作者: Kong@慢雾安全团队
据慢雾区情报,2020 年 11 月 17 日,以太坊 DeFi 项目 OUSD 遭受闪电贷攻击。慢雾安全团队于第一时间跟进并进行相关分析。以下是慢雾安全团队针对本次攻击的简要分析。攻击过程详细分析会在稍后发布。如有兴趣可保持持续关注。
背景提要
Origin Dollar (OUSD)由Origin Protocol (OUSD)创建,是一种新型的ERC-20 稳定币,当它仍然放在钱包里时,会自动从DeFi 协议中获得有竞争力的收益。OUSD 由USDT、USDC 和DAI 等其他稳定币的1:1 支持。
攻击流程简析
1. 攻击者使用 dydx 闪电贷借出 70000 个 ETH,随后通过 Uniswap 将其兑换为 USDT 和 DAI。
2. 攻击者调用 OUSD Vault的 mint 函数,Vault 会先进行一次 rebase 将之前积累的奖励进行分配,随后将 750 万 USDT 从攻击者合约转入 OUSD Vault 中。此时 OUSD 合约会铸出等量的 750 万 OUSD 代币给攻击合约,最后通过 allocate 来结算当前的收益。
3. 在攻击者转入 750 万之前,Vault 的价值约为 7018138 美元。攻击者转入 750 万 USDT 后将占 Vault 总价值的一半以上。
4. 随后攻击合约利用 mintMultiple 函数传入 DAI 合约地址与攻击合约的地址,同样是先进行一次 rebase ,将之前累计的收益进行分配(包含先前转入的 750 万 USDT 部分),再通过 transferFrom 先将攻击合约的 2050 万 DAI 转入 Vault 中。随后将调用攻击合约的 transferFrom 函数,攻击者在攻击合约的 transferFrom 函数中构造再次调用 Vault 合约 mint函数的逻辑来实现重入攻击。
5. 在上一步骤中转入 2050 万 DAI 后通过攻击合约的 transferFrom 函数再次调用 Vault 的mint 函数。由于重入时传入 2000 USDT 符合判断是否调用 rebase 的条件,此时将进行一次 rebase,而由于 rebase 需要 Vault 中的资产总价值和 OUSD 的总铸币数有差值才能触发。按照原本的业务场景是进行 allocate 结算收益后改变 Vault 中的资产总价值然后通过 rebase 进行分配。而由于重入原因并没有先通过 oUSD.mint 进行铸币操作,且攻击者已先将 2050 万的 DAI 转入 Vault 中,所以 Vault 中的资产总价值仍然增加了,导致合约中的资产总价值大于 OUSD 的总铸币量。因此 Vault 会将增加的 2050 万 DAI 当成收益部分进行 rebase 分配。在步骤 3 中由于攻击者资产已占 Vault 总价值的一半以上,所以此时攻击者将凭空获得超过价值 1025 万的收益分配。
6. 随后将通过 oUSD.mint 铸出 2000 OUSD,并通过 allocate 结算重入时 2000 USDT 的收益(从上一步骤可以看出攻击合约传入的 2000 USDT 只是为了满足调用 rebase 的条件,触发收益分配而已)。重入结束后仍将通过 oUSD.mint 铸出之前转入的 2050 万 DAI 等值的 OUSD 代币。
7. 最后 Vault 的总价值约为 3501 万美元,但攻击者所拥有的价值超过 3825 万美元,因此攻击者用大部分的 OUSD 去 Vault 进行赎回操作,将 Vault 基本提空,而其余的 OUSD 是通过 Uniswap 和 Sushiswap 的 OUSD – USDT 池将 OUSD 换成 USDT 来增加收益。
总结
此次攻击关键在于调用外部合约造成的重入问题与 Vault 的 rebase 收益分配机制相结合,导致攻击者可以通过重入来凭空获得巨额的收益分配。针对此类情况,慢雾安全团队建议对传入资产进行检查后,对不在白名单内的资产直接进行回滚,并使用防重入锁以避免重入攻击。
相关链接:
(1) 参考攻击交易:
0xe1c76241dda7c5fcf1988454c621142495640e708e3f8377982f55f8cf2a8401
文章来源于互联网:闪电贷+重入攻击,OUSD损失700万美金技术简析
相关推荐: Uniswap 即将停止挖矿,SushiSwap 的春天来了?
