以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

DeFi項目Soda協議被曝安全漏洞,「蘇打水」險流空_DEF

Author:

Time:1900/1/1 0:00:00

一場DeFi協議的漏洞險情最終在網友「曝光式」預警下得到了開發方的補救。被曝光存在漏洞的協議名叫Soda.finance,剛剛創建一周,目前團隊尚處匿名狀態。

9月20日下午,網友「廢X廢」在微博上警示DeFi用戶,Soda協議的合約有漏洞,其中一個抵押借款池內的借款單可被人「隨便清算」。

一個小時后,Soda協議方作出響應,分別提示借款人還款、抵押者提款的同時,表示將修復漏洞,暫停前端借款功能。

盡管如此,至9月21日凌晨,Soda抵押借款池中仍有400多個ETH被惡意清算。當日上午,該協議官方在Twitter上稱,漏洞已修復,新部署的智能合約預計9月22日21點生效。

DeFi市場熱絡的同時,安全事故其實一直如影隨形。從6月「流動性挖礦」引爆市場后,區塊鏈安全機構PeckShield統計,6月、7月、8月共計17起安全事件發生在DeFi領域,至少造成400萬美元的損失。

DeFi火爆的同時,安全事件也在警示每一位DeFi參與者:別被市場熱度「燒光」了風險意識。

多數DeFi代幣在過去一周中上漲:金色財經報道,據CoinDesk市場指數,在比特幣和以太幣大多停滯不前的一周內,去中心化金融 (DeFi) 中一些鮮為人知的名字公布了兩位數的收益。本周的 DeFi 和整體領導者是 Injective Protocol (INJ),這是第 1 層區塊鏈,旨在構建去中心化金融應用程序,包括交易所和借貸協議。INJ 也是今年迄今為止的領先者,自 1 月以來增長了 527%。DeFi 協議 Lido (LDO)、Synapse (SYN) 和 PancakeSwap (CAKE) 也表現強勁,分別上漲 15%、13% 和 12%。[2023/6/3 11:55:29]

Soda存清算漏洞2萬ETH遇險

9月20日下午5點,網友「廢X廢」在微博上公開了一個有關Soda.finance協議的風險提示,「不要抵押WETH借SoETH,合約有漏洞,其他人可以隨便清算你的借款單」。

數據網站DeFiLlama現已支持EthereumPoW:9月25日消息,DeFi數據網站DeFiLlama宣布,現已添加對EthereumPoW的數據追蹤支持。[2022/9/25 7:19:43]

廢X廢在微博爆料Soda合約存在漏洞

公開預警之前,「廢X廢」曾通過Soda公開的官方渠道通知過對方,「不過好像開發人員沒在。」

公開信息顯示,Soda于9月15日創建在以太坊上,它是一個抵押借貸場景的DeFi協議,國內用戶喜歡用「蘇打水」稱呼該協議。按照Soda設計的規則,一個借貸池內,當借款人的債務和利息費用超過抵押資產的價值和清算比例時,債權人可以通過智能合約觸發清算,按照協議規定的折現率獲得SoETH憑證,從而獲得債務人的抵押資產及協議提供的挖礦獎勵。

按照「廢X廢」的說法,他發現的這個漏洞將對SoETH/WETH抵押借貸資金池產生風險,即任何人借此漏洞對協議發起攻擊,借款人抵押在上述資金池中的WETH將面臨「被擼走」的風險。

在微博上回復其他網友時,「廢X廢」透露,他研究Soda的爆倉清算規則時發現了這個漏洞,「當時該協議上累計有超過2萬個以太坊。」

Terra鏈上DeFi鎖倉量跌至6.09億美元:金色財經消息,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量跌至6.09億美元,近24小時減少9.68%。在公鏈中仍排名跌至第12位。目前,Terra鏈上DeFi鎖倉量排名前3的分別為:Anchor(24.54億美元,近24小時減少56.91%)、Mirror(3746萬美元,近24小時減少65.92%)、PylonProtocol(2980萬美元,近24小時減少60.11%)。[2022/5/14 3:15:24]

