因 Defrost Finance 被盗而损失 1200 万美元的大户 Hoi 昨晚松了一口,昨晚近 12 点,他在推特上写到“天亮了”。一个多小时前,Defrost Finance 公告称黑客已退还资金,将很快退还给用户。
虽然最终是大欢喜的结局,但依旧被用户扣上了“自导自演”的帽子。
时间拉回圣诞节当天, 12 月 25 日,Avalanche 生态原生稳定币项目 Defrost Finance 协议被爆出再次出现问题,协议被添加了假的抵押代币,并使用恶意价格预言机清算当前用户,损失估计超过 1200 万美元。Defrost Finance 官方表示,已注意到 V 1 出现的紧急情况,团队目前正在调查,恳请社区等待更新,暂时不要使用 V 1 或V2。
桑坦德高管:结合第二层协议和公共区块链的受监管DeFi或是金融科技未来:桑坦德银行区块链实验室负责人John Whelan最近谈论了主流金融中采用分布式分类账技术的可能性。并表示,结合许可的第二层协议和公共区块链网络的受监管的去中心化金融可能是金融科技的未来。(cointelegraph)[2021/4/29 21:08:48]
而就在两天前, 12 月 23 日,Defrost FinanceV2曾遭到黑客的闪电贷攻击,黑客获利 173, 000 美元,但因为 V 1 并没有提供闪电贷服务,因此未受到影响。
随后,名为 Hoi 的用户发推特并在社区内求助,称 Defrost Finance 中的大部分存款都由其提供,其个人损失了 1200 万美元,审计公司 CertiK 尚未回应,并请求大家提供线索。
观点:加密货币崩盘式暴跌,杠杆率过高或是主因:Coinbase上市热度未退,加密货币市场周末却迎来一波猝不及防的暴跌。受访人士认为,市场杠杆率过高是加密货币市场剧烈波动的主要原因。此外,各国监管政策的不确定性也为加密市场带来风险。
加密金融服务机构贝宝金融一位不愿具名的分析师告诉记者,该机构统计的加密货币机构间拆借利率数据显示,自2020年年底以来,随着比特币价格不断创出新高,拆借利率也快速上升,今年2月已接近2020年3月比特币大跌时的水平,表明市场杠杆率处于高位。
“4月13日,市场上基差高达50%,资金费率高达150%,一旦比特币价下跌,很容易导致连续爆仓和暴跌。”该分析师表示。
美国力研咨询公司创始人谷燕西持有相似观点。他告诉记者,当前比特币价格主要是由衍生品来决定,衍生品一旦波动就会导致底层也就是比特币价格更加大幅的波动。所以,比特币近期上涨和下跌势头都非常快,都是杠杆运作的结果。(上海证券报)[2021/4/19 20:34:47]
分析 | 比特币多头或是欲扬先抑:瑞海咨询首席分析师Steven观点:比特币在突破10800(Coinbase价格)后,已经成功打破自14000以来的下跌趋势线,并于昨日在10800成功构筑第二个低点,形成新的上升趋势线;目前价格形成一个新的三角震荡区间,如果价格能成功防守住11000-11200的关键区间,则可能延续反弹至11700附近;11000则成为日内多空分水岭,10800将成为本周末的多空分水岭。[2019/7/6]
不久后,Hoi 再次发推称已经掌握了一些项目方的实名线索,并认为项目方是监守自盗。因为在在 V 1 被盗前一天,V2的所有钱都被盗了;V 1 的所有接口都有写防重入,V2的竟然没有写;他猜测团队一直想做大V2,这样攻击时可以推脱是第三方攻击,因为V2被攻击时可以由第三方通过闪电贷触发。但是V2里面的钱实在太少了,不够团队的胃口。所以第二天铤而走险直接用开发者权限。强行更改了预言机价格、铸币给自己、弄了一个新的抵押池,这些操作不可能由第三方触发。开发团队熊市赚不到钱估计就把心一横了,反正现在项目只有我一个傻大户放钱在这,估计也没啥人维权,就偷了。