原文标题:《Sushi 的春天》撰文:林明,FirstPool 联合创始人 近期 Uniswap 即将停止挖矿,再次启动需要约一周的时间,作为 DeFi 上第一的锁仓项目,锁仓市值超 29 亿美金,将对整个 DeFi 产生非常大的影响,在判断对市场影响时,调研…
温馨提示:本站所提供的资讯信息不代表任何投资暗示,本站所有资讯仅代表作者个人观点,与币圈财经官方立场无关。
相关推荐
-
爆锤算法稳定币,Maker协议市值一夜增长近5亿美元
北京时间1月7日,以太坊稳定币协议Maker的治理代币MKR迎来了爆发式增长,其价格在凌晨2点时飙升至1248.99美元,创两年多来的最高水平,截至发稿时,MKR代币的价格回落到了1064.54美元,仍较24小时前上涨40.38%。 与此同时,最近被热炒的“美联储股东币”BAS则遭到暴击,24小时暴跌20%。 专门从事数字资产研究和咨询的Delphi Digital公司的联合创始人Yan Liberman将MKR代币的价格上涨,归因于MakerDAO原生稳定币Dai的供应量急剧增加。 而根据debank提供的数据显示,截至发稿时,DeFi领域锁定的真实资产量达到了215.8亿美元,创下了历史最高纪录。 Messari分析师Ryan Watkins表示,MKR代币的基本面有所改善,这导致了市场对它的需求大增,他解释称: “一开始,MKR并没有从(不断增长的dai需求)中产生任何收入,因为其向借用dai的用户收取的利息是0%,而从去年秋初开始,Maker提高了利率,这导致MKR产生了大量收入。” 总部位于伦敦的大宗经纪公司Bequant的研究主管Denis Vinokourov也发表了看法,他说,Maker最近批准的一项执行投票提高了各种金库(注:用户在金库中存放抵押品并生成dai)的债务上限,这可能也是导致MKR代币价格飙升的原因之一。 除了以上这些原因,分析师们还补充表示,此次MKR的爆发可能是当前牛市引发的。 Watkins解释说: “最近整个行业的兴奋情绪为(MKR的价值)最终得到认可提供了良方。” 文章来源:爆锤算法稳定币,Maker协议市值一夜增长近5亿美元
-
姚前:区块链等技术是数据跨境流动的技术支撑
本文来源:《中国金融》杂志,作者:中国证监会科技监管局局长 姚前,原题《姚前:数据跨境流动的制度建设与技术支撑》 随着互联网经济的发展以及新冠肺炎疫情后经济数字化进程的加速,数据日益成为关键生产要素。习近平总书记曾在不同场合多次强调数据的重要性:“在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。”数据已和其他生产要素一起融入经济价值创造过程之中,对社会发展具有广泛影响。 数据跨境流动的价值与意义 从全球范围看,数据流动对全球经济增长的贡献已经超过传统的国际贸易和投资。各国高度关切数据跨境流动。美国凭借其产业国际竞争优势和强大灵活的保障能力,以长臂管辖抢夺他国“治外法权”。欧盟对数据出境进行严格限制,其主要原因是担心接收国家或企业降低个人数据保护标准,因而采取了以充分性认定机制为主的国际制度协同框架,旨在优先保护个人信息安全。新兴经济体的数据战略则以防守型为主,更多地强调数据本地化存储,意图“划疆而治”。 虽说数据本地化可以更好地保护本国数据,也有助于司法取证,保障政府执法权,但从长远看,在保护个人隐私和企业商业机密、维护国家安全的基础上,允许数据依法、合规、有序跨境流动应是未来政策主方向。首先,数据跨境流动是经济全球化的必然要求。习近平总书记指出:“网络信息是跨国界流动的,信息流引领技术流、资金流、人才流。”如果数据不能自由跨境流动,跨国公司、跨境电商、全球供应链、全球服务外包等商业活动将难以有效开展。其次,数据跨境流动是新型信息技术创新的必然要求。大数据、人工智能(AI)、物联网(IoT)、区块链、云计算等技术,被称为第四次工业革命的标志性技术。它们以数据为核心,以算法为引擎,以算力为支撑,以分布式为特征,跨越时空,突破地理区域限制。若过于强调数据本地化,不允许数据自由流动,将不利于数字经济的创新与发展。最后,数据跨境流动是构建人类命运共同体的必然要求。新冠肺炎疫情的暴发再次表明,人类社会休戚与共。各国应在溯源、药物、疫苗、检测等方面加强合作,共享科研数据和信息,共同研究提出应对策略。 但另一方面,允许数据跨境流动不代表允许数据无序流动,应高度关注数据跨境流动中可能的风险。首先,要关注数据隐私风险。个人数据被恶意利用和买卖,将对个人隐私、财产甚至人身安全造成严重威胁。其次,要关注数据安全风险。若数据被泄露、监听和盗取,不仅数据主体权利无法得到保护,而且企业商业机密、知识产权等也会被侵犯,甚至整个国家的数字产业竞争力也将受到威胁。