短短两三个月时间,DeFi就从小风口迅速成长为加密世界的基础设施。
DeFi在野蛮生长的同时,也暴露出了存在的问题——合约安全。
作为去中心化金融,它的安全性完全依赖于智能合约。
所以DeFi在刚爆发时,无数项目在FOMO情绪下大干快上,因此也就暴露出了合约安全问题。
据PeckShield统计,自6月份Compound开启流动性挖矿以来,DeFi领域因为合约安全问题至少造成400万美元的损失。
有意而为之的比如上线13小时就转走超120万美元的EMD。
当然更多还是无意间导致的,比如前两天发生的Soda,400多个ETH被恶意清算。
比特币矿商Greenidge向比特大陆订购1万台蚂蚁矿机:9月15日消息,比特币矿商Greenidge Generation Holdings向比特大陆订购了1万台S19j Pro蚂蚁矿机,计划于2022年第二和第三季度交付。该批矿机预计会提升1EH/s的算力,并将部署在南卡罗来纳州斯帕坦堡的新矿场,该矿场是Greenidge既纽约北部矿场之后新开发的碳中和矿场。Greenidge表示该矿场的大部分电力供应来自清洁能源发电,且将实现100%的碳中和。
据此前报道,Greenidge已与技术支持公司Support合并,今日会于纳斯达克上市。[2021/9/15 23:27:39]
不过目前合约已修复,并且团队赔偿了用户所有损失。
链茶馆以Soda为例,复盘合约漏洞从被发现到修复到赔付的惊魂48小时,希望能让DeFi参与者引以为戒,规避本不该发生却偏偏很常见的风险。
现场丨基于蚂蚁链的国际贸易和金融服务平台Trusple发布:金色财经现场报道,9月25日下午,外滩大会区块链产业峰会在上海开幕。在现场,基于蚂蚁链的国际贸易和金融服务平台Trusple由法国巴黎银行、花旗银行、星展银行、德意志银行、渣打银行、蚂蚁链共同启动。
Trusple是基于蚂蚁链技术构建的全新数字化国际贸易和金融服务平台,通过连接买卖双方、国内外银行及国际贸易链路中的核心节点,结合区块链技术,提供智能支付及付款承诺的支付方式,实现智能履约,为买卖双方提供了从订单到付款、端到端的贸易保障及金融服务。
该平台将有助于解决跨境贸易中的信任问题,更好地服务小微企业。Trusple平台实现新生态:服务于SMEs的数字化贸易生态网络;展现出新标准:新技术驱动贸易金融服务创新和变革。[2020/9/25]
Soda苏打水——出道即巅峰
动态 | 蚂蚁矿机E3疑似已停止ETC挖矿 距离停止ETH挖矿只剩一个月:山寨币矿池2Miners报告称,他们注意到蚂蚁矿机E3的算力下降了6倍,并联系了其生产商比特大陆。在2020年2月21日,2Miners开始收到来自使用蚂蚁矿机E3ethash开采ETC的矿工的诉求。根据其诉求,该矿机的算力下降了6-7倍(从180-200MH/s下降到30MH/s)。该公司展开了自己的调查,结果如下:从一开始,矿工们就确定这个问题可能是由于DAG文件量的增加引起的。在每个挖矿期都会生成有向无环图文件或DAG文件,用于启动DaggerHashimoto算法(ethash)以在山寨币挖矿中查找区块解决方案。这个文件的容量在每一个采矿期都会增加,对于ETH和ETC来说,大约持续30000个区块或5天时间。据悉,DAG文件的增长限制了2017-2018年ethash挖矿GPU的使用。基于这种假设,2Miners今天收到了比特大陆的回复:E3与ETH算法相关,而DDR容量已达上限,所以E3将无法继续挖矿——这意味着E3只能挖到2020年1月。2Miners还计算出,ETH将在5周内被停止开采。[2020/2/24]
Soda是一个抵押借贷平台,9月15日在以太坊上创建,9月20日正式开挖头矿。
分析 | 散户已成热锅上的蚂蚁:AKG Venture分析师Bill认为:多空大战已经到了白热化阶段,9400-9500命悬一线,空头按部就班的击溃多头的各道防线,现在开始进入心理战,散户的共识在此刻可能要成为决定市场走失的关键因素之一,如果散户形成价格破位预期,那么多头在9400布置的防线将会不堪一击,而散户目前迷茫且焦灼的心理(不停的追问自己“追吗”),正中空头主力的下怀。[2019/9/25]
Soda开盘不到6个小时,就暴涨到了500美元,锁仓金额更是超过8000万美元。
