譯者注:5月19日消息,BSC最大借貸平臺Venus被曝出發生大額清算,據社區反饋,有幾個大戶手中掌握了300多萬XVS,在砸盤的前一天晚上,大戶在很短的時間內花了幾千萬美元把XVS的價格從70多美元拉到144美元,然后在價格高位抵押XVS借貸了幾千個BTC和幾萬個ETH。隨后,XVS價格迅速崩落,XVS被清算,給Venus平臺造成了1億多美元的壞賬。
接下來的幾日,Venus團隊就事故后續的計劃公布了一系列進展,包括降低各抵押系數和邀請更多成員參與清算工作等等。
5月28日凌晨,一個推特賬號為VenusInsider的賬號發布文章《Venus.IOExploit—AnInsideJob》,文章認為,XVS的清算事件、包括今年1月的Cannon事件,均跟團隊有關,文章抽絲剝繭,列出多個大額轉賬操作記錄以及相關地址與Binance交易所充值地址的轉賬關聯,有理有據。但作者也強調,無需信服他的結論,建議讀者自己去驗證確認,畢竟,DON'TTRUST,VERIFY,才是區塊鏈精神。
5月28日最新進展:
本文發表后,Venus團隊與我聯系討論,并試圖澄清我的理解。此刻,我提出的幾個問題仍然存在。我被告知,在適當的時候,Venus團隊將向我提供我所提問題的最新情況。如果有進一步的發展,那么這篇文章將根據需要進行更新/澄清。
在這篇文章中,我將提供來自鏈上證據,證明Venus/Swipe團隊與跟Cannon初始代幣銷售事件、XVS賬戶清算事件的區塊鏈錢包直接相關。
由于XVS協議的問題,造成超過1億美元的流動性短缺,數以百計的用戶遭受了損失和清算,這是團隊行動的直接結果,在Binance交易所XVS代幣價格出現明顯操縱后,Venus協議系統允許了最大限度的借款,以致超過200萬XVS被迫清算。
比特幣錢包Xverse完成500萬美元種子輪融資:8月10日消息,比特幣Web3錢包Xverse完成500萬美元種子輪融資,本輪融資由Jump Crypto領投,RockawayX、Sfermion、Alliance、NGC Ventures、V3ntures、Old Fashion Research、2140 Bitcoin Ecosystem Fund、Bitcoin Frontier Fund、Newman Capital、Franklin Templeton、New Layer Capital、Miton C、Gossamer Capital、Daxos Capital、Sora Ventures、Tyhke Block Ventures、IOBC Capital和Despread等參投。新資金將幫助該公司加速開發與去中心化金融(DeFi)以及Stacks、Lightning和其他比特幣擴容解決方案相關的高級功能。[2023/8/10 16:18:12]
下面是一個直觀的流程圖,概述了我最相關的發現,后面的部分將提供區塊鏈交易的直接鏈接。你無需相信我的結論,自己去驗證信息是否準確吧。
Cannon錢包、已清算的XVS錢包和Venus/Swipe團隊的財務錢包都直接鏈接到同一個Binance交易所的存款地址上。
Cannon初始代幣銷售事件
在Cannon在Swipe應用上完成初始代幣銷售之后,Swipe/Venus團隊馬上在Venus應用上列出了CAN代幣,抵押系數為60%。
一個"預售輪的買家"被允許提供占流通量45%的低流動性CAN代幣,以此為抵押物,借入高達60%的BTC和ETH。由于該幣在Uniswap上的交易價格是IWO報價的重要倍數,"預售輪賣家"借了大約7000萬美元的BTC和800萬美元的ETH,耗盡了協議的可用流動性-由于CAN代幣的流動性極度缺乏,也使協議面臨嚴重的清算損失風險。
幣安將上線 XVG U本位永續合約:7月4日消息,幣安合約交易平臺將于2023年7月5日20:00(北京時間)上線USD?-M XVG永續合約,最高杠桿為20倍。[2023/7/4 22:17:12]