最后,要关注国家基础数据安全风险。石油、天然气管道、水、电力、交通、金融、军事、生物、健康、财税等领域的敏感数据涉及国家安全,一旦泄露或被窃取,将带来严重的不可控风险。 综上所述,我们应在数据跨境流动与风险防控之间寻找最佳平衡,为此,需要统筹考虑数据跨境流动的制度建设和相关技术支撑。 数据跨境流动的制度建设 一般而言,当一国的公共部门或私人部门想要传输数据给接收国的公共部门或私人部门,即使是数据主体方与接收方之间已经达成规制性协定,在大多数情况下也需要分别向本国与对方国的主管部门提交申请,在获得批准之后方可执行数据跨境流动。 目前,我国有关数据出境的法规标准尚在构建进程中。2017年6月1日正式实施的《网络安全法》首次规定了数据出境的安全评估制度。以此为上位法基础,国家网信办于2017年4月11日制定并公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,构建了个人信息和重要数据出境安全评估的基本框架,规定了自行评估和监管机构评估两种评估方式以及安全评估的内容。2017年5月27日,全国信息安全标准化技术委员会对外发布了《信息安全技术-数据出境安全评估指南(草案)》(即第一稿),对数据出境安全评估流程、评估要点、评估方法、重要数据识别指南等内容进行了具体规定。在进一步细化流程的基础上,该委员会于2017年8月25日发布了《信息安全技术-数据出境安全评估指南(征求意见稿)》(即第二稿),为个人信息和重要数据出境评估提供了规范性指导。2020年7月3日,《中华人民共和国数据安全法(草案)》公开征求意见,其中第九条“国家建立健全数据安全协同治理体系,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境”,第十条“国家积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动”,体现了以安全为基础,为数字经济发展、产业勃兴提供坚实保障的积极思路。 数据跨境流动的制度建设需要特别强调国与国之间的对等原则。所谓的对等,其中主要包含两层涵义。 一是数据保护标准要对等。数据从保护标准较高的国家向标准较低的国家流动,必然会带来数据隐私泄露和安全风险。水往低处流,而数据只能往保护程度高的地方…
-
这个国家的公民,平均每人至少拥有0.00012213个BTC
来源:https://beincrypto.com/every-norwegian-citizen-owns-at-least-0-000115578-btc/ 作者:Harrison Seletsky注:本文在原文基础上了补充了相关内容,以便读者了解。 摘要: 挪威的公共投资基金Oljefondet持有MicroStrategy 1.51%的股份和0.83%的Square的股份,这些股份间接代表了该基金的比特币储备。 目前,每个挪威人通过该基金可间接拥有价值约2.35美元的比特币。 石油基金的由来 现在,挪威所有的公民至少拥有比特币的一小部分。 Reddit用户 u / ThiaSCSGOSkins似乎是第一个调查此事的人,其挖掘出了挪威公民通过国家基金拥有比特币这件事。 关注挪威时事的人可能听说过Oljefondet或者说石油基金。据了解,挪威政府靠着北海油田的权益,每年要进项很大一笔钱。但这项收益经常随着国际油价暴涨暴跌而剧烈变动,并且石油资源消耗速度也非常快。为了缓冲油价的波动对经济造成的影响,1996年,挪威政府出资19.8亿挪威克朗成立了“石油基金”(挪威语:Oljefondet),随后每年将部分石油行业收益(包括挪威国家石油公司分红、开采权出售、石油行业税收等)投入这个基金。 2006年1月,石油基金改组为政府养老基金。2017年9月,该基金资产规模突破万亿美元大关,成为全球资本市场不可忽视的投资者。 通过对Oljefondet控制的股权进行仔细研究,Reddit用户发现了两家持有大量比特币的公司,分别是MicroStrategy和Square。Oljefondet拥有MicroStrategy 1.51%的股份以及Square 0.83%的股份。 据Decrypt在11月的报道,随着比特币价格突破14000美元,MicroStrategy和Square在比特币投资上分别获得了32%和38%的利润。 MicroStrategy在今年8月和9月的两次大型交易中总共投资了4.25亿美元,比特币的平均购买价格为1.1万美元。比特币上涨为MicroStrategy带来了1.33亿美元的净收益,目前该公司的比特币总价值为5.58亿美元。 