Opyn以太坊看跌期权因智能合约漏洞遭攻击,逾37万枚USDC失窃。
撰文:Vincent
北京时间今日凌晨00:56,Opyn官方推特发文宣称「官方团队发现部分oToken合约出现异常,已经开始着手解决这一问题。目前已经从Uniswap上暂时移除了受影响合约的流动性,并建议用户暂时不要创建新的合约」
事件发生后不久@defiprime官推发文称可能有至少302枚ETH在此次黑客攻击中失窃,而在这则消息发布后不久@defiprime又转发@DegenSpartan的结论称失窃的ETH数额可能会超过1000枚,而这一数字仍然没有得到最终确认。
据@udon_crypto分析指出,本次黑客攻击受影响的合约为oETH,黑客在使用ETH铸造oETH后迅速行权,而Opyn合约不仅仅支付了原本就应当支付的行权价值的USDC,还「额外返还」了铸造对应oETH时使用的ETH。简单来说就是黑客通过一个简单的操作就实现了ETH资产的「翻倍」。
孙宇晨:TRX ETN成为第三个上市欧洲传统金融市场的主流加密代币:据最新消息,波场TRON创始人兼BitTorrent CEO孙宇晨就TRX ETN将在德国,法国,荷兰,瑞士等欧盟十四国合规上市发表致社区的公开信。
孙宇晨在公开信中表示:正是凭借VanEck极具前瞻性的投资战略与发掘新兴领域的丰富经验,稳居公链前三的波场TRON得以与顶级证券交易所德交所正式牵手。波场TRX(VTRX)继比特币和以太坊之后,成为第三个上市欧洲传统金融市场的主流加密代币,标志着TRON作为领先的区块链协议正在获得主流监管与金融机构的认可。[2021/9/20 23:39:05]
该消息在网络上迅速发酵,在此期间不止一位用户向Opyn官方团队反应资金遭受了损失,这些反馈以及该事件在社交媒体上的快速扩散引发了官方团队的高度重视。在经过了近6个小时的排查整理后,Opyn官方Medium账号在北京时间6:50发布了本次黑客攻击事件的公告,详细还原了本次黑客攻击的全貌,并且在第一时间做出了一系列回应,全文如下:
知情人士:第一共和银行或于本周末被接管并出售:4月29日消息,据消息人士透露,包括摩根大通和 PNC 金融服务集团在内的大银行正在竞相收购第一共和银行,交易将在政府接管第一共和银行之后进行。此外,知情人士还表示,第一共和银行最早可能在本周末被接管并出售。
此前报道,据知情人士消息,美国联邦存款保险公司 (FDIC) 正准备将第一共和银行置于破产管理之下。(《华尔街日报》)[2023/4/29 14:34:33]
除ETH看跌期权合约外的所有其他Opyn合约均未受到此漏洞的影响。在发现漏洞后Opyn官方团队已经做出了一系列应对措施尽可能控制损失,并承诺会对因此漏洞遭受损失的用户提供足够的支持及帮助。
发生了什么?
大约在12个小时之前官方团队成员在Discord中收到了用户的反馈,并发现有人正在恶意利用Opyn的ETH看跌期权漏洞牟利。黑客通过oToken的「双重行权」窃取了部分看跌期权卖方在发售期权时抵押的ETH。Opyn官方虽然利用ConvexityProtocol通过白帽黑客攻击从保障金库中收回了439,170枚USDC,但是截止发文时段仍然已经确认有371,260枚USDC被盗。
数据:92%的加密代币在过去七天里的表现优于比特币:据LongHash刊文,根据Messari的价格数据,69种代币(每一种代币的日报告交易量至少为1亿美元)中,只有33%的代币兑美元汇率出现了下滑。其余66%的代币在过去一周内价格都上涨了。在46个兑美元上涨的代币中,一半以上的代币涨幅超过10%。
在价格下滑的代币中,比特币是跌幅最为剧烈的代币之一。只有五种代币——Wrapped BTC、Dash、Bitcoin SC、Zcash和Maker——跌幅更甚于比特币。这意味着92%的加密代币在过去七天里的表现优于比特币。
但文章同时指出,要正确看待比特币相对其他加密代币的下滑。首先,它很有可能只是暂时的。其次,距离失去第一名的宝座,比特币还有非常大的下跌空间。过去一周,相较于比特币,以太坊可能上涨了22%以上,但即使其市值能够增加四倍,它还是赶不上比特币。[2021/1/21 16:42:51]
因为Opyn是一种无许可的去中心化协议,所以团队无法像许多其他协议一样直接关闭合约的访问权限。为了尽可能控制损失,团队在第一时间在Uniswap上删除了ETH看跌期权池的流动性,并在Opyn.co网站上关闭了购买ETH看跌期权的通道,以防止更多人购买这些oToken。
动态 | 加密代理商TROY宣布与区块链公司NULS合作,优化跨链加密交易:据CryptoNinjas消息,加密代理商TROY今天宣布与区块链基础设施公司NULS建立战略合作伙伴关系,TROY将采用NULS在跨链互操作性方面的技术,优化跨链加密交易,TroyTrade也将加入NULS网络的共识节点。[2019/12/4]
为了确保现有oToken持有者的权益,团队将以高于Deribit期权市场价20%的价格购买在漏洞被利用时尚未行权的所有ETHPutoToken。
团队立即与TrailofBits的samczsun合作开发了一个白帽补丁程序,该补丁程序使Opyn可以从未偿付的保险金库中删除了439,170枚USDC的抵押品,以便安全地向看跌期权卖方提供抵押品。如果您的保险金库中仍有资金,请通过Discord与我们联系。该补丁降低了现有看跌期权合约的抵押率,并允许官方团队进行自行清算,从而确保在Opyn团队控制的地址内,未行权看跌期权的卖方的抵押品是安全的。