2萬ETH時值700萬美元,留言網友也對「廢X廢」發現漏洞告知協議方而沒有利用協議「擼走」2萬ETH的行為表示贊許,甚至尊稱他為「廢老師」。

但廢老師也表示,在發現這個漏洞后自己也清算了一個ETH,「之所以不清算所有人的,是不想惹麻煩。」

網友一邊圍觀廢老師的發現,也在等待Soda協議方的反饋。

9月20日近19點時,也就是在「廢X廢」通知協議方險情未獲回復,又公開提示風險的1個多小時后,Soda發布公告,提示SoETH/WETH資金池的借款者盡快還款、抵押者及時退出的同時,表示將修補漏洞,暫停前端借款功能,如有用戶因為這個漏洞受損,他們將盡可能推出補償方案。

DeFi 概念板塊今日平均漲幅為7.06%:金色財經行情顯示,DeFi 概念板塊今日平均漲幅為7.06%。47個幣種中41個上漲,6個下跌,其中領漲幣種為:YFV(+138.56%)、AMPL(+14.82%)、SRM(+13.04%)。領跌幣種為:NEST(-6.37%)、UMA(-3.74%)、LEND(-1.42%)。[2021/10/21 20:44:55]

Soda團隊至今匿名被疑國內背景

然而,這個漏洞還是被人利用了。「廢X廢」于9月21日凌晨披露的圍觀記錄顯示,至少有5個地址借漏洞嘗試攻擊,共「擼走」了約446個ETH,時值15萬美元。

廢X廢圍觀攻擊者的操作記錄

截至目前,Soda協議的SoETH/WETH資金池內尚有等值ETH的2156個SoETH。對于之前被惡意清算走的資產如何解決,Soda官方還沒有做出回應。

DeFi代幣排名前100的總市值升至23.16億美元:DeFi MarketCap數據顯示,截至6月15日6時,DeFi代幣排名前100的總市值已升至23.16億美元。具體來看,市值超過1億美元的DeFi項目共有8個。其中,MakerDAO仍居榜首,市值約5億美元。[2020/6/15]

事實上,Soda協議自9月15日上線后就未公開代碼審計結果的相關信息,團隊信息處于匿名狀態。協議一即上線,中心化交易所Gate.io的平臺幣GT便出現在Soda的流動性挖礦池內,抵押GT可以挖得SODA獎勵,另外兩個挖礦池的抵押資產是USDT和ETH。不過,目前Gate.io還未上線SODA的交易。

Soda提供GT抵押挖礦流動池

有用戶質疑Soda的開發團隊系國內人員,一個依據是,此次漏洞事件后,官方在社交平臺Discord上的公告用中文寫就。該平臺的Soda討論組內,當官方客服用英文發布信息時,有用戶調侃,「別發英文了,大家英文都不好,看不懂說什么。」Soda官方并對團隊背景做出回應。

9月21日,Soda協議漏洞的后續進展在推特上披露,官方稱,目前漏洞已修補,并部署了新的智能合約。不過,由于智能合約有時間鎖,補丁修復后至少需要48小時才能生效。其官網顯示,新的智能合約生效時間預計在9月22日晚上9點。

部分協議存在「自留后門」惡性

Soda協議的漏洞問題依然只是DeFi領域的一個小小縮影。事實上,自從6月「流動性挖礦」將DeFi送上市場「熱搜」后,安全事故從未在這個板塊中停止。?

令人印象最深的恐怕是Yam.finance,剛出道大火,就因漏洞問題直接導致協議不到兩天就中止運行,YAM一度歸零。1個月后,Yam才在審計后重啟。

蜂巢財經根據PeckShield數據整理

區塊鏈安全機構PeckShield的月報顯示,6月、7月、8月三個月內,共計17起安全事件發生在DeFi板塊,至少造成了400萬美元的損失。

進入9月,知名抵押借貸協議bZx被盜走了4700ETH,好在后來被找回;穩定幣協議Lien也被發現存在代碼漏洞。

有業內人士透露,部分國內團隊打造的DeFi協議多為以太坊上成熟協議的山寨版,由于照搬開源代碼僅做簡單修改后匆忙上線,常常因修改代碼而出了岔子,「原來是正確的,結果被改錯了,」其中,增發漏洞是個十分危險的問題。

更可怕的是,市場上已經出現了協議開發團隊主動「留后門」的亂象。不久前,區塊鏈安全公司PeckShield安全人員在例行DeFi新上線項目風控掃描時發現,SushiSwap的新仿盤項目YUNo修改了代幣發行邏輯,存在惡意留后門,方便給管理員無限增發代幣的權限。

