以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > SAND > Info

NCE:從分析攻擊事件出發 探究我們如何對待DeFi

Author:

Time:1900/1/1 0:00:00

2019年以來,DeFi逐漸成為區塊鏈的熱點,一時間大量資金開始涌入各類DeFi項目。自Synthetix項目嶄露頭角后,DeFi項目如雨后春筍般紛紛出現在人們的視線里。但隨著DeFi的不斷發展,DeFi項目的安全問題也愈發緊急。

前不久發生的Balancer被攻擊事件,攻擊者利用Balancer資金池與通縮貨幣結合產生的漏洞,盜取資金池500,000美元。而后不到24小時,balancer再次遭受攻擊,攻擊者利用Compound“借貸即挖礦”的特性,竊取了資金池中無人認領的Comp幣。

對于第一次攻擊事件,我們在前面已經有分析,感興趣的朋友可以移步

https://mp.weixin.qq.com/s/ZoqUgtcQ1WevhTgaUD-l_g

Blur已將競價接受時間從1小時縮短至30分鐘:6月20日消息,NFT市場Blur已調整用戶轉賬后的NFT競價接受時間,從1小時縮短至30分鐘。[2023/6/20 21:48:16]

對于第二次攻擊事件,筆者覺得攻擊者的行為是介于薅羊毛和非法攻擊之間,并不能一口咬定就是非法攻擊。

從一方面看,攻擊者確實是違背了Balancer合約設計的理念,利用Balancer的代碼漏洞竊取了本不屬于自己的利益。

但是從另一方面看,攻擊者竊取的資金,并不是資金池內的本金,是Compound “借貸即挖礦”的特性而產生的盈利,且即使攻擊者不攻擊,Balancer合約本身也并沒有合理的將這筆錢分配給用戶。

這就像一個超市每天產生的空紙盒,公司并沒有明文規定怎么處理,一般都是堆積到一定程度后,某個發現的員工拿去賣出,此員工獲得利益。這時候來了個外來的人,他發現了這些紙盒可以產生利益,所以就去應聘員工,賣出紙盒后馬上離職再去下一家。Balancer官方在第二次事件發生后,也未對此做出相對的修復措施,這也間接表明了官方的態度,官方可能更傾向于這是一種“薅羊毛”行為。

流動質押協議StakeWise上ETH質押總量為8.84萬枚:金色財經報道,據DuneAnalytics數據顯示,流動質押協議StakeWise上ETH質押總量達88477枚。[2023/5/7 14:48:13]

而這次事件,總共涉及到了三個DeFi項目。Balancer、dydx和 Compound。

DeFi中文意思是“去中心化金融”,旨在利用區塊鏈技術完成傳統金融中的借貸、存儲、支付等功能,縮短金融交易中的交易時間,減少交易手續費,解決跨國難等問題。

目前DeFi上火熱的項目有Compound、Maker、dydx等,如下圖所示:

以太坊開發者:Shapella提款測試出現問題,但不會影響Shapella升級時間:金色財經報道,以太坊核心開發者Tim Beiko發推稱,開發者Marius Van Der Wijden發現了一個公共測試網Shapellabug,該bug在空塊(沒有交易或取款)的完全同步期間出現,其他幾個客戶端也遇到了這個問題,不過,這個問題很容易測試,可以快速修補。團隊認為這不會影響Sepolia升級的時間表,仍計劃在2月28日12:00點進行。另外,Barnabas Busa更新了最新的對Shapella進行壓力測試的提款Devnet。該Devnet有60萬驗證者,其中36萬驗證者在分叉時執行取款憑證更新。客戶端看到RAM+CPU使用率激增的情況,devops團隊將在未來幾天監控開發網絡,以查看有多少憑證更新消息被包含和丟失。該測試還揭示了Prysm<>Besu問題,其中Besu限制了它通過RPC發送的響應數量以防止DoS,但Prysm預期的響應數量高于Besu的當前限制。Besu團隊目前正在調查此事。此外,開發者還計劃進行另一次主網影子分叉,將在上面做一些Mev-Boost測試。2月10日以太坊基金會表示,Shanghai+Capella(Shapella)主網升級正在進入最后的預發布序列——公共測試網。Shapella包含許多功能,但對質押者和共識層來說最重要的是支持提款。退出的驗證者可以全額取款,而活躍驗證者余額超過32ETH的可以部分取款。另外,第一個長期存在的公共測試網Sepolia計劃于2月28日進行升級。[2023/2/17 12:12:44]