JoselitoLizarondo的事件報告可以在這里找到。
https://blog.venus.io/venus-protocol-update-9cb6470465ea
客戶隨后向我們提供了他提取的原生資產,我們將它們重新包裝送回BSC,這樣買方就可以降低他的風險,而我們也可以取回Venus失去的流動性。
然而隨著事件塵埃落定,實際上盡管有上述聲明,在這些資金被"償還"后,Venus協議仍被欠下了4000個ETH。
證據:
目前還剩下3個vCAN持有者,其中前2個錢包目前都欠Venus協議,在寫這篇文章的時候,每個錢包都欠了超過2036個ETH。根據上述博客的更新,這兩個錢包被證實屬于同一個實體。
提供CAN,并通過錢包
0x33df7a7f6d44307e1e5f3b15975b47515e5524c0
借來了BTC和ETH,它被發送到Binance存款錢包
0x164a03a5190357a998378da7ec7e882c090ad029。
這是一個Binance交易所存款地址,你可以看到這個賬戶上定期會有合并交易,將資金轉移到Binance熱錢包。我將把這個錢包稱為"0x164...029Binance錢包"。
SushiSwap的BentoBoxv1合約遭受攻擊,黑客獲利約2.6萬美元:金色財經報道,據區塊鏈安全審計公司Beosin監測顯示,SushiSwap的BentoBoxv1合約,據Beosin安全技術人員分析,該攻擊是由于Kashi Medium Risk ChainLink價格更新晚于抵押/借貸后。在兩筆攻擊交易中,攻擊者分別flashloan了574,275+785,560 個 xSUSHI, 在抵押和借貸之后,LINK Oracle中的kmxSUSHI/USDT 的價格從下降了16.9%。通過利用這一價格差距,攻擊者可以調用 liquidate()函數清算從而獲得15,429+11,333 個USDT,Beosin Trace追蹤發現目前被盜資金還在攻擊者的地址上:0xe7F7A0154Bf17B51C89d125F4BcA543E8821d92F。[2023/2/10 11:58:50]
盡管這個實體借來的所有BTC都已被償還,盡管有上面的聲明,但借來的7000個ETH中只有3000個被歸還,還有4000個ETH未償還。截至今天,該筆債務已增加到超過4072個ETH,盡管這些資金沒有得到償還的希望,但仍在向協議上的其他ETH供應商支付利息。
XVS借用錢包0xef...7bf
在過去的100多天里,c7BF這個賬戶一直受到社區的監督。Venus團隊規定了45萬XVS的借款上限,而這個賬戶借了大約33萬XVS。每天有3000XVS的獎勵被應用于這個市場,其中50%的獎勵給了放貸者,50%給了借款人。換句話說,這個賬戶每天獲得超過1000XVS。很快,這個賬戶成為頂級XVS持有者之一,提供了超過100萬XVS。
社區不斷質疑Venus/Swipe團隊,為什么他們允許這種情況繼續下去。
4月1日Venus協議AMA
Gate.io將于今日上線DIGG、XVS交易:據官方公告,Gate.io將于2月6日(今日)14:00上線 DIGG (DIGG) 交易,并于16:00上線Venus (XVS) 交易。風險提示:由于DIGG的特殊性,Gate.io將會在每日約04:00暫停其交易并更新用戶DIGG余額,幣幣交易和充值服務將受到影響。目前DIGG市場需求旺盛,已經嚴重溢價,但后續可能出現下跌情況。請務必注意DIGG、XVS價格變化,提前調整市場掛單,切勿追高。[2021/2/6 19:03:18]
問:#AMAXVS借貸對少數人來說是封閉的,并且有一個瘋狂的收益率,Swipe在處理這個比率方面做了什么?