在這種高知識門檻下,對于普通用戶來說,密密麻麻的代碼簡直是天書,沒有計算機和互聯網工程職業背景的他們,根本無從判斷協議的安全性。他們參與DeFi挖礦就是在玩一場場碰運氣的游戲,毫無技術武裝,如同裸奔。

對此,區塊鏈安全機構成都鏈安的創始人楊霞支招,普通投資者在不懂代碼的情況下,可以看項目方的公開透明程度,比如代碼是否經過第三方審計,審計結果、項目方團隊信息是否公開等等,「越公開透明的項目,可信度相對越高」。

楊霞提示投資者,除了查看項目公開信息外,還可以分析項目模式,項目方的獲利點是否是完全模仿其他項目等信息。「如果完全模仿其他獲利項目,且項目方信息又不明確的,就需要提高警惕了。這種項目團隊的技術能力不是很強,或者干脆就有意留后門。」她建議,投資者要選擇自己綜合分析后認為有投資價值的項目去參與,切勿在不了解項目的情況下盲目跟風。

對于真正想在DeFi領域創業的開發方,楊霞建議,協議未經過安全審計前不要上線,相比起上線時間的推遲產生的影響,代碼漏洞導致的損失可能更大,「安全審計是目前公認的較好的方法,除此之外,項目方在開發時,可以預先設計好一些挽救措施,安全問題發生時可以讓損失降到最低。」

她舉例,使用代幣轉賬的Pausable功能,在發生安全事件時可以停止資金流動;通過代理實現代碼邏輯與資金分離也是可以考慮的方法。「但在使用這些方法時,也要保證權限的合理劃分,避免項目方權限過大,使其成為一個中心化的智能合約」。

匿名網絡,漏洞當前,在有價資產的利益誘惑下,并非每個人都愿意去做「廢X廢」這樣的「吹哨人」。DeFi挖礦協議層出不窮,與之同行的是一起起安全事件,這一聲聲的警鐘都在提醒DeFi參與者,別被市場熱度「燒光」了風險意識。

互動時間:如果你發現協議有漏洞,會通知項目方嗎?

Tags:DEFDEFIEFISODADeFi.chWDEFI幣WDEFI價格SODA價格

萊特幣價格
巴比特專欄 | 谷燕西:50美元起投美國房地產_區塊鏈

我在此前的幾篇文章中介紹過美國正在興起的房地產通證化,也就是把房地產的權益以通證的方式代表發行流通,通過資金募集來共同持有這個房地產所有權或債權。通證的持有者因此可以從中獲取穩定的收益.

1900/1/1 0:00:00
探討DeFi交易、借貸與衍生品的創新與機遇_EFI

去中心化金融??行業經過2年多的發展,已經逐步展現出一種強力的生態,雖然這種生態基于以太坊,但是DeFi的生態又不完全等于以太坊。我們去年認為DeFi會?向傳統金融靠攏并借鑒諸多的標準設計.

1900/1/1 0:00:00
YFI創始人Andre Cronje遭受死亡威脅,宣布退出公眾視野_CRON

據報道,YearnFinance創始人兼開發人員AndreCronje已經決定退出公眾視野,原因是據說他收到了去中心化金融社區的“死亡威脅”,并且對他非常“不道德”.

1900/1/1 0:00:00
YFI暴跌12%,創始人Andre新項目Eminence遭受黑客攻擊_YFI

北京時間凌晨,DeFi聚合協議Yearn.finance的治理代幣YFI出現大幅下跌,從最高大約30000美元跌至最低24300美元,跌幅超12%.

1900/1/1 0:00:00
探討「回購-銷毀」代幣模型的共性和策略_TKN

轉自:以太坊愛好者 作者:JoelMonegro 翻譯:阿劍 “回購-銷毀”代幣模型的共性是:有一個能夠產生收入的網絡,它會定期以業務收益來回購自己的原生代幣,然后銷毀這些代幣.

1900/1/1 0:00:00
DeFi的第三條道路:一文讀懂Centaur與它的探索之路_Centaur

DeFi的發展和創新如火如荼,但它還是非常小眾的領域,其涉及的資產規模跟傳統金融相比差距非常大,傳統金融市場的衍生品交易超過數百萬億美元,而在DeFi中,其鎖定資產總量剛剛超過100億美元.

1900/1/1 0:00:00
ads