分析 | BitOasis突然下线XMR和ZEC或是迫于监管压力:The Merkle就“BitOasis在未通知用户情况下下线XMR和ZEC”一事发文称,该交易所正在询问一些非常私人的问题:他们希望用户解释资金来源、购买XMR和ZEC的目的以及外部取款情况。此外,BitOasis还希望用户能告知谁是受益人,或者为什么会收到这些资金。BitOasis还想知道是否有人代表第三方购买了XMR或ZEC。虽然大多数下线的加密货币可以在数周内兑换或取出,但BitOasis则迫使用户必须在5月31日之前转换账户余额,只有不到一周的时间办理。 文章分析称,监管压力或许是下线这两种加密货币的原因。大约两周前,BitOasis正在寻求在阿联酋获得特别许可证。而XMR和ZEC的下线似乎是获得该许可证的一部分要求。由于匿名形式的货币对现有的金融体系来说是一种风险,推测不无这方面可能。[2019/5/26]
据区块链安全审计公司 Beosin 分析,攻击者通过 setOracleAddress 函数修改了预言机的地址,随后使用 joinAndMint 函数铸造了 100, 000, 000 个 H 20 代币给 0 x 6 f 31 地址,最后调用 liquidate 函数通过虚假的价格预言机获取了大量的 USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的 0 x 4 e 22 上。这与 Hoi 分析的操作情况相吻合。
声音 | 币安周玮:Facebook区块链计划的目标或是为了阻止其他人进入其系统:据雅虎财经报道,针对Facebook的区块链计划,币安首席财务官周玮表示,“我怀疑这将是一个封闭的Facebook生态系统,他们的目标是阻止其他人进入其系统,而不是向其他人开放其系统。”Facebook在三月份公开宣布已经成立区块链研究小组,有60多名工作人员在研究这项技术。
据此前报道,纽约时报记者Nathaniel Popper发推表示,“有消息来源透露,Facebook目前正在寻求让风险投资公司投资于其加密货币项目。听说他们的目标很大,高达10亿美元。”[2019/4/26]
12 月 25 日下午 8 点,Defrost 发推称,团队愿意与黑客谈判,愿意分享 20% 的被盗资金以换回大部分被盗资产,具体金额可以协商,并呼吁黑客尽快和我们联系。”
12 月 26 日下午,Defrost Finance 的审计公司 CertiK 发推称,监测显示,Defrost Finance 项目为退出局(exit scam),CertiK 曾试图联系该团队的多名成员,但没有得到回应。此外,CertiK 还表示“该团队未进行 KYC,但是我们正在利用我们掌握的所有信息协助当局”。这似乎把 Defrost 监守自盗的行为,盖棺定论。
或许是“黑客”的个人信息被掌握,因此选择迅速归还资金。Defrost Finance 在 26 日晚 10 点发推表示:“被黑客入侵的资金已退还给 DefrostFinance。受影响的用户将很快能够收回他们的资产。”
至此,这起黑客事件,仅用了 2 天就有了个愉快的大结局。但这对于安全公司和生态也敲醒了警钟。
Hoi 在推特上回顾自己为何会选择这个矿时列了几点原因, 1 合约我自己和员工都看过没问题的,第三方黑客黑不到。2 Certik 等审计。3 这个项目上过很多 Avax 各种平台的推广,甚至官方号推荐。4 后来想出来时发现其他 Defi 矿的收益都一般,然后社区里面都是好说话的兄弟。
审计公司竟然没有对被审计项目的团队有基本的了解,仅合约的安全并不能防止主观的恶意,因此掌握团队的 KYC 必不可少。因此也有用户质疑 CertiK,既然团队拒绝 KYC,你们就应该拒绝提供审计。此外,Avalanche 公链中文官方的确多次为该项目推广,因此生态方需要谨慎推广项目。
此外也有用户称,DefrostFinance 的项目方也是之前被盗的 Finnexus 和 PhoenixFinance 的同一个团队。这一信息真实性还有待考证,但也对用户提了个醒,尽量要选择实名的项目,匿名创始人背后,很有可能另有企图。
PANews
媒体专栏
阅读更多
金色财经 子木
金色早8点
去中心化金融社区
虎嗅科技
区块律动BlockBeats
CertiK中文社区
深潮TechFlow
念青
Odaily星球日报
腾讯研究院
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。