JL:這是一個需要發生的基本變化,以保持一致。目前,眾所周知,市場速度在借款和供應商之間分配。有一個借貸上限,所以沒有人可以惡意借貸大量的XVS并提出提案,他們需要真正的參與這場游戲,這意味著要購買或賺取它。
雖然由于安全問題,XVS的借款市場年利率很高,但目前安全問題超過了想要分一杯羹的人。那些幸運的人,是早期的用戶,他們利用了借款上限的優勢。這是一個FCFS的基礎。好消息是幾乎所有的,尤其是最大的一個,從鏈上數據顯示,正在重新復合回協議。
5月8日VIP-22通過,將XVS的抵押系數從60%提高到80%。
5月18日,錢包0xef...7bf從BinanceHotWallet收到多筆XVS轉賬。這些轉賬的時間與XVS代幣的"抽水"相吻合。這里有0xef...7bf的過濾視圖。在上述"抽水"期間收到的XVS總量為912,219.95XVS。所有這些額外的資金被提供給Venus,使0xef...7bf的XVS錢包余額超過200萬XVS。
XVG再次遭受51%的算力攻擊:據CCN報道,以隱私為中心的加密貨幣(XVG)已經遭受了第二次51%的算力攻擊。根據論壇用戶ocminer數據顯示,一名攻擊者似乎已經成功地通過51%的算力攻擊分叉了Verge區塊鏈,攻擊者在XVG代碼中操縱了一個漏洞,允許惡意的礦商在塊上設置虛假的時間戳,攻擊者在數小時內獲得了約3500萬XVG(價值175萬美元)。目前,此次攻擊已經平息,然而似乎沒有任何方法可以阻止攻擊者將未來再次發起攻擊。[2018/5/23]
在區塊鏈上觀察到的模式是這樣的。
(1)從BinanceHotWallet收到XVS轉賬
(2)提供給Venus以增加抵押品
(3)借入更多的BTC/ETH到一個高的賬戶限額
(4)將BTC轉出回到Binance交易所
如此循環往復
5月18日以來XVS-BUSD交易K線
鏈上動作https://bscscan.com/tokentxns?a=0xef044206db68e40520bfa82d45419d498b4bc7bf&p=76
根據上述圖表和鏈上截圖,我強烈懷疑取出來的資金被用來繼續購買XVS,推動價格上漲,上述模式在2-3小時內重復,同樣的交易模式也可以在交易歷史的第76和77頁觀察到-上面是一個屏幕截圖樣本。
一旦XVS不再被積極購買,市場就會回撤,然而這導致0xef...7bf錢包變得抵押不足,隨之而來的是連環清算。
由于高漲的XVS價格,0xef...7bf基本上能夠以遠高于公平市場價值的價格贖回它的XVS,包括每天免費的1000多個代幣。當塵埃落定時,0xef...7bf沒有留下任何抵押品,但卻有不到2000個BTC的債務。
在從0xef...7bf賬戶提取BTC后,我發現它們被發送到了0x04ebe08a11eafa75c913465e2bcdd34b133f7ed1,到達這個錢包后不久,資金被發送到"0x164…029Binance錢包"。
還可以看到,3月8日,0xef...7bf直接向"0x164...029Binance錢包"發送了27個BTC。這時候是Cannon事件后的53天,XVS清算事件前的71天
因此,鑒于上述情況,我們可以通過涉嫌價格操縱將CAN事件與XVS清算事件直接聯系起來。我想問的一個問題是,現在明顯出現了不良的系統參與者,而且這個錢包地址還跟Venus協議相關,Swipe團隊應當要終止這樣的關系的時候--為什么該團隊沒有立即采取措施來降低風險?為什么這個區塊鏈地址沒有受到團隊的持續關注?
