引言
9 月 18 日,GMX 遭遇了價格操縱攻擊,攻擊者利用 GMX 的最小價差和 0 滑點的特性對 AVAX/USD 進行價格操縱,賺取了 56.5 萬美元的 AVAX。關于其中細節可以參考《如何利用 GMX 的交易機制進行價格操縱?外部攻擊與內部作惡的方法分析》,此次攻擊是“合理但惡意”地利用了 GMX 的交易機制,屬于外部攻擊。文章提到,除了外部攻擊外,GMX 還存在潛在的內部攻擊風險。
關于 Keeper 機制所帶來的作惡隱患,詳細分析如下:
https://im0xalpha.notion.site/GMX-A-Can-Be-Evil-AMM-bf22717230864f458e94fc5482e304ff
GMX 依賴于一個集中的喂價機制,即“Keeper”,它完全由團隊控制。
Azuki創始人回復爭議:公開過往項目是因為長期被騷擾,團隊沒有刻意假扮女性:5月11日消息,Azuki創始人ZAGBOND在與Andrew Wang的Twitter Space對話中回應爭議表示:我們沒有預期到Azuki上漲這么迅速,之前一直專注在產品、社區、路線上。今天的聲明文章我已經計劃了很久,并不是刻意選在市場行情如此糟糕的今天,而是因為近期一直有人騷擾我、我的家人、我們社區人員。關于男性創始團隊假扮女性博取話題一事,ZAGBOND表示沒有刻意利用女性身份,團隊中的女性也在共同管理賬戶,NFT和游戲角色一樣,是一種“人設”,和性別無關。
昨日,Azuki團隊創始人ZAGABOND.ETH發文承認,Azuki團隊在過去的一年時間內,曾運營CryptoPhunks、Tendies、CryptoZunks三個項目。ZAGABOND表示,雖然項目運營不盡如人意,但Azuki團隊從中汲取大量經驗。該行為仍引起Azuki等NFT項目持有者的不滿情緒,導致Azuki系列NFT地板價一度跌至10 ETH,目前地板價回升至15ETH附近。[2022/5/11 3:04:53]
Keeper 決定了所有的交易價格,因此可以隨心所欲地使任何一方(交易者和 LP)受損或受益。
Uniswap計劃增加超1.2萬個空投地址的治理提案引發爭議:金色財經報道,此前Uniswap發起二號社區治理提案,計劃增加12619個空投地址。該提案引發了爭議,一些UNI持有人擔心價格將會上漲。目前已有超過2070萬UNI被投票贊成該提案,而超過71.42萬UNI被投票反對。投票將于UTC時間10月31日約8:00結束。[2020/10/30]
有了 Keeper 的絕對權力,GMX 很容易作惡,甚至比任何中心化的交易所更容易。
細節中的魔鬼:GMX 的 Keeper
最近 GMX 遭遇的價格操縱攻擊使我們注意到了 GMX 的 Keeper 機制。事實上,外部操縱的攻擊并不是最大的問題,因為外部操縱是一個可預防的問題。但 Keeper 所帶來的的內部操縱隱患是沒有辦法避免的(甚至沒有辦法發現它)。
比特股核心開發者未經社區同意私自更改投票規則引發爭議:據比特股 (BitShares)論壇顯示,7月30日核心開發者Abit發布了4.0版本升級,本次升級對于用戶的投票權進行了調整。但據社區反映此次升級之后改變了投票規則,但理事會和社區成員在升級前對此事并不知情,Abit也沒有發起過投票。這引發了不少成員的不滿,認為比特股過于中心化,同時也有用戶認為新規則過于強硬。[2020/7/31]
在 GMX 上交易存在兩個步驟:
1. 下單。在這一步中,除了常規的交易費用外,你還需要支付額外的 ETH/AVAX(稱為執行費),以便 Keeper 執行你的交易。
2. Keeper 以所謂的預言機價格執行你的訂單,該價格完全由 Keeper 決定。
這個細節中存在魔鬼:此 Keeper 不屬于任何鏈上或透明機制。相反,它是一個由 GMX 擁有的地址簽署的程序,并在 GMX 自己的集中式服務器上運行。而 Keeper 的核心作用不僅僅是執行訂單,也是決定交易價格。在非常弱的約束條件下,Keeper 可以直接用它選擇的任何價格執行你的交易。而正是這個弱約束也只會讓交易員的價格變得更糟(https://www.notion.so/47fc5ed832e243afb9e97e8a4a036353,與 ChainLink 價格的偏差大于 2.5% 將觸發買賣價差)。
動態 | Coinbase收購Neutrino引爭議 宣布解雇Hacking Team前員工:據CoinDesk消息,3月4日,Coinbase首席執行官Brian Armstrong發布博文稱,Coinbase和Neutrino決定解雇曾在Hacking Team的IT初創公司工作過的員工,無論他們目前是否與這家初創公司有任何聯系。此前2月27日消息,Coinbase于2月19日收購了區塊鏈分析初創公司Neutrino,但由于幾位主要領導人都曾在間諜軟件情報公司Hacking Team擔任過要職,引起了爭議,隨后Coinbase回應稱已做相應審查不為黑客行為辯護。[2019/3/5]
如何作惡?
非常簡單!
