EFI:DeFi的黑色星期四_BZX

3月12日的市场崩盘给DeFi行业带来了一次真正的考验。即便是DeFi的旗舰产品MakerDAO也无法承受这场危机,在如今的“黑色星期四”期间,它输给了肆无忌惮的网络攻击者800万美元。然而,这并不是DeFi行业最近面临的唯一问题。

预演

2月14日,一笔特别的交易同时影响了7个DeFi项目。攻击者花费了大约8美元的网络费用,并带走了大约35万美元。

在攻击期间,比特币对以太坊的价格在Uniswap交易所上涨了两倍。此次攻击的主要受害者是保证金交易协议bZx。

Uniswap是一个自动化的流动资金池,其价格通过简单的公式进行计算,并随着交易量的增加而显着增长。

Polygon Labs致信欧盟当局提出更好的DeFi监管:金色财经报道,Polygon Labs 首席政策官 Rebecca Rettig 分享了致欧盟当局的公开信,这封信涉及对《数据法》第 30 条的拟议修改:公平和创新数据经济的措施,这是欧洲技术监管的重要文件。基本上,拟议的修正案旨在将 100% 未经许可的技术及其创造者(例如,开源贡献者)排除在数据监管范围之外。

相反,该文档将重点关注可由企业实体或个人控制的许可分布式系统。无许可系统(链上或非托管服务)的开发人员不应对其代码可能用于以下方面的流程和活动负责:明确术语“提供智能合约的一方”,以排除去中心化协议和应用程序的软件开发人员。Rettig强调,这些提案可以使数据法案与现有的监管文件和框架保持一致。[2023/4/18 14:09:30]

YouSwap中文社区负责人 :YouSwap将成为整个DeFi赛道的“聚合器”:5月28日15:00,YouSwap中文社区负责人David做客媒体,开展了主题为《上线一键发币与IDO后,该如何给YouSwap估值?》的AMA直播。在本次AMA中,David围绕YouSwap近期上线的一键发币、IDO等功能做出了详细的介绍和分享,并就YouSwap项目亮点、核心优势及未来生态布局远景展开了深入分析。

David直言,一键发币MOON模式、一键IDO跟一键多挖功能上线后,预估会给YouSwap带来流量,未来,YouSwap将尝试包括借贷产品、聚合理财、NFT交易板块、稳定币资产等多个方向的布局,通过一步步的迭代更新和产品体验的完善,将DeFi赛道各个模块相互打通。届时,YouSwap将成为整个DeFi赛道的“聚合器”,聚合DeFi行业技术,实现更安全、更公平,体验更好的全生态DEX交易所。[2021/5/28 22:53:18]

3月份Uniswap的总交易量。来源:zumzoom

韩国金融委员会将于今日上午发布对数字货币交易所的现场调查结果:据韩联社,今日上午韩国金融委员会将举行新闻发布会,公布对数字货币交易所的现场调查结果,同时财政部副部长将对数字货币反方针做出介绍。据了解,会议将重点关注金融情报中心(FIU)和金融监督院在现场调查中发现的违法现象。[2018/1/23]

保证金交易者借贷购买了他们期望价格上涨的资产。如果价格上涨,则交易者出售资产,偿还贷款和利息,并保留其余的。如果价格下跌,交易者将面临损失。在所有这些过程中,资产由智能合约控制。

一份智能合约以5倍杠杆开仓时购买了价值超过150万美元的BTC。bZx开发人员并未检查覆盖范围,他们认为一个正常的人不会冒1300ETH的风险。

但攻击者的意图是操纵Uniswap上的比特币价格。他们以高出市场63%的价格售出了112个比特币,并获得了70万美元的盈利。

中币(ZB)DeFi挖矿播报:DeFi挖矿总锁仓量约3893万美元:根据中币(ZB)平台数据,今日DeFi挖矿总锁仓量约为3893万美元,其中存ZB挖矿、存USDT、和存QC挖矿的锁仓量均小幅下降。存ETH挖矿的锁仓量不变。[2020/10/17]

