金色觀察｜Uniswap V3的“漏洞”風云_Uniswap

熊市的盛夏，黑客攻擊頻出，讓已經對價格無感的持幣者們還要為安全擔心。

北京時間7月12日上午9時，幣安創始人趙長鵬發布推文：

“我們的威脅情報在ETH區塊鏈上檢測到UniswapV3存在潛在漏洞。到目前為止，黑客已經竊取了4295ETH，他們正在通過TornadoCash進行洗錢。有人可以通知Uniswap

嗎？我們可以提供幫助。謝謝。”

并附上了黑客地址：

金色晚報 | 4月22日晚間重要動態一覽:12:00-21:00關鍵詞：央視、USDT、穩定幣、1000TPS

1. 央視：從交子到數字貨幣中國將再次引領貨幣金融創新變革。

2. 報告：過去25天Tether新增鑄幣10億USDT。

3. Coinbase：全球市場的不確定性造成了對穩定幣需求的激增。

4. 美國法官下令逮捕涉嫌加密詐騙的前共和黨州參議員。

5. 央行上海總部：區塊鏈技術等為支付創新注入新動力。

6. IOTA基金會成員：Coordicide v1版本將實現1000的網絡TPS。

7. imBTC 全面恢復轉賬交易功能。

8. 進出口銀行四川省分行發揮區塊鏈平臺優勢助力外貿企業復工復產。

9. 人民大學張楠迪揚：區塊鏈在抗疫工作中有很多落地場景。[2020/4/22]

該地址已經被Etherscan標注為黑客地址。

金色晨訊 | 芝商所將推出比特幣期權 突尼斯否認已推出CBDC:1.Bitfinex計劃推出期權及黃金支持的穩定幣。

2.Bakkt計劃推出以現金結算的比特幣期貨。

3.澳本聰已獲得UTXO區塊鏈智能合約相關專利。

4.突尼斯央行否認已推出CBDC，正考慮建立。

5.谷歌與醫療服務提供商Ascension達成合作，收集患者數據開發AI區塊鏈技術和機器學習應用程序。

6.芝商所宣布將于2020年1月13日推出比特幣期權。

7.央行穆長春：中國版央行數字貨幣為目前的電子支付系統提供更多冗余性。

8.神秘人物匿名捐贈50枚BTC給Grin，李啟威稱該神秘人物是中本聰。

9.聯想超級課11月13日開設區塊鏈課程《技術入門及落地應用案例》。

10.支付寶澄清：未與Lolli合作，螞蟻區塊鏈未參與比特幣購物獎勵。

11.前美聯儲主席：是否發行數字貨幣是一個問題，而不是經濟問題。

12.人民網：應加大對區塊鏈技術的研究和應用，加強區塊鏈技術應用的頂層規劃和制度安排。[2019/11/13]

很快，趙長鵬又發文并附上與Uniswap溝通的截圖表示：

金色相對論 | 鏈播聯合創始人柏曉俊：香港監管的核心是將原有不屬于“證券”或“期貨合約”的金融產品納入監管范圍:本期金色相對論中，美國紐約州與中國律師，鏈播北美聯合創始人柏曉俊表示，香港數字資產監管規定的核心，是將原有可能不屬于“證券”或“期貨合約”的金融產品納入監管的范圍，典型的例子是大家熟悉的實用性代幣（Utility Token）、比特幣、以太幣基金。此項新規，本質上是擴大了金融監管的范圍。擴大監管的邏輯的起點是：（1）是否屬于“證券”或“期貨合約”認定的跨法域性；（2）代幣類金融產品的高風險與高波動性；（3）投資者保護的缺位。[2018/11/8]

“與Uniswap團隊聯系后，協議是安全的。該攻擊看起來像是來自網絡釣魚攻擊。團隊反應迅速。都很好。對于警報很抱歉。要學會保護自己免受網絡釣魚。不要點擊鏈接。”

