成都鏈安：從balancer事件看DeFi安全問題_區塊鏈

2019年以來，DeFi逐漸成為區塊鏈的熱點，一時間大量資金開始涌入各類DeFi項目。自Synthetix項目嶄露頭角后，DeFi項目如雨后春筍般紛紛出現在人們的視線里。但隨著DeFi的不斷發展，DeFi項目的安全問題也愈發緊急。前不久發生的Balancer被攻擊事件，攻擊者利用Balancer資金池與通縮貨幣結合產生的漏洞，盜取資金池500,000美元。而后不到24小時，balancer再次遭受攻擊，攻擊者利用Compound“借貸即挖礦”的特性，竊取了資金池中無人認領的Comp幣。

對于第一次攻擊事件，我們在前面已經有分析，感興趣的朋友可以移步。對于第二次攻擊事件，筆者覺得攻擊者的行為是介于薅羊毛和非法攻擊之間，并不能一口咬定就是非法攻擊。從一方面看，攻擊者確實是違背了Balancer合約設計的理念，利用Balancer的代碼漏洞竊取了本不屬于自己的利益。但是從另一方面看，攻擊者竊取的資金，并不是資金池內的本金，是Compound“借貸即挖礦”的特性而產生的盈利，且即使攻擊者不攻擊，Balancer合約本身也并沒有合理的將這筆錢分配給用戶。這就像一個超市每天產生的空紙盒，公司并沒有明文規定怎么處理，一般都是堆積到一定程度后，某個發現的員工拿去賣出，此員工獲得利益。這時候來了個外來的人，他發現了這些紙盒可以產生利益，所以就去應聘員工，賣出紙盒后馬上離職再去下一家。Balancer官方在第二次事件發生后，也未對此做出相對的修復措施，這也間接表明了官方的態度，官方可能更傾向于這是一種“薅羊毛”行為。

成都鏈安：GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息，據成都鏈安安全輿情監控數據顯示，GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣，攻擊者惡意調用了depositFromOtherContract函數記賬，并憑空提取了GYM token，目前2000BNB已進了Tornado Cash，3000BNB存放在攻擊賬戶中，價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]

而這次事件，總共涉及到了三個DeFi項目。Balancer、dydx和Compound。WhatisDeFi?

成都鏈安：國內天穹數藏宣稱遭黑客攻擊，黑客利用虛假余額購買盜取用戶的藏品:5月17日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，天穹數藏宣稱遭黑客攻擊，藏品售價異常高達近千萬元。根據平臺公告稱：平臺數據遭遇大量惡意攻擊，黑客利用虛假余額購買盜取用戶的藏品，導致數據異常，目前已恢復，平臺已第一時間報警處理。成都鏈安安全團隊初步分析，導致本次攻擊的原因猜測為：攻擊者通過傳統網絡安全攻破了平臺方數據庫，惡意篡改賬戶余額，導致大量用戶高價掛單仍可成交，最終導致數據異常。成都鏈安安全團隊建議：

1、 國內數字藏品平臺方在設計、實現和部署的過程中，要關注通信與網絡安全、主機安全、數據庫安全、移動安全等傳統安全領域，做好安全防護；

2、 國內數字藏品平臺方在運維的過程中，要做好金融風控的設計和實施，避免出現大規模資金異動而不自知的情況；

3、 數字藏品消費者在選擇交易平臺時，需要關注平臺合規風險，注意保障自身財產安全；

4、 數字藏品消費者警惕炒作風險和市場泡沫，避免泡沫破裂時造成財產損失。[2022/5/17 3:22:51]

DeFi中文意思是“去中心化金融”，旨在利用區塊鏈技術完成傳統金融中的借貸、存儲、支付等功能，縮短金融交易中的交易時間，減少交易手續費，解決跨國難等問題。目前DeFi上火熱的項目有Compound、Maker、dydx等，如下圖所示：

巧克力COCO智能合約已通過Beosin(成都鏈安）安全審計:據官方消息，Beosin（成都鏈安）近日已完成巧克力coco智能合約項目的安全審計服務。據介紹，巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議，訂單簿DEX，智能挖礦等等功能的創新和聚合，進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募，社區高度自治。合約地址：THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號：202010042149[2020/10/5]