很多由大机构背书的DeFi项目,其实也没有取得过这样的成绩,更何况这是由一支匿名团队开发出来的。
因为Soda的挖矿规则真的很有吸引力——双币制。
具体来说就是,用户可以用WETH挖矿SODA,然后抵押自己正在挖矿中的WETH,借出平台发行的合成资产SoETH,然后把SoETH换成更多的WETH,去挖更多的SODA。
声音 | 塞力斯:将与蚂蚁区块链在区块链等方面展开深度合作:据财联社5月26日消息,塞力斯发布公告称,与蚂蚁区块链科技(上海)有限公司签订《合作协议》,双方将在区块链医疗领域互为合作伙伴,在区块链技术、可信存证等方面开展全方位深度合作。[2019/5/26]
简单来说就是……可以把本金放大3.5倍。
所以Soda刚出道就站到C位,但万万没想到这就是巅峰了,因为很快就被发现了合约漏洞。
吹哨人预警代码漏洞
9月20日下午5点,一个叫废X废的微博用户发出了关于Soda.finance协议的风险提示。
“不要抵押WETH借SoETH,合约有漏洞,其他人可以随便清算你的借款单。”
废X废第一时间发现了漏洞,并告知Soda官方,而他本人却并没有利用漏洞来攻击获利。
因为Soda官方没有第一时间回应,所以废X废选择将风险预警公之于众。
据链茶馆了解,Soda官方是在Soda的discord群里获知消息的,因为有用户把上述微博截图转到了群里。
但当时用户群里普遍认为是因为项目火爆而被人黑而已,所以也就没在意。
但在1个小时后,Soda官方确认了Bug的存在,引起了恐慌性的资金出逃。
当时WETH池中抵押资产超过1000万美元,借出的SoETH也接近700万美元。
也就是说,理论上黑客可以通过发起清算,以危害超过1000万美元的资产来获利几百万美元。
所以在接下来的几个小时里,SODA的币价从400美元跌到了50美元,锁仓资金也大量出逃,直接腰斩。
惊魂时刻——黑客与巨鲸的博弈
尽管Soda官方在当晚凌晨4点就发布了补丁,并部署了新的智能合约,可用户们依然没办法松一口气。
因为智能合约有时间锁,这意味着补丁生效还需要至少48小时。
所以在这48小时内,随时都会有黑客利用漏洞来获利。
实际上当晚已经至少6名黑客尝试了通过攻击获利。
而与此同时,也有人艺高人胆大,不仅没有撤退,反而加仓了。
所以当时依旧有一两千枚SoETH在流通。
比如有位巨鲸当晚直接一次性借出约861枚SoETH,这意味着他至少还要抵押1230枚WETH,而这1230枚WETH随时都可能被黑客清算。
这位巨鲸的火中取栗自然也会带来高回报——未来两天SoETH-ETH-UNI-V2-LP池子中的一半以上的收益。
那么黑客与巨鲸之间的较量,谁会获胜呢?
48小时后——偏逢连夜雨
经过漫长的48小时的等待,补丁终于生效了。
黑客与巨鲸之间的较量,也终于尘埃落定了。
根据Soda官方统计数据,本次合约漏洞受损用户共14位,被清算的WETH总量为448个,实际受损为134.5WETH?(因为用户借出了的70%的SoETH不再需要偿还,而SoETH的币价略高于WETH)。
Soda官方也提出了补偿方案:以SoETH赔付用户损失掉的WETH,也就是被清算总量的30%。
据链茶馆了解,截止发稿已有大部分用户接受了上述赔付方案。
所以事情本应尘埃落定,可Soda经此重创,SODA的币价从当初的300美元跌到了7美元,缩水近50倍。
更糟糕的是屋漏偏逢连夜雨,Soda又遭遇了“机池”的阻击。
YFV在Soda的Bug还没修好的时候,就已经开通了SODA的机池,并且注入了几百万美元的资金。这意味着Soda的池子里的收益,很容易被机池无情地挖提卖。
讽刺的是,YFV抄走了部分SODA的代码,并且命名为DrinkSODA。
Soda官方的应对措施是提高SODA-ETH-UNI-V2-LP池的挖矿倍数——从5倍升高至20倍,并承诺初期的10万枚挖完后将开启社区投票,决定剩余的90万枚SODA币的发布方案。
Soda的合约安全问题算是告一段落了,那么能否凭借此前的优势重回巅峰呢?
对于DeFi用户和项目方来说,最大的教训是——一定要审计合约。
审计也许不是万能的,但毕竟能规避一些本不该却偏偏很常见的风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。