攻击详情

攻击者使用了一种名为“闪贷”的新工具。闪贷是一种即时贷款可以在发出的同一笔交易中偿还。如果钱没有退还,智能合约会自动撤销所有更改。

该机制允许安全的无抵押贷款。通常,闪贷被用于套利或清算:你低价买进,高价卖出。在“黑色星期四”期间,闪贷在节约抵押品方面发挥了作用,但攻击者的行为有所不同。他们在dYdX交易所上获得了10,000ETH贷款(当时为280万美元),并将其一分为二。第一部分送至bZx进行操纵,第二部分用于套利。

DeFi总资产仅相当于整个加密资产的1.5%:加密市场分析公司Messari 7月29日公布的数据显示,去中心化金融(DeFi)的总资产仅相当于整个加密资产的1.5%。除了MakerDAO (MKR)之外,即使是Dogecoin (DOGE)的市值也比所有DeFi项目都要大。(Cointelegraph)[2020/7/29]

以ETH为单位的闪电贷款量。来源:AAVE闪贷使攻击者以更低的成本实施该计划,因为无需寻求需要的大笔款项。而且,贷款本身实际上是免费的。

2月17日,在恢复运营后,bZx又面临了一次攻击。这一次,攻击者利用闪电贷款操纵了sUSD稳定币的价格。结果,该协议发放了一笔无抵押贷,估计损失为65万美元。

Oracle性能

DeFi项目通常从去中心化交易所获取计算抵押品所需的价格。由于这些平台的流动性较低,价格容易被操纵。

bZx的开发人员最初从流动性聚合商Kyber那里获得信息,但在攻击发生后,他们转而使用了Chainlinkoracle网络。Chainlink参与者从不同的交易所获得价格,并将其记录在以太坊网络中。为了保护系统不受虚假信息的影响,计算了平均价格。

当市场陷入恐慌时,Chainlink占用了以太坊总带宽的22%,因此oracle网络必须将达成共识所需的投票数量从21减少到7。

MakerDAO使用自己的oracle网络从交易所收集数据,并通过智能合约计算平均值。这是一个昂贵的系统,开发人员希望对其进行升级。但由于许多DeFi协议使用MakerDAO的预言机,因此可能会影响整个行业。

DeFi启示录

这些攻击说明了DeFi项目在高波动时期的脆弱性。它们算法背后的复杂公式根本行不通。

此类项目的安全审计的一个重要部分是压力测试,该测试可显示智能合约在极端情况下的行为。另一个是基于看似随机动作的猴子测试。像这样的测试有助于确定新的攻击媒介,这些攻击媒介可能会由于引入新的功能而打开。

DeFi意味着集体治理。分权级别越高,决策所需的时间就越多。

为了保证资产安全,某些系统可以被关闭,但当市场不稳定时,这种中断可能会导致损失。许多团队已经调整了他们的限制,使操作更加困难。

1)MakerDAO在攻击后需要24小时来调整设置。

2)bZx漏洞导致16个小时内有超过200万美元的风险。

3)Compound对其系统进行了升级,以向开发人员提供额外的紧急权限,并在MakerDAO紧急关闭的情况下创建了算法。

4)dYdX提高了它们的交易门槛。

如果没有避免损失的办法,应该始终有一个应急计划。

攻击发生三周后,bZx开发者发布了一篇文章,描述了实际的攻击以及为使情况恢复正常所采取的措施。他们对未来265年提出了一系列相当大胆的预测。然而,由于该报告是在股市崩盘前三天发布的,因此可能需要进行一些调整。

结论

MakerDAO清盘人在袭击期间没有做好他们的工作。通用代码中的错误不允许用户参加拍卖。负面的经验可能会刺激替代客户端的开发,因为对于大多数DeFi协议而言,只有官方库。

对负责系统运行的参与者的惩罚也可能成为一种额外的安全措施。

诸如闪贷之类的工具出现可能会导致某些限制和KYC程序。向DeFi协议的参与者发放许可证可能成为一种商业模式。

现有主要协议的开发人员将试图填补他们的储备,为将来的攻击做准备。

决策将需要越来越多的数据,oracle将变得更加复杂,并承担风险管理职能。

所有这些方面都将在处理能力方面带来新的挑战,DeFi可能会迁移到第二个解决方案。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-4:820ms