由于每筆交易的交易價格完全由 Keeper 決定,運行 Keeper 的人可以做任何他們想做的事情。例如,按其意愿提供有利于或不利于交易者的價格,通過為交易提供不好的價格(長線交易的價格較高,短線交易的價格較低),從每筆交易中獲利是非常方便的。
以太坊多倫多社區集會遭質疑 v神回復不當引爭議:Satoshi Portal首席執行官Francis Pouliot近日在推特上發文質疑以太坊多倫多集會,“以太坊管理委員會秘密集會在多倫多召開,利益相關者在此制定區塊鏈管理規則。這簡直瘋了,他們在建立一個財閥政府。這已經在BTC社區失敗了(UASF/NO2X)。有人會關心這個事嗎?”。對此v神進行了回應,表示“我并沒有參加會議,這個會議是未經我的允許召開的,并且我確實真的不知道發生了什么。”但回應很快遭到了質疑,稱“未經我的允許”用詞狂妄,v神試圖控制以太坊。不過也有網友表示,這更能體現出以太坊的去中心化。[2018/5/11]
而這可以以一種非常秘密的方式進行:Keeper 只需要使價格比公平價值稍差(例如高出或低于 0.1%),這樣就很難注意到。那么大量的利潤(0.1% 的交易量)就會從交易中被偷走。
你可能認為這種偷竊對 LP 有利。在這種特殊情況下,確實如此。但有了這樣的絕對權力,從 LP 那里偷竊也同樣容易。Keeper 只需要用優于公平的價格(多頭交易的價格較低,或空頭交易的價格較高)喂養其附屬賬戶,就可以將利潤轉移到這個賬戶。這一點非常容易理解:如果攻擊中的外部操縱者(https://www.binance.com/en/news/top/7204043)可以通過操縱價格來源使他們的賬戶受益,那么 Keeper 通過直接操縱價格使特定賬戶受益只會更直接。唯一的區別是,前者是以中心化交易所(即 Binance)的價格為成本的,而后者則是零成本。而且,這也可以通過保持足夠小的偏差來避開外界關注,同時又能非常隱蔽地獲利。
這種交易機制是如此不透明,以至于比任何基于訂單簿的中心化交易所更容易作惡。對于后者,你通過查看訂單簿上的報價,提前對你的交易價格有一個合理清晰的預期。如果報價不公平,你可以選擇不交易。相比之下,在 GMX 上,交易完全掌握在 Keeper 手中。
他們是否已經作惡?
從技術上講,答案是我們不知道,因為這沒有辦法從外部驗證。
然而,當你問出這個問題,你可能已經忽略了重點。從“不作惡”轉換為“不能作惡”是加密世界的基本價值之一,也是重大的進步。一個依靠權力所有者的善意而運作的系統不應該屬于這個世界。
無論一個“能作惡”的項目如何聲稱他們不會作惡,都不應該給予信任。這不是 Web3 的工作方式!
作惡成本有多大
分析師 @NintendoDoomed 對 GMX 的作惡成本進行了分析。
通過操縱價格發動攻擊的可能性是存在的,在其他協議上也發生過,但是攻擊成本比大多數人想的要高。GMX 有千分之一的交易費用,一筆交易開平倉就有千分之二的費用,因此在操縱預言機價格時,對價格的影響必須要大于千分之二才有意義。
對于 BTC 而言就是 $30+ 的價差,并不是一個小的數字。GMX 的預言機聚合了數個頭部中心化交易所的價格,基本需要操縱整個市場的定價才能攻擊GMX。對于 Avax 之類流動性較差的小幣種可能是劃算的,但是對于 BTC/ETH 則未必。此前有消息稱有人操縱 AVAX 價格,這主要是因為 AVAX 流動性相對較差,操縱成本較低。因此,通過操作價格對 GMX 發動攻擊目前只適用于流動性較差的 Token,但對于主流幣暫時不會構成威脅。
此外,GMX 對于倉位規模有上限設置,開平倉都存在時間差,這進一步提升了攻擊成本。這個上限是會低于 LP 存入對應 Token 的規模, 比如 LP 存入 ETH 有 $80M,那么 ETH Long Position 可能就會設置成 $50M,因此可以全額兌付。
https://twitter.com/NintendoDoomed/status/1597223938563919872
https://foresightnews.pro/article/detail/16360
金色早8點
金色財經
去中心化金融社區
CertiK中文社區
虎嗅科技
區塊律動BlockBeats
念青
深潮TechFlow
Odaily星球日報
騰訊研究院
近期,Bain Capital Crypto 在 zk 領域保持了活躍的投資筆數,此前也因投資了 Celestia、Scroll、Fuel 等項目而知名.
1900/1/1 0:00:00創作者:steph alinsug 翻譯者:DAOctor 審核者:Shaun 原文:Decentralized Media In web3 Is Not What You Think.
1900/1/1 0:00:00原文作者:Leo 近日,以太坊基礎設施開發商 Consensys 更新了其隱私政策,聲明當用戶使用 Infura 作為默認 RPC 進行交易時,將收集他們的 IP 和 eth 地址.
1900/1/1 0:00:00來源 | coindesk編譯 | Dali@iNFTnews.com加密貨幣貸款公司BlockFi已經申請了破產保護.
1900/1/1 0:00:00原文來源:霧海,PANews2022 年 11 月 6 日 Opensea 發布公告稱,將推出鏈上強制執行版稅工具。因為當時只是提出,市場并無任何反響.
1900/1/1 0:00:00作者:flowie,ChainCatcher“ 上一輪加密牛市中,風險投資機構倉促完成交易,而缺乏盡調“,這是 FTX 發生大面積擠兌前一天.
1900/1/1 0:00:00