以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 萊特幣 > Info

CertiK:DeFi項目又雙叒叕出幺蛾子,BZRX IDO事件解析及防范建議_CER

Author:

Time:1900/1/1 0:00:00

當你得知喬丹某款限量球鞋AJ今晚6點正式發售,從早上就搬好了小板凳在店面還排到了一個不錯的位置,正準備摩拳擦掌勢在必得時,發現前面的某幾個排隊者根本不是真粉而是黃牛。黃牛包下了店里所剩的全部新款AJ,于是你趕緊轉戰網購。然而并不意外,還是像原來一樣,由于沒有置辦高配電腦,也沒有專門為了搶購的小程序助力,網速更是沒有花錢去升級,于是網絡首批發售的AJ也全部搶購一空。

一雙原本原價小幾千人民幣的鞋子,突然在網上飆到了上萬人民幣,而賣價早已不是官方店家,而是這些黃牛。這樣的事件也許在你剁手時屢見不鮮,然而區塊鏈領域也不斷有同樣的事情發生。北京時間7月13日晚10點28分,BZRX在Uniswap上市,一位用戶通過智能合約于第一時間用650個ETH購入逾196.61萬個BZRX,兌換了流動池中39.3%的BZRX。兩分鐘后,幣價因為大量購買而上漲,該用戶開始進行一系列出售行為,共計獲利2030枚ETH和30萬個BZRX代幣。不過,這個行為其實是攻擊者承擔了巨大的成本風險來進行的。在實際攻擊過程中,攻擊者并不清楚他又雙叒叕進行交易,哪些會被礦工挖掘并記錄到區塊中。

DeFi衍生品項目Tracer DAO將過渡至Mycelium,并將在Arbitrum上推出永續掉期產品:8月11日消息,去中心化衍生品項目Tracer DAO表示,從Tracer DAO過渡到Mycelium的關鍵提案已由DAO達成一致,本月將在Arbitrum上推出首個產品,即永續掉期產品Mycelium Perpetual Swaps。另外,所有現有的TCR持有者都有權以1:1的比例將其代幣更改為新的MYC代幣。

Tracer DAO表示,Mycelium Perpetual Swaps將與原油的Perpetual Pools(永續資金池)共存。自2019年以來,Mycelium一直通過Mycelium Node提供數據,并在區塊鏈上構建衍生品基礎設施。2021年2月10日,Tracer DAO接受了Mycelium要成為DAO的核心服務提供者和貢獻者的提議。[2022/8/11 12:19:04]

安全機構:Gate.io蟬聯CER全球交易平臺安全測評第一名:根據國際第三方安全機構CER 8月最新交易所安全測評排名顯示,Gate.io的網絡安全分數升至9.65分,蟬聯CER全球交易平臺安全測評第一名,同時獲評全球最值得信任的20個交易平臺稱號首位,在CER、CoinGecko等多個榜單中位居榜首。此前7月,Gate.io已在該評分中獲得9.38分,在全球100個交易平臺中排名第一。CER成立于2018年,是業內第一個公開批評現有交易量指標的加密貨幣交易所排名平臺,其安全標準被CoinGecko、CoinMarketCap等權威行情網站所廣泛使用。[2020/9/1]

根據安全工程師Romanstorm的推特信息,實際上在所有發送的拋售BZRX的交易中,有14筆交易失敗了,并且這些失敗的交易每一筆都支付了昂貴的gas費用。當然其中15筆交易是成功的,這也就相當于成功的概率能有一半左右,在實施攻擊中其實是承擔了很大風險的。如果攻擊者現在是在搶購限量AJ球鞋,每買一雙,都要支付手續費,并且在每一次購買的同時就要扣除手續費。然而并不是每次購買動作都能成功,一旦購買失敗,手續費也隨之打水漂。從攻擊的思路上來看,其實這更像一個經濟學問題:通過程序監控獲得BZRX上線消息單筆大量購入低價BZRX急劇提升BZRX價格多次拋售BZRX攻擊者以令人迅雷不及掩耳盜鈴之勢完成了這一系列操作,從而獲利。今年6月底,有一類似事件想必大家有所耳聞。Balancer上兩個流動性池遭閃電貸攻擊,損失達50萬美元。CertiK天網系統(Skynet)檢查到BalancerDeFi合約異常后,對其進行了分析。請點擊《空手套以太:Balancer攻擊解析》《DeFi還有未來嗎?Balancer再遭攻擊》進行詳細了解。在BZRX代幣剛被Uniswap列入交易名單之后,攻擊者立刻大量買入BZRX。因為Uniswap的交易所設立的某種市場機制,當某一種代幣被大量購買后,單價會升高。然后攻擊者通過大量交易,多次將手中的高價BZRX賣出獲得ETH,最終獲得大量利潤。其攻擊成本和最終獲利如下:

動態 | 交易所Liquid與區塊鏈安全公司CertiK達成合作:加密貨幣交易所Liquid今天宣布區塊鏈安全公司CertiK達成合作,CertiK將為在該交易所尋求上幣和IEO的團隊提供智能合約審計平臺。(CryptoNinjas)[2020/1/23]

這兩次事件的相同之處在于,攻擊者都是利用了DeFi金融模型的機制“缺陷”,用低買高賣的方式進行套利。而此次事件與Balancer攻擊不同的地方是,在Balancer攻擊中,攻擊者是惡意控制并壓低代幣的數量來對價格進行控制。而在此次攻擊中,攻擊者則是通過利用BZRX剛剛被Uniswap列入交易名單并且價格較低的那段時間,通過了正常的流程購買從而獲利的。因此Romanstorm在之后的推特中發布信息稱BZRXIDO事件既不是協議利用,也不是黑客行為。然而,與傳統智能合約不同的是,DeFi智能合約存在金融模型漏洞。

Coinlancer 將于兩周內進行路線圖更新:Coinlancer(CL)官方推特指出,兩周之內將在其網站上發布路線圖的改動和更新事項。CL現全球均價0.07美元,跌幅4%。[2018/2/21]

即便代碼沒有漏洞,合約部署沒有漏洞,問題也可能出在金融模型漏洞上。聽起來有些防不勝防?

CertiK在此給出一些基本的方法措施,希望能夠幫助DeFi項目防范此類問題的再次發生:發售新幣時,可以參考交易所上幣的流程。交易所在幣開售之前,根據某種指標,給用戶一個購買額度,在幣開售之后,用戶只能購買某額度以內的貨幣。這樣就不會出現一個用戶搶購了近40%的新發售的幣從而“哄抬物價”。采用Ringtrading方法,設定交易活動間隔時間,分批次出售。采用dFusion類似的批量拍賣,或是類似于荷蘭式拍賣等交易方式進行出售。此次事件既不是DeFi項目被黑,也不是DeFi合約有漏洞。但其過程中被攻擊者鉆了巨大的空子,也側面反映出了DeFi在金融層面而非技術環節本身的不成熟。正如之前CertiK團隊專家分析的,這更像是一個經濟學問題。因此CertiK建議廣大用戶,除了要加強DeFi項目的風險排查,隨時監測安全漏洞與風險,更有必要借助第三方安全公司協助其完成攻擊測試和全方位安全防御部署,幫助其排查其他任何原因所帶來的問題。

Tags:CERZRXBZRXDEFBalancerVBZRX幣bzrx幣發行量DeFi Degen Land

萊特幣
Doge漲,ADA漲,LINK漲,比特幣什么時候漲?_比特幣

前天晚上,Huobi官方在推特宣布將上線渡鴉幣。隨后,渡鴉幣迎來一波上漲,Coin360數據顯示,渡鴉幣日內漲幅在15%左右。 事實上,對行情稍微有點關注的人會發現,最近山寨幣有起飛的趨勢.

1900/1/1 0:00:00
以太坊DeFi生態鎖倉總額突破20億美元,創歷史新高_DEFI

編者按:本文來自巴比特資訊,編譯:隔夜的粥,星球日報經授權發布。根據defipulse的數據顯示,以太坊去中心化金融項目的總鎖倉值今日已突破了20億美元,創歷史以來的新高.

1900/1/1 0:00:00
Crypto Briefing:一文讀懂Zapper Finance及其DeFi投資分析平臺_ZAP

編者按:本文來自鏈聞ChainNews,撰文:AshwathBalakrishnan、LiamKelly,翻譯:盧江飛,星球日報經授權發布.

1900/1/1 0:00:00
痛恨莊家卻又離不開莊家,這就是比特幣的現狀_比特幣

幣圈一直針對于比特幣的高波動爭論不休。改革派認為如果想走近主流金融市場、讓“數字黃金”之稱更名副其實,降低波動幅度才是唯一的出路,但保守派認為,比特幣之所以不斷吸引圈外人士關注最重要的原因是因為.

1900/1/1 0:00:00
云算力Miningzoo疑跑路:假冒策源投資借口中東局勢,所有“礦場”歸0_ING

吳說區塊鏈獨家獲悉,云算力平臺miningzoo疑似跑路。該平臺偽造大量信息,包括偽造獲得知名VC策源創投投資的信息,截止到7月6日,仍然大量投資者無法提取在平臺投資云算力獲得的加密貨幣,一些投.

1900/1/1 0:00:00
接棒Balancer,DeFi保險Nexus Mutual(NXM)2天漲4倍_DEFI

這兩天DeFi衍生品——保險,代幣叫NXM,開始火爆起來。NXM7月10號下午到我寫稿時,價格從5美金漲到21美金,漲非常快.

1900/1/1 0:00:00
ads