短短兩三個月時間,DeFi就從小風口迅速成長為加密世界的基礎設施。
DeFi在野蠻生長的同時,也暴露出了存在的問題——合約安全。
作為去中心化金融,它的安全性完全依賴于智能合約。
所以DeFi在剛爆發時,無數項目在FOMO情緒下大干快上,因此也就暴露出了合約安全問題。
據PeckShield統計,自6月份Compound開啟流動性挖礦以來,DeFi領域因為合約安全問題至少造成400萬美元的損失。
有意而為之的比如上線13小時就轉走超120萬美元的EMD。
當然更多還是無意間導致的,比如前兩天發生的Soda,400多個ETH被惡意清算。
2023-PBW圓滿結束:據官方消息,2023年ParisBlockchainWeek已圓滿結束,包括了Stellar、Metamusk、Chiliz、Ethbread、Circle等眾多明星項目參與。并對Web3.0、元宇宙和Layer2等當下熱門話題進行了深入探討,同時也對以太坊擴容方案提供了新的思路,而其之間達成的合作也可以促進以太坊的擴容方案多樣化,讓“高效、快速和高性價比”的以太坊網絡實現變成一種可能。[2023/3/26 13:27:23]
不過目前合約已修復,并且團隊賠償了用戶所有損失。
鏈茶館以Soda為例,復盤合約漏洞從被發現到修復到賠付的驚魂48小時,希望能讓DeFi參與者引以為戒,規避本不該發生卻偏偏很常見的風險。
Soda蘇打水——出道即巔峰
Soda是一個抵押借貸平臺,9月15日在以太坊上創建,9月20日正式開挖頭礦。
英國財政部長希望在復活節前通過金融監管法案:金色財經報道,英國國會議員和財政部長Andrew Griffith希望在復活節前通過金融服務和市場法案,在周四的英國城市年度晚宴上,格里菲斯說,他希望在復活節前將該法案列入法規匯編。法規書是英國通過和制定的所有立法的記錄。(theblock)[2023/2/5 11:47:54]
Soda開盤不到6個小時,就暴漲到了500美元,鎖倉金額更是超過8000萬美元。
很多由大機構背書的DeFi項目,其實也沒有取得過這樣的成績,更何況這是由一支匿名團隊開發出來的。
因為Soda的挖礦規則真的很有吸引力——雙幣制。
具體來說就是,用戶可以用WETH挖礦SODA,然后抵押自己正在挖礦中的WETH,借出平臺發行的合成資產SoETH,然后把SoETH換成更多的WETH,去挖更多的SODA。
KBW置評SilverGate:SilverGate的資產負債表完全就是現金和證券:金色財經報道,KBW在投資者通報中置評區塊鏈公司SilverGate稱,SilverGate的資產負債表完全就是現金和證券。[2023/1/6 10:24:41]
簡單來說就是……可以把本金放大3.5倍。
所以Soda剛出道就站到C位,但萬萬沒想到這就是巔峰了,因為很快就被發現了合約漏洞。
吹哨人預警代碼漏洞
9月20日下午5點,一個叫廢X廢的微博用戶發出了關于Soda.finance協議的風險提示。
“不要抵押WETH借SoETH,合約有漏洞,其他人可以隨便清算你的借款單。”
新加坡金管局“積極審查”穩定幣監管措施:8月1日消息,新加坡金管局“積極審查”穩定幣監管措施。(金十)[2022/8/2 2:51:54]
廢X廢第一時間發現了漏洞,并告知Soda官方,而他本人卻并沒有利用漏洞來攻擊獲利。
因為Soda官方沒有第一時間回應,所以廢X廢選擇將風險預警公之于眾。
據鏈茶館了解,Soda官方是在Soda的discord群里獲知消息的,因為有用戶把上述微博截圖轉到了群里。
但當時用戶群里普遍認為是因為項目火爆而被人黑而已,所以也就沒在意。
但在1個小時后,Soda官方確認了Bug的存在,引起了恐慌性的資金出逃。
Voyager Digital公布其風險管理的最新信息,沒有在Celsius平臺存放客戶資產:6月15日消息,Voyager Digital 公布其資產管理的最新信息,其中表示公司的交易對象都經過其風險委員會的深度盡職調查,Voyager 沒有參與 DeFi 借貸活動、算法穩定幣抵押和借貸,或衍生資產(例如 stETH)的投資。
據悉,Voyager 在 2019 年宣布與 Celsius 建立合作伙伴關系,但由于公司正在進行的盡職調查和風險管理流程,目前 Voyager 在 Celsius 平臺沒有存放客戶資產。(prnewswire)[2022/6/15 4:27:21]
當時WETH池中抵押資產超過1000萬美元,借出的SoETH也接近700萬美元。
也就是說,理論上黑客可以通過發起清算,以危害超過1000萬美元的資產來獲利幾百萬美元。
所以在接下來的幾個小時里,SODA的幣價從400美元跌到了50美元,鎖倉資金也大量出逃,直接腰斬。
驚魂時刻——黑客與巨鯨的博弈
盡管Soda官方在當晚凌晨4點就發布了補丁,并部署了新的智能合約,可用戶們依然沒辦法松一口氣。
因為智能合約有時間鎖,這意味著補丁生效還需要至少48小時。
所以在這48小時內,隨時都會有黑客利用漏洞來獲利。
實際上當晚已經至少6名黑客嘗試了通過攻擊獲利。
而與此同時,也有人藝高人膽大,不僅沒有撤退,反而加倉了。
所以當時依舊有一兩千枚SoETH在流通。
比如有位巨鯨當晚直接一次性借出約861枚SoETH,這意味著他至少還要抵押1230枚WETH,而這1230枚WETH隨時都可能被黑客清算。
這位巨鯨的火中取栗自然也會帶來高回報——未來兩天SoETH-ETH-UNI-V2-LP池子中的一半以上的收益。
那么黑客與巨鯨之間的較量,誰會獲勝呢?
