EFI:bZx事件引发对DeFi平台风险管理的思考_ETHICA

最近,一段关于一个绝顶聪明的人在bZx上的赢得了约值35万美元ETH收益的新闻,一下子在币圈炸开了锅,所有知名的区块链媒体平台都转发了这段新闻,很多群友对操作过程提出了疑问,很多群组对此展开了热烈的讨论,令Flashloan这个名字在币圈如雷贯耳,加密货币爱好者也终于弄清楚了许多之前从来不关心的DEFI应用及其功能,其效果远远大于为DeFi所做的宣传推广。

Flashbots工程师:所有共识客户端均实施、测试并确认builder-specs集成:9月6日消息,Flashbots工程师Chris Hager在社交媒体发文表示,Flashbots实现了MEV-Boost的另一个里程碑事件,所有共识客户端都实施、测试并确认了builder-specs的集成,现在可将MEV-Boost与任何客户端一起使用。MEV-Boost是由Flashbots构建的提议者-构建者分离(proposer-builderseparation,PBS)的实现,用于以太坊权益证明。MEV-Boost旨在与标准Ethereum Builder API兼容,这意味着它与所有共识和执行客户端兼容。运行MEV-Boost的验证者通过向开放的builder出售区块空间来最大化其质押奖励。[2022/9/6 13:11:45]

图片来源:互联网到目前为止,虽然对这个操纵者的具体操作流程仍众说纷纭,所以,我们在这里只划重点:1.操纵者通过Flashloan闪电贷在DYDX平台设定智能合约无抵押借了10000ETH;2.使用其中5500ETH在Compound借出112wBTC;3.在bZx用1300ETH有抵押借入5637.6WETH并沽空,把WBTC/WETH的兑换率从38拉高到约109,然后按照这个汇率在KyberSwap+Uniswap兑换了51.3WBTC。4.在Uniswap把WBTC抛售兑换成WETH,兑换率平均为61.4,之后完成dYdX的智能合约把10000ETH还了,剩下的ETH就是操纵者的利润,约值35万美金。令人震撼的是,整个贷款和还款过程必须在13秒内,也就是一个区块内完成,换句话说,这个复杂的操作过程就是在电光火石之间完成。魔笛手技术开发社区的群友表示,十秒便把钱转走了,信用贷能这么玩。直觉不行!我们请教了专家群友蒋旭宪先生,并参考了他写的专业文章bZxHackFullDisclosure(WithDetailedProfitAnalysis),才大致搞清楚上面的操纵过程,不过,我们仍然有很多疑问,并就这些问题在Soteria社区展开了热烈的讨论:SoteriaSSDE开发社区笔记2020.2.18.苏博明-金融大观园:bZx智能合约问题:当UniswapWBTC/ETH的兑换价从38被操纵拉高到109.8时,bZx上的抵押品应该不足,爆仓了,但bZx智能合约没有任何要求增加抵押品的保护措施,也没有清算行动,这是一个隐藏的问题。Claire:操纵者在电光火石之间完成这么复杂的操作,那些懂金融又懂编程的黑客现在真是如入无人之境,简直是空手套白狼......苏博明-金融大观园:全球不多于10个吧?Claire:?感觉DEFI那班人象在玩游戏啊!兑换率在几秒内拉高几倍,然后用这个兑换价来找你兑换,人工智能在目前阶段应该还不会做出反应吧?这时候Kyberswap应该触发进一步的检查,人会停一停,想一想,人工智能会吗?苏博明-金融大观园:我认为现在DeFi金融资产,这些风险管理都没做好,主要矛盾是这些资产都是线上的资产,使用范围都很狭小,只能交易,投资,借贷。简单来说这个DeFi风险管理没有对标传统的金融机构,主要矛盾是资产上链没门,只要资产没有上链,风险管理和传统的接不上。Claire:操纵者就是利用流动性缺乏的情况下,拉高汇率然后兑换出货。苏博明-金融大观园:是的,我也是这么理解的。但是如果想多一点的话就是链上资产没有完善,所以才有那么多漏洞价格问题。点智成金资本-林健:我们现在只是把区块链交易作为资本的一级半市场。Claire:流动性低,应用范围窄,是其中一个兑换率可以在短时间内被拉高的原因,DeFi平台还允许无抵押贷款。。。苏博明-金融大观园:我有篇文章写的是我中有你,你中有我,就是跟传统金融机构要合得来,不然我们玩不过他们的。Claire:这个是平台的风险管理问题。总结,DeFi是以太坊今年的重头戏,肩负振兴以太坊的重任。那些既懂金融又懂编程的天才,在DeFi领域可以翻云覆雨,在电光火石的十几秒之间,赢取几十万美金,我们为他们感叹之余,是否有想过,把自己的财富存放在这些储备池里,风险有多高呢?注:bZxHackFullDisclosure(WithDetailedProfitAnalysis)

安全团队:FTX交易所遭到gas窃取攻击事件技术分析:10月13日消息,据Beosin EagleEye Web3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。Beosin安全团队第一时间对事件进行了分析,结果如下:

1.以其中一笔攻击交易为例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2.FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁。

3.接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限(最小1天)进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintReward()函数为提取函数,该函数只判断是否达到时间期限(本次黑客设置的时间期限为最小值1天),便可无条件提取。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。

4. 1-3中的步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求。

截止发文时,通过Beosin Trace追踪发现,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XEN Token换成ETH转移。[2022/10/13 14:26:15]

Celsius借款人呼吁设立破产受托人,反对由美国司法部任命审查人员:金色财经报道,Celsius借款人希望破产法院任命一名独立审查员来调查该加密货币贷款机构的财务状况,但不要任命一名为美国信托办公室工作的人。Celsius今年夏天早些时候申请了破产保护。其律师坚持认为,该公司可以借助仍在建设中的采矿业务来恢复。美国司法部下属的美国托管人办公室上个月向纽约南区破产法院提出申请,要求其任命一名独立审查员,称该公司在其财务状况方面不透明。

借款人还表示,他们希望审查员的重点是最大限度地收回资金,而不是Celsius的过去行为。为此,借款人要求法院任命一个第11章的受托人。(coindesk)[2022/9/8 13:17:28]

声音 | PeckShield: EOS竞猜游戏EOSlots遭假EOS攻击:今天8:16~8:57之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏EOSlots发起连续攻击,已经获利。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/1/31]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-17:431ms