在DiFi的項目里，很多都是將傳統金融行業的工具直接搬到區塊鏈上，比如借貸、存儲。但區塊鏈和現實世界是有極大差異的，他們的底層邏輯是不同的。例如，在傳統金融領域，“信用”是作為信貸的根本條件，銀行會對一個人的信用進行評級，從而判斷是否可以放貸給他。在區塊鏈這個封閉的世界里，因區塊鏈的隱私性，地址無法關聯到人，也就不存在“信用”屬性。如果要實現“信用”，就必須要有預言機來獲取真實世界的信息。但也正是因為區塊鏈與現實世界的不同，使得DeFi可以實現一些現實世界無法實現的功能。dydx閃電貸：0抵押借出3千萬美元在balancer第一次事件中，攻擊者利用dydx借貸了3千萬美元，但是卻無需任何抵押物。這在傳統的金融領域是無法做到的，傳統金融領域的借貸方式都是以“資產抵押”或者“信用抵押”作為規避借貸風險的手段，但因為區塊鏈的特性，可以做到將一筆交易回滾，所以也就可以實現0抵押進行大額借款。dydx允許用戶進行一筆0抵押的大額借款，用戶只需在一筆交易中將借款進行歸還即可。如果用戶在一筆交易后并未將借款歸還，那么交易將被回滾，花出去的錢又可以收回來，從而規避了本金風險。雖說在一筆交易中必須歸還借款，但智能合約又允許用戶在一筆交易中進行多次操作，用戶可以在這筆交易中以低價大量買入某種代幣，再以高價賣出，即使差價非常小，在巨量本金的基礎下，也可以實現可觀的收益。如果放在傳統的金融領域，一般是難以實現這種操作的。但有了dydx，任何人都可以獲得這一筆“巨額資金”。新事物的出現總是存在兩面性，dydx閃電貸為一般人提供使用巨款的可能性的同時，也為躲在暗處的黑客提供了幫助。就如Balancer第一次被攻擊，如果沒有dydx，黑客必須籌集巨額的本金，才能實現將資金池內的通縮代幣抽空，否則將無法進行攻擊。Balancer：通過收取費用來管理自己的資產在傳統金融里，用戶需要向第三方的管理機構支付管理費用，從而平衡自己的資產，保障資產價值。但Balancer的出現打破了這一情況，資產擁有者可以通過收取費用來保障自己的資產價值。Balancer允許用戶建立自己的資金池，將自己的不同資產放入池中，當不同資產的市場價格產生變化時，形成的差價會誘使套利者在資金池中進行兌換，從而使得資金池中的各種代幣含量達到一種平衡。套利者通過套利行為獲得利益，而資金擁有者也因此平衡了資產價值。假設一個資金池中有DAI和WBTC兩種代幣，當DAI在外部升值時，DAI兌換WBTC的比例就會減少，這會誘使套利者在此資金池將手中的WBTC兌換成DAI，直到資金池兌換比例和外部一樣為止，這使得資金池內的DAI持有量上升，總體價值下降。當DAI在外部貶值時，又會誘使套利者將手中的DAI兌換成WBTC，因為早先持有大量的DAI，合算起來，總體價值再次回升。經過套利者的持續操作，資金池內總是保持著一種平衡。Balancer的這種資金池模型并沒有太大問題，但當遇到如通縮貨幣或者Compound這種特殊的代幣時，就會產生問題。Balancer資金池的核心是變動的兌換比例，正常情況下，這種比例會隨不同代幣的流入流出而變化，使得池內金額達到一種平衡，但遇到通縮貨幣或者Compound這類特殊貨幣時，流入流出的數據就與用于計算比例的數據產生誤差，這種誤差使得攻擊者可以進行攻擊并獲利。如何看待DeFi

REV智能合約已通過Beosin（成都鏈安）的安全審計:據官方消息，Justswap上的明星項目，REV團隊釋放出REV智能合約審計報告，由Beosin（成都鏈安）安全審計完成。

據了解，REV（Revolution Token）是基于區塊鏈的新型社會實驗型代幣。其獨特之處在于內嵌了交易燃燒、尾單博弈、持幣分紅三種獨特的創新機制。

REV技術介紹：智能合約的整體設計清晰，邏輯縝密，代碼安全靠譜，從性能和功能上完全具備了區塊鏈頂級去中心化金融項目的一切條件。合約地址(認準唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。詳情點擊原文鏈接。[2020/9/16]

從上面的兩個項目不難看出，DeFi并不是簡單的將現實世界的金融體系搬到鏈上就可以的。因為底層的不同，造就了DeFi能夠做到現實金融體系無法做到的很多事情，比如0抵押借貸、跨國匯款等非常有前景的功能。但隨之而來的還有很大的風險和問題，比如如何與現實世界互通、如何得到政府的認可以及如何解決安全問題。“給我一個支點，我可以撬動地球”。對比于傳統金融，DeFi的底層靠的是智能合約，本質上是程序，程序擁有傳統金融不可比擬的高效性和便捷性，但也存在傳統金融無需考慮的代碼漏洞問題。如果黑客在智能合約中找到了這樣一個“支點”，便可以輕易撬動上千萬的資產。所以成都鏈安建議各位讀者，理性對待DeFi，選擇安全且有發展前景的項目進行理性投資，在進行投資前，做好調研工作，對未公開智能合約和審計報告的項目，要保持警惕。

動態 | 成都鏈安再獲聯想創投、復星高科領投多輪數千萬元融資:區塊鏈安全公司成都鏈安科技有限公司繼2018年5月分布式資本種子輪投資，2018年11月界石資本、盤古創富天使輪投資后，近期連獲多輪融資，共計數千萬人民幣，由聯想創投、復星高科領投，成創投、任子行戰略投資，分布式資本、界石資本、盤古創富等老股東均跟投。

此次融資將用于持續深化區塊鏈全生態安全布局、研發“一站式”區塊鏈安全服務平臺、開展自主可控的區塊鏈安全技術研究、提升用戶全新體驗及全球化市場的拓展，助力成都鏈安成為全球區塊鏈安全領域的行業標桿。在當前區塊鏈新時代風口下，一方面成都鏈安將利用“一站式”區塊鏈安全平臺和服務，協助相關企業做好安全防護工作，提升安全防護能力，減少安全損失；另一方面將繼續大力協助政府監管機構做好調查取證等工作，以切實加強安全監管；同時多為行業發展發出正能量的聲音，帶頭建立起有序的行業規范，并促進安全標準建設。[2020/1/16]

Tags：區塊鏈CERANCLANC區塊鏈的未來發展前景與應用CERE幣Swiss.FinanceDefilancer token

Ethereum