48小時后——偏逢連夜雨
經過漫長的48小時的等待,補丁終于生效了。
黑客與巨鯨之間的較量,也終于塵埃落定了。
根據Soda官方統計數據,本次合約漏洞受損用戶共14位,被清算的WETH總量為448個,實際受損為134.5WETH?(因為用戶借出了的70%的SoETH不再需要償還,而SoETH的幣價略高于WETH)。
Soda官方也提出了補償方案:以SoETH賠付用戶損失掉的WETH,也就是被清算總量的30%。
據鏈茶館了解,截止發稿已有大部分用戶接受了上述賠付方案。
所以事情本應塵埃落定,可Soda經此重創,SODA的幣價從當初的300美元跌到了7美元,縮水近50倍。
更糟糕的是屋漏偏逢連夜雨,Soda又遭遇了“機槍池”的阻擊。
YFV在Soda的Bug還沒修好的時候,就已經開通了SODA的機槍池,并且注入了幾百萬美元的資金。這意味著Soda的池子里的收益,很容易被機槍池無情地挖提賣。
諷刺的是,YFV抄走了部分SODA的代碼,并且命名為DrinkSODA。
Soda官方的應對措施是提高SODA-ETH-UNI-V2-LP池的挖礦倍數——從5倍升高至20倍,并承諾初期的10萬枚挖完后將開啟社區投票,決定剩余的90萬枚SODA幣的發布方案。
Soda的合約安全問題算是告一段落了,那么能否憑借此前的優勢重回巔峰呢?
對于DeFi用戶和項目方來說,最大的教訓是——一定要審計合約。
審計也許不是萬能的,但畢竟能規避一些本不該卻偏偏很常見的風險。
Tags:SODSODAODAETHSODIUM價格Soda FinanceBaby Yoda FinanceETHOS
據Techcrunch9月29日報道,法國初創企業Multis完成220萬美元種子輪融資,WhiteStarCapital、YCombinator、CoinbaseVentures、eFound.
1900/1/1 0:00:00要點: 安東尼·龐普里亞諾認為,亞馬遜網絡服務可能會關閉流行的DeFi應用程序。他辯論了以太坊網絡的去中心化程度和對中心化Web托管服務的依賴性.
1900/1/1 0:00:002020年9月,DeFi熱潮之后,NFT概念接力流動性挖礦開始走紅。在MEME等NFT概念代幣的瘋狂暴漲之下,NFT板塊成為了近期加密資產投資者的關注焦點,甚至被寄予“行業的下一個爆發點”,“為.
1900/1/1 0:00:00上周,一份被泄露的提議草案剛剛在網上瘋傳,今天,歐盟委員會就正式提出了加密資產和穩定幣的監管框架.
1900/1/1 0:00:00根據KeepNetwork今天發布的一份公告,ERC-20代幣TBTC已經推出,并準備在tbtc網絡上使用。該代幣可以讓比特幣持有者安全地將比特幣引入以太坊,并從以太坊上的DeFi應用訪問收益.
1900/1/1 0:00:00本文作者:谷燕西 Uniswap項目方最近發行了它的代幣UNI。鑒于這個代幣的性質,發行方式,發行對象,以及UNI的美國持有用戶不少于2000人,我認為它很有可能成為SEC起訴的對象.
1900/1/1 0:00:00