央行货币金银局局长王信:强化加密代币监督管理 否则将对金融稳定造成较大危害:对于去年清“境外发行、境内人员参与集资和交易”等新形态,央行货币金银局局长王信4月10日在第一财经撰文并强调,虚拟货币不是真正意义上的货币,同时提出采取有效措施,切实强化对各类虚拟货币的监测监管,应进一步强化加密代币监督管理和抓紧建立互联网积分管理框架等措施。某些跨平台运作、在局部范围内被普遍接受的互联网积分,以及比特币等去中心化加密代币,脱离实体经济独立产生,借数字经济、区块链技术等名义,为、恐怖融资、规避外汇管制提供便利,甚至以’币’之名、行非法集资及金融之实。如果放任自流,将对国家货币流通秩序、金融消费者合法权益乃至金融稳定造成较大危害。王信援引学者分析指出,近四分之一到一半的比特币使用与非法活动有关。去年爆发的病勒索就要求支付比特币。其次,加密代币和互联网积分成为非法集资、和的工具,已爆发案件涉案金额从数亿元到数十亿元不等。此外,对于互联网积分,王信也提出了“禁止挂钩人民币,绝不能和人民币进行双向兑换”、“互联网积分的使用范围须在平台内部”、“消费者之间不能相互转让”等具体思路。[2018/4/11]
除ETH看跌期权合约外的所有其他Opyn合约均不受此漏洞的影响。
我们了解到许多用户因此损失了资金,这很令人难过,毕竟保护用户资金的安全一直是团队的头等大事,我们将不懈地努力以重新获得您的信任,并确保我们的合同具有更高的安全标准。未来团队将对安全维度进行更严格的内部审查,除现有的OpenZeppelin审计外,还会增设审计,并采取一些措施来尽可能降低本次事件造成的用户损失。针对这次的攻击,团队还将在未来几天内发布更深入的技术分析文档。
我是oToken持有人。我该怎么办?
如果您当前持有ETH看涨期权,COMP看跌期权,BAL看跌期权,cToken看跌期权或aToken看跌期权,您无需采取任何措施。本次攻击利用的漏洞不会影响到这些合约。
如果您目前持有ETH看跌权,请通过Discord联系Opyn团队,团队将以高于Deribit市价20%的价格赎回您的看跌期权。
我是oToken卖家。我该怎么办?
如果您出售了ETH看涨期权,COMP看跌期权,BAL看跌期权或cToken看跌期权,则无需采取任何措施,您的资金没有任何风险。
如果您当前已出售ETH看跌权,请加入官方Discord获取最及时的解决方案。目前官方正在制定具体方案来尽可能减轻本次事件对您的影响。
一旦发现漏洞,将Opyn关闭会有意义吗?
官方无法关闭协议。Opyn是无许可且去中心化的,官方团队并不能关闭或禁用Opyn合约。不过一旦发现漏洞,官方团队将采取积极措施以最大程度地减少用户的亏损。比如通过一些手段阻止进一步的攻击发生以及尽可能保证可能受影响用户抵押品的安全。
Opyn将来会采取什么措施来防止这种情况的发生?
Opyn协议的安全性一直是团队最高优先级的事项。本次攻击事件的发生让用户失望了,不过团队会在未来对安全性这个维度更加重视,目前已经确认的有以下四步:
1)对于我们发布的任何合约,都将对其进行全面的内部测试。我们将重新梳理内部测试的流程,以使其更加强大;2)所有合同将通过TrailofBit的Echidna系统进行验证;3)我们将继续只发布经过审核的代码,并与OpenZeppelin和TrailofBits等顶级审核公司合作;4)我们将为现有的Bug赏金计划增加赏金奖励。
扩展阅读:
Opyn是一个基于「Convexity协议」,建立在Ethereum区块链上的通用期权协议,允许用户使用其特有的oToken创建期权。Opyn.co提供了一个易于用户使用的界面接口来买卖ETH的看跌和看涨期权。
Opyn在2019年创立初期,进行了保证金交易的业务尝试,并在2020年2月转型为保险平台,用户可以为其Compound的存款购买保险来规避该平台的技术风险和相关金融风险。2020年3月末,Opyn推出了针对ETH持有者的第一批保护性期权,这些oTokens是通过Uniswap提供流动性的ETH看跌期权,故这些产品都可以视为DeFi用户的保险类产品。所以Opyn平台不是为投机而生的。
oToken由基于智能合约的Convexity协议支持。oToken智能合约的每个期权产品都必须指定的8个不同的参数:(1)到期时间(2)标的资产(3)执行价格(4)执行资产(5)看涨或看跌(6)抵押品类(7)抵押所需的保证金(8)美式或欧式期权。为了保障市场的流动性,目前期权的主要参数主要由OPYN来控制和创建。期权卖方可以通过在官方网站的界面,通过在一定期限内锁定抵押物来创设期权代币oToken。期权卖方可以在Uniswap上出售这些oTokens以赚取期权费。
目前,Opyn要求期权的卖方必须足额抵押。用户开具ETH看跌期权合约并铸造期权代币,必须存入合约行权价的100%USDC金额作为保证金进行锁定,同样的,用户开具ETH看涨期权合约并铸造期权代币,必须将相应数量的ETH存入合约并作为保证金进行锁定。
由前述8个参数的不同组合而来的不同的期权,在Opyn中以不同的oTokens进行标记区分,并由单独的智能合约控制。
参考:https://medium.com/opyn/opyn-eth-put-exploit-c5565c528ad2https://twitter.com/defiprime/status/1290691231815630849https://www.chainnews.com/articles/143496513402.htm
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。