分析 | 金色盤面：BBI泡沫指數為70.4:金色盤面綜合分析：根據chainext數據顯示，BBI泡沫指數8月24日顯示為70.4，市場中度泡沫，較昨日略有提高，說明市場投機偏好有所上升，但尚未進入風險高危區。[2018/8/25]

Uniswap創始人Haydenz?Adams也回復趙長鵬的最新推文：

“這是一種網絡釣魚攻擊，導致一些LPNFT被從批準惡意交易的個人手中奪取，與協議完全無關，這是一個很好的提醒，以保護自己免受網絡釣魚，不要點擊惡意鏈接。”

這看似是一次公開的簡單的溝通，但已經引起外界的情緒。

有twitter用戶評價趙長鵬：

“他創造了FUD，他是第一個發現它的人……，在不確定的情況下，他在Uniswap的用戶中引起恐慌。這一切都是他精心策劃的，他目標是在Uniswap用戶中產生不信任。并且認為幣安是非常安全的，用戶都應該遷移到那里，這個人非常惡意。”

也有twitter用戶表示：

“Uniswap似乎隱藏了一些東西。”

更多的用戶討論的核心是：

“趙長鵬發推文而不是私下詢問團隊，即使是一個漏洞，但實際與合約沒有關系，幣安團隊沒有去仔細核查這個漏洞，而直接發了推文，這讓實際情況變得很糟糕。”

但似乎有用戶支持趙長鵬的操作，該用戶表示：

“當這樣的事情發生的時候，你們也是希望事實透明的人，任何人都可以看到趙長鵬發布的鏈上漏洞被利用的消息，這樣就會很快被傳到團隊。”

此用戶似乎將趙長鵬發布推文公布消息的行為類比為鏈上透明可見的交易。除了討論操作之外，還有用戶對以太坊的編程語言有所表態。

該用戶認為：

“所有這些黑客行為，都在使用這種不安全的語言。最好使用另一種程序語言，否則這種情況會一直發生。”

很明顯的，該用戶認為以太坊上的編程語言導致了合約編輯過程中的漏洞較多，而這促成了黑客攻擊。

但仍有其他用戶表達了相反意見。其表示：

“這是一次網絡釣魚攻擊。也就代表代碼沒有錯。除非比特幣可以阻止人們成為社會工程的犧牲品，否則你不會成為這里的聰明人。”

經由這一次小的黑客攻擊引發的討論，角度很全面。

首先是行業內普遍認為，安全漏洞會是對合約、協議團隊的打擊。作為行業標桿的Uniswap其合約一直備受推崇，而此次非合約漏洞的烏龍，會是一次利空，讓有用戶不信任該團隊和產品。

因此，有用戶會質疑趙長鵬，筆者記得幾年前，在Uniswap初出茅廬的時候，也和幣安發生過因合約問題導致的資產責任爭論。

其次，經核查后，此次黑客攻擊是因為釣魚攻擊，這是利用用戶行為的漏洞，而不是因為黑客發現了合約代碼編輯上的漏洞以及鏈上漏洞導致的。

這也算是社會化攻擊中的一種，因為用戶未能識別危險的鏈接、網站、工具等，被盜取了私鑰，或截取了代幣授權，而轉移了用戶資產。

嚴格來說，這與平臺無關，并且，在完全開放的鏈上，這樣的黑客攻擊方式，無法尋覓，用戶只能自認倒霉。

最后，當用戶提及以太坊編程語言漏洞較多的信息，已經把安全防護討論深入到了基礎設施的部分，在很多新鏈上確實也因為應用新語言提升了安全級別，但對于安全事件來說，技術不能修正人的錯誤。

公鏈上是原始森林，對于錢包團隊以及defi等團隊無法提前識別是否有安全問題，只能提示會有安全風險，同時，也無法控制用戶行為，只要私鑰等暴露在外部環境里，就有可能被盜取，且沒有第三方可以去負責追回損失。

這也是用戶無法左右的地方，在原始森林里只能自己保護自己。

Tags：SWAP區塊鏈UNIUniswapYaySwap有人靠區塊鏈4天就掙了30萬嗎superunionlayer幣和uniswap的關系

USDC