獨特于所有DeFi項目的債倉概念,Synthetix魅力如此之大的原因在于它的債務池機制。
來源:鏈聞
撰文:林明,FirstPool聯合創始人
Synthetix是資產合成平臺,可以合成數字貨幣、外匯、股票、指數等任意資產,但資產合成只是項目的一層外殼,Synthetix本質上是對賭平臺。而且對賭也分為兩層,第一層,如果Synthetix大部分交易量為SNX持有者之間的交易,那么可以理解為SNX持有者之間的對賭平臺。第二層,Synthetix如果交易規模做大,SNX持有者交易量僅占非常小部分,那么我們可以把它理解為SNX持有者和外來交易者之間的對賭平臺。
Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。
攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]
Synthetix的目標
安全團隊:獲利約900萬美元,Moola協議遭受黑客攻擊事件簡析:10月19日消息,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析,結果如下:
第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金(182000枚CELO).
第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。
第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,Moo對應CELO的價格變高。
第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。
第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。
本次遭受攻擊的抵押借貸實現合約并未開源,根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時,通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方,將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]
Synthetix的目標在于突破第一層內部SNX持有者對賭,到達第二層和外部交易者對賭,把sUSD、sETH這樣的合成資產籌碼發出去,讓外來交易者進場交易,和XDR對賭,一旦Synthetix規模做大,那么BitMEX也僅僅只是他的一部分而已,賭客越多,對賭物越符合大數定理,那么sUSD鑄造者會像葡京和太陽城的股東一樣源源不斷的獲得抽水。
Grim Finance 被黑簡析:攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報,2021 年 12 月 19 日,Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣,并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。
2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作,而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中,depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣,本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。
3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性,攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時,惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押,此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。
4. 由于攻擊者對 GrimBoostVault 合約重入了多次,因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。
此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]
Synthetix的債務池機制
Harvest.Finance被黑事件簡析:10月26號,據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊,損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。
1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費;
2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT;
3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小;
4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC,而鑄出的數量計算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC;
5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常;
6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC;
7. 隨后攻擊者開始重復此過程持續獲利;
其他攻擊流程與上訴分析過程類似。參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。[2020/10/26]
首先要把資產合成這個概念給丟下,是的,他沒有那么重要,Synthetix魅力如此之大的原因在于他的XDR,獨特于所有DeFi項目的債倉概念,代數解釋XDR非常的難理解,我們用兩種極端情況來解釋。
1.整個賭場只有你一個人,即使漲100倍也沒有任何收益。
你在MINTR鑄造了100sUSD,用sUSD買了sETH,你組成了整個XDR,ETH漲了10倍,你會有收益嗎?沒有,一分都沒有。因為你的資產會升值100倍,但是你的XDR會讓你的負債同等的為資產的100倍,也就是你的凈資產仍然為100,凈利潤為0。
2.賭場里無數人,你是對賭坐莊者之一,收入為對賭收入和手續費。
那么再想像一下,賭場里面無數人,SNX持有者占比非常低,那么所有SNX持有人匯成的XDR將會和外部交易者進行對賭,輸贏都會從XDR中支取,越是符合賭博大數定律,越是能收到源源不斷的手續費。這里賭場也要分兩部分,XDR內部的SNX持有人依然在對賭,同時外部交易者也在和XDR對賭,其中外部交易者收益直接從XDR獲取,虧損也直接給XDR,例如外部交易者買了sETH,sETH漲一倍,那么他直接獲得一倍收益,XDR將虧損對應的USD價值。
Synthetix的代幣模型
Synthetix對于token模型的設計摸索出了適宜于自己的方案,具體為三點,通脹模型鼓勵SNX持有者鎖倉坐莊,獲取收益和取回質押物托底SNX價格,流動池獎勵促進合成物與真實數字代幣的錨定。
1.通脹模型鼓勵SNX持有者鎖倉坐莊。首先要明確在synthetiux上合成質押物其實就是坐莊。Synthetix是一個增發代幣,他目前增發率為21%。起始增發時間是2019年3月,現在已經到達了YearThree階段。
這樣的設計非常巧妙,首先你要得到增發部分收益必須用SNX合成sUSD才可以,相當于強制要求你直接在賭場坐莊,然后質押率為700%,價值7usd的SNX只能鑄造出價值1USD的sUSD,相當于sUSD的總供給不會超過SNX市值的13.3%,增加了質押同時又為synthetix的交易所提供了籌碼,擴大了交易額上限,
2.獲得收益和取回機制拖住代幣價格。你要獲取獎勵和贖回資產有兩個要求,第一步是償還債務,第二部是質押率必須回到700%。這種模式本質上是對代幣價格的保護,SNX價格下跌的時候,你合成的sUSD價值不變,但是SNX下跌會導致質押率低于700%,為了獲得獎勵和贖回本金,必須去買SNX讓質押率重新達到700%要求,才可以贖回資產,模型中暗含了托盤的機制,同時歸還債務也確保了XDR保持平衡。
3.LP獎勵加強合成物與實際數字貨幣鉚釘。Synthetix為了讓質押物和合成物的深度不斷提升,加強1:1錨定,分別針對Uniswap和Curve的LP池子給予了獎勵,激勵大家做市sUSD、sETH和sBTC,可以說Synthetix是激勵LP的先驅,對于token模型的解讀非常深。
Synthetix的發展
一個項目的發展最終必須落腳在數據,我們這里可以看一下Synthetix的交易量變化,以及目前的市值。
我們可以看到目前的Synthetix的交易量仍然起起伏伏,7月的成交額為1.45億,Synthetix要發展成最大的對賭平臺仍然道路漫長。
SNX市值決定了合成資產的天花板,現在他們正在積極引入ETH、BTC等質押物來提升資產量。
Synthetix團隊
Synthetix如果要描述他們團隊我只能想到兩個詞,堅強和創新。堅強不僅在于項目上的堅強,更在于他們遇到困難時總是迎難而上,找到解決之道。過高的gas費和token增發,幣價下跌引發的市場規模縮減,合成物單邊波動過大,Synthetix團隊仍然要面對非常多的阻攔,希望他們可以繼續戰勝困難,繼續前進!
自8月25日太空競賽開始以來,Filecoin主網上線就已經進入了倒計時階段,目前所有參與Filecoin項目的人都在為拿到太空競賽獎勵而奮斗著,同時渴望著主網上線后豐厚的回報.
1900/1/1 0:00:008月20日,加密貨幣借貸初創公司BlockFi宣布完成C輪融資,募集5000萬美元,加密資產管理公司摩根溪領投.
1900/1/1 0:00:008月22日-23日,“共享新機遇——2020全球區塊鏈算力大會暨新基建礦業峰會”在成都舉行。本次大會由成都市新經濟委、成都市科技局及成都市成華區人民政府指導,由成都市成華區新經濟和科技局、成都市.
1900/1/1 0:00:00取款密鑰是什么? 取款密鑰是以太坊2.0中的驗證者用來提現以太幣的密鑰。以太坊2.0的密鑰與以太坊1.0的密鑰在生成和使用方式上大致相同,但二者并不兼容,也就是說,在以太坊1.0上生成的密鑰不能.
1900/1/1 0:00:008月22-23日,2020全球區塊鏈算力大會,暨新基建礦業峰會在成都舉辦,大會由成都市新經濟委、成都市科技局及成都市成華區人民政府指導.
1900/1/1 0:00:00據Cryptopotato8月31日報道,比特幣礦工和投資者放緩出售代幣的速度,“囤貨居奇”氛圍凸顯。我們不得不懷疑,他們是否在等待大牛市的再次來到.
1900/1/1 0:00:00