NEAR基金會發布透明度報告:每年5%的通脹率中的90%將發送給驗證者以作為質押獎勵支付:金色財經報道,NEAR基金會發布透明度報告。報告稱,在創世時,NEAR區塊鏈有十億個代幣。此后,供應數量增加到11億。由于通貨膨脹,這個數字穩步上升。作為參考,每年5%的通脹率中的 90%將發送給驗證者以作為質押獎勵支付,剩余的10%將返還給NEAR基金會金庫。

真實賬戶總數一直在快速增長,總數達到2200萬。目前,在 NEAR 上以平均每天 35,000 到 38,000 個新帳戶的速度創建新帳戶。這個數字比前一周有所下降,前一周平均每天有 37,000 -39,000 個帳戶。[2022/11/27 20:56:56]

在DiFi的項目里,很多都是將傳統金融行業的工具直接搬到區塊鏈上,比如借貸、存儲。但區塊鏈和現實世界是有極大差異的,他們的底層邏輯是不同的。

比特幣挖礦難度已上調9.26%至30.98T:金色財經報道,據BTC.com數據顯示,比特幣挖礦難度于今日14:40(區塊高度751968)迎來挖礦難度調整,挖礦難度上調9.26%至30.98T。目前比特幣未確認交易量為5414筆。全網算力為221.92 EH/s,24小時交易速度3.05交易/s。[2022/8/31 12:59:59]

例如,在傳統金融領域,“信用”是作為信貸的根本條件,銀行會對一個人的信用進行評級,從而判斷是否可以放貸給他。在區塊鏈這個封閉的世界里,因區塊鏈的隱私性,地址無法關聯到人,也就不存在“信用”屬性。如果要實現“信用”,就必須要有預言機來獲取真實世界的信息。

但也正是因為區塊鏈與現實世界的不同,使得DeFi可以實現一些現實世界無法實現的功能。

在balancer第一次事件中,攻擊者利用dydx借貸了3千萬美元,但是卻無需任何抵押物。這在傳統的金融領域是無法做到的,傳統金融領域的借貸方式都是以“資產抵押”或者“信用抵押”作為規避借貸風險的手段,但因為區塊鏈的特性,可以做到將一筆交易回滾,所以也就可以實現0抵押進行大額借款。

dydx允許用戶進行一筆0抵押的大額借款,用戶只需在一筆交易中將借款進行歸還即可。如果用戶在一筆交易后并未將借款歸還,那么交易將被回滾,花出去的錢又可以收回來,從而規避了本金風險。雖說在一筆交易中必須歸還借款,但智能合約又允許用戶在一筆交易中進行多次操作,用戶可以在這筆交易中以低價大量買入某種代幣,再以高價賣出,即使差價非常小,在巨量本金的基礎下,也可以實現可觀的收益。如果放在傳統的金融領域,一般是難以實現這種操作的。但有了dydx,任何人都可以獲得這一筆“巨額資金”。

新事物的出現總是存在兩面性,dydx閃電貸為一般人提供使用巨款的可能性的同時,也為躲在暗處的黑客提供了幫助。就如Balancer第一次被攻擊,如果沒有dydx,黑客必須籌集巨額的本金,才能實現將資金池內的通縮代幣抽空,否則將無法進行攻擊。

在傳統金融里,用戶需要向第三方的管理機構支付管理費用,從而平衡自己的資產,保障資產價值。但Balancer的出現打破了這一情況,資產擁有者可以通過收取費用來保障自己的資產價值。

Balancer允許用戶建立自己的資金池,將自己的不同資產放入池中,當不同資產的市場價格產生變化時,形成的差價會誘使套利者在資金池中進行兌換,從而使得資金池中的各種代幣含量達到一種平衡。套利者通過套利行為獲得利益,而資金擁有者也因此平衡了資產價值。

