1882行所示,從msg.sender轉賬到address(this)。但是當函數處理的資產為ETH時,處理的方式就完全不一樣了。因為在Solidity中,msg.value的意思是合約調用者在調用具有payable接口時所轉給該合約的ETH數量,僅是一個量值,所以在合約代碼的1879行中,檢查msg.value==amtUnderlyingToPay僅能確保合約確實收到了amtUnderlyingToPay數量的ETH,并不會對msg.value的值造成任何影響。但是正如上面講到的在exercise()中會循環調用_exercise()函數,這導致盡管合約實際只收到一次ETH,然而在循環過程中卻可以重復使用。攻擊點就在這里,由于合約少了一步對ETH實時數量的檢驗,使得攻擊者可以先偽造一筆指向自己的交易,然后再把已經花掉的本金再次利用,和平臺其他用戶完成一筆正常交易。
圖3.攻擊交易分析在圖3中,我們通過Bloxy瀏覽器顯示的調用過程來展示攻擊的過程。由于攻擊者吃掉了很多筆訂單,我們以其中一筆交易為例,向大家展示其攻擊邏輯:1、攻擊者先從Uniswap購入了75oETH為進一步調用函數行權做好籌備;2、攻擊者創建了一個Vault地址,作為看空期權賣方,并且抵押24,750USDC鑄造出75oETH,但并未賣出這些期權,等于自己同時買入了以330的價格賣出75ETH的權利;3、攻擊者在Opyn合約中調用了exercise(),在持有150oETH看空期權的情況下,先向自己的Vault地址轉入了75個ETH,獲得自己事先抵押的24,750個USDC,再重利用了這75個ETH,成功吃掉了另一個用戶的24,750個USDC,進而實現非法獲利。修復建議
PeckShield安全團隊建議,在Solidity中,合約可使用一個局部變量msgValue來保存所收到ETH。這樣,在后續的步驟中通過操作msgValue,就能準確的標記有多少ETH已經被花費,進而避免資產被重復利用。此外,我們還可以使用address(this).balance來檢查合約余額來規避msg.value被重復使用的風險。
Tags:ETHDEFIDEFEFItogetherbnb中文版下載defi幣今日行情Brainaut Defionekey一鍵還原提示uefi
BTC/USDT永續合約 各級別性質:日線-盤整,4小時-盤整,1小時-盤整截圖來自OKEXBTC/USDT永續合約1小時圖:對于行情從兩個角度來說.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:王佳健,星球日報經授權發布。以太坊鐵定是這一輪上漲的領頭羊。過去兩周,以太坊暴漲75%,不僅突破了360美金壓力位,更是一路狂奔,觸及400美金高位.
1900/1/1 0:00:00今日上午北京、上海等5家區域性股權市場獲批參與「區塊鏈建設試點」資格,幣圈很多社群都在轉這個消息,看起來,該則消息又被幣圈內某些有心之士和一廂情愿之士解讀成了大利好.
1900/1/1 0:00:00不管比特幣的價格如何的飛漲,市場上總有一批非常淡定的人,他們有時候一個月才看一次盤,他們很多人喜歡喝酒,他們多數時候不愛講話奉行“悶聲發大財”的中華古訓,他們有一個華麗的身份.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:BENJAMINPIRUS,Odaily星球日報經授權轉載.
1900/1/1 0:00:00比特大陸昨天發生了什么?針對“搶”礦機一事,詹克團方面發出了回復,稱“搶”的礦機產權是北京比特的子公司福建湛華所有,而吳忌寒將產權轉移給了新加坡比特的子公司重慶硅原所有.
1900/1/1 0:00:00