跟Swipe/Venus團隊關聯起來了
a.XVS回購和燒毀
4月26日,VIP-16通過了一項從市場上回購并燒掉350萬美元XVS的提案。在提案中,Venus/Swipe團隊要求將資金發送到0x74574937281B91cd708AbA6522287b78b3243EE7。
然后,250萬USDT被發送到"0x164…029BinanceWallet"。20分鐘后,31,979.9961XVS被送回,代幣燃燒結束。
b.與部署者和0xfe...7bf錢包的交易
據悉,錢包
0x733657b431a35f0283c33de0dd7fd293a8f1a15a
向團隊"Venus:Deployer"地址發送過資金,時間是2020年11月25日。Deployer地址是創建所有Venus合同的地址。
然后觀察到77天前,這個錢包中的剩余資產被發送到0xef…7bf,在團隊錢包和受益于XVS借款的賬戶之間建立了直接聯系,并最終通過涉嫌價格操縱進行清算。
c.來自SXP生態系統錢包的交易
據觀察,"0x164...029BinanceWallet"收到大額的SXPtransfers轉賬。總價值超過1.2億個代幣。
這些轉賬的來源是"BSC:TokenHub"。轉賬是在BinanceChain上發起的,全部來自錢包bnb1rcq2vzuzzvw5unqfkwylt5r5wxks73tck0sf4s例如txidB34…293。
2021年3月1日,這個錢包從bnb1c8wmwh6yvv4w6v9df0yzt23w4r0wus5lqh58mj收到10mSXP。然后在4月15日,它又收到了5000萬以上的SXP。
bnb1c8wmwh6yvv4w6v9df0yzt23w4r0wus5lqh58mj最初從造幣的SXP地址收到1.2億。
看一下最初的SXP白皮書,它概述的代幣的分配情況如下。
SXP原始白皮書-代幣分配部分
所以錢包*8mj是生態系統的Swipe團隊的儲備錢包。
所以在這里把所有的點連接起來;最后一個問題,也是我找不到邏輯解釋/答案的問題。鑒于Cannon事件發生在2021年1月14日,為什么刷卡團隊會在4月15日從生態系統儲備中匯款到Cannon實體發送資金的同一個Binance存款地址。思來想去,除了所有這些事件都是精心策劃的監守自盜外,無法得出其他合理解釋。
最終,失蹤的是社區用戶的資金,而非協議的資金,到目前為止,失蹤的資金達~2000BTC和~10000ETH。
今天早些時候,Venus團隊做出了以下更新。
第一個VGP提案,將是解決BTC和ETH的系統短缺問題。
如果我記錄的信息是正確的,那么這第一個提案將是從國庫中轉移XVS,以換取團隊已經擁有的ETH和BTC--毫無疑問是以折扣價。
我不能再保持沉默了。我呼吁CZ立即進行干預,調查并確認我的發現,并將這個腐敗的團隊趕走。
如果有任何進一步的發展,我將在以下鏈接繼續更新。
https://medium.com/@venus.insider/venus-io-disclosure-an-inside-job-f8ef195fe78d
補充
0x0c1e306d12c55d92f0c56e19ee86bbabb71642024d2bdec7a301dea6452973e1是錢包0xef...7bf低于掛鉤價出售大量VAI的幾筆交易之一。已經有許多社區抱怨缺乏掛鉤,看來內部人士也要為此事負部分責任。
還有一個欠協議5800+ETH的錢包,在清算開始前15秒就提取了最后1400ETH。我沒有找到這個賬戶跟其他賬戶間的直接聯系,基于XVS提款的時間和金額,與其他賬戶相比,我很難相信它沒有以某種方式參與其中。
作者:VenusInsider
翻譯:小野Savage
原文鏈接:
https://medium.com/@venus.insider/venus-io-disclosure-an-inside-job-f8ef195fe78d
以下是作者原文,本文為翻譯,盡量保持作者原意。
原標題:《黑客攻同源漏洞「團滅」Fork協議》 撰文:凱爾 2021年5月,加密資產市場頗為動蕩,BTC從5萬美元上方最低跌至29000美元,幾近腰斬,大多數加密資產最大跌幅超過50%.
1900/1/1 0:00:00中國人民銀行1日公布了《中華人民共和國反洗錢法》,并向社會公開征求意見。意見稿明確,特定非金融機構在從事特定業務時,應當參照金融機構的相關要求履行反洗錢義務.
1900/1/1 0:00:005月18日,中國互聯網金融協會、中國銀行業協會、中國支付清算協會三大協會聯合發布公告,要求金融機構、支付機構不得開展與虛擬貨幣相關的業務。緊接著,國務院金融委重磅發聲打擊比特幣挖礦和交易行為.
1900/1/1 0:00:002021年5月25日,某自治區組織起草了《某自治區發展和改革委員會關于堅決打擊懲戒虛擬貨幣“挖礦”行為八項措施》,征求意見的時間為當日起至6月1日,共五天時間.
1900/1/1 0:00:00自從上周比特幣從歷史高位價格“腰斬”后,本周開始比特幣又出人意料地走出了兩位數百分比的上漲行情,自比特幣問世以來,行情的大幅波動,向來是這個最大加密貨幣資產的“金字招牌”.
1900/1/1 0:00:00雖然非同質化代幣(NFT)早在2018年初就已經出現了,但它們最初是在邊緣小眾社區(加密貨幣愛好者)中的小眾用例(收集加密貓).
1900/1/1 0:00:00