假設一個資金池中有DAI和WBTC兩種代幣,當DAI在外部升值時,DAI兌換WBTC的比例就會減少,這會誘使套利者在此資金池將手中的WBTC兌換成DAI,直到資金池兌換比例和外部一樣為止,這使得資金池內的DAI持有量上升,總體價值下降。當DAI在外部貶值時,又會誘使套利者將手中的DAI兌換成WBTC,因為早先持有大量的DAI,合算起來,總體價值再次回升。經過套利者的持續操作,資金池內總是保持著一種平衡。

Balancer的這種資金池模型并沒有太大問題,但當遇到如通縮貨幣或者Compound這種特殊的代幣時,就會產生問題。Balancer資金池的核心是變動的兌換比例,正常情況下,這種比例會隨不同代幣的流入流出而變化,使得池內金額達到一種平衡,但遇到通縮貨幣或者Compound這類特殊貨幣時,流入流出的數據就與用于計算比例的數據產生誤差,這種誤差使得攻擊者可以進行攻擊并獲利。

從上面的兩個項目不難看出,DeFi并不是簡單的將現實世界的金融體系搬到鏈上就可以的。因為底層的不同,造就了DeFi能夠做到現實金融體系無法做到的很多事情,比如0抵押借貸、跨國匯款等非常有前景的功能。但隨之而來的還有很大的風險和問題,比如如何與現實世界互通、如何得到政府的認可以及如何解決安全問題。

“給我一個支點,我可以撬動地球”。對比于傳統金融,DeFi的底層靠的是智能合約,本質上是程序,程序擁有傳統金融不可比擬的高效性和便捷性,但也存在傳統金融無需考慮的代碼漏洞問題。如果黑客在智能合約中找到了這樣一個“支點”,便可以輕易撬動上千萬的資產。

所以成都鏈安建議各位讀者,理性對待DeFi,選擇安全且有發展前景的項目進行理性投資,在進行投資前,做好調研工作,對未公開智能合約和審計報告的項目,要保持警惕。

Tags:BalancerNCEBALBALADisbalancerPanda FinanceKINGS GLOBALShambala

SAND
NOA:突破1萬美元 比特幣拿到“貨幣”身份證 美國開割全球韭菜?

日前,美國聯邦法院表示,根據華盛頓法律,將比特幣定義為“貨幣”。“短時間來看,這些法律上的舉措可以進一步強化比特幣的法律地位,進而得到傳統金融的青睞與認可,可以增加整個幣圈交易的熱度.

1900/1/1 0:00:00
OIN:北京“區塊鏈+政務服務”曬成績單:140個場景落地 多個政務場景“最多跑一次”

日前,隨著《政務服務領域區塊鏈應用創新藍皮書》的發布,讓人們看到了區塊鏈在賦能政務方面的潛能。北京“區塊鏈+政務服務”落地140個區塊鏈應用場景,平均減材料40%,打通了傳統數據共享模式較難打通.

1900/1/1 0:00:00
加密貨幣:晚間必讀5篇|如何評估以太坊2.0經濟安全性?

DeFi“農業”革命 DeFi生態系統正在迅速發展。盡管世界正走向本世紀最嚴重的經濟衰退。收益農場(Yield farming)是啟動新平臺社區和市場的新型激勵工具.

1900/1/1 0:00:00
COIN:Coinbase上市有何阻礙?對加密行業有何影響?

關鍵要點? ●?Coinbase?--全球最大的數字貨幣交易所之一,有可能放棄常規的IPO進行上市.

1900/1/1 0:00:00
EOS:大周期上漲格局完好 小周期仍需消化拋壓

各級別性質:日線-上漲,4小時-上漲,1小時-盤整截圖來自OKEX BTC/USDT永續合約1小時圖:對于行情從兩個角度來說,一個角度是客觀的走勢狀態以及根據客觀走勢所制定的應對策略.

1900/1/1 0:00:00
TPS:金色薦讀 | 區塊鏈的安全 誰來保障?

近幾年,區塊鏈技術的發展非常迅猛,安全形勢也越來越嚴峻,僅安全事件導致的直接經濟損失就高達幾十億美元,給行業帶來了巨大的經濟損失和慘痛的教訓.

1900/1/1 0:00:00
ads