Square在2019年10月投资了5000万美元比特币,迄今为止,Square的比特币投资已经获利1800万美元,其持有的比特币总值目前为6800万美元。 因此,尽管每个挪威公民可能都不直接拥有比特币,但他们可以通过Oljefondet石油基金间接拥有比特币。 数据分析 该用户还给出了其数据来源的链接。追踪私人和上市公司比特币持有量的数据网站bitcointreasuries.com显示,MicroStrategy目前拥有40,824 BTC。 由于Oljefondet拥有MicroStategy的1.51%股份,因此Oljefondet拥有的对应的比特币份额约为616.4424个。而据挪威统计局统计,截至2020年1月1日,挪威人口为5367580人。如果将Oljefondet拥有的BTC份额除以500多万挪威人,计算结果是每个公民拥有0.00011485 的比特币储备(价值约2美元)。 Oljefondet还拥有Square的股份。这家Twitter创始人Jack Dorsey拥有的付款处理公司购买了价值5000万美元的比特币,数量为4709。Oljefondet拥有Square的0.83%股份,其对应的比特币份额为39.0847,即每位公民可以获得0.00000728个比特币。 总而言之,以本文发稿时比特币的价格19242美元计算,每个挪威人目前都通过石油基金间接拥有价值约2.35美元的比特币。 此外,Microstrategy等机构投资者近期宣布将进一步筹集资金购买比特币。12月11日,MicroStrategy宣布完成价值6.5亿美元的高级可转换票据(convertible senior notes)的发行,旨在购买更多的比特币。这意味着,挪威公民对比特币的间接所有权将继续增加。 文章来源:这个国家的公民,平均每人至少拥有0.00012213个BTC
-
以太坊2.0信标链启动,还是买显卡挖矿的好时机吗?
ETH2.0信标链正式启动,ETH币价再次攀升到600美元附近,显卡价格跟风飙涨,参与者唱多者甚多。但ETH 2.0的到来,也为显卡挖矿的回本情况带来了不确定性。很多人开始纠结,现在到底还能不能入手定价昂贵的显卡? 今年以太坊挖矿收益博弈空间更大今年,以太坊的挖矿热度明显高于比特币。年初至今,以太坊算力涨幅超过80%,远超比特币算力涨幅。主要原因还是8月的DeFi行情,刺激ETH价格出现强势反弹所致。 目前,平价显卡已经到了一卡难求的地步。根据IT之家11月15日的消息,尽管英伟达新一代RTX 30系列显卡已经发售,但是大多数平台都处于断货或者高溢价的状态。华硕(ASUS UK)一度在官方推特上表示,会尽快完成显卡的交付,并建议买家直接与供应商联系。 有国外网友也po出了GeForce发来的致歉邮件,称其在10月订购的RTX 3070需求量极高,因此不能如期发货,预计要在11月20日或者更晚时候才能出库。 尽管厂商发出公告,将继续加大产能,但是预计在币价暴涨的短期内,很难缓解供需。积压的显卡订单可能多在12月之后发货,我们也了解到,芯动新推出的A10 Pro期货也将在12月-1月发出。因此,预计在12月之后,以太坊算力将持续迎来爆发式增长。 对于挖矿来说,币价向来先行于算力。在上一轮牛市中,ETH价格于2018年1月10日冲顶回落后,挖矿算力仍然一路暴涨,直至2018年8月6日才达到历史峰值。在比特币创新高的当下,尽管ETH价格持续暴涨,但仍却远未及前高。出于收益博弈空间更大、算力增长滞后于币价等原因,这波显卡矿机的入坑热度,显然还会持续一段时间。 ETH双链合并大概率不会早于2021年底ETH 2.0研究团队在11月最新的AMA活动中透露,目前,实现数据分片及合并的研究工作都已完成,只剩下工程开发和协调问题,同时,轻客户端、合并和分片将会并行开发,这种工作并行化意味着双链合并可能会提前到来。 不过对于开发者来说,由于要处理不断增生的ETH1,合并的协调工作会较为艰难。因此,Vitalik认为,针对合并和分片,我们要在2021年年底才能看到成熟的测试版本。这意味着,至少要到2022年,我们才有可能看到ETH1与ETH2的正式合并。 根据官方文档,阶段0(PoS)开启后,将有两条活跃的以太坊链,用户可以将ETH从ETH1(PoW主链)发送到ETH2(信标链),但是无法再将ETH迁回ETH1。12月1日阶段0的信标链正式启动。 到了阶段1,数据分片允许交易事务并行,将成为未来以太坊可扩展性提升的关键,这时,ETH1链和ETH2链仍将并行运行。阶段2则是整个系统的功能开始融合的阶段,分片链从简单的数据容器过渡到结构化链状态,并且将重新引入智能合约。而ETH1与ETH2的合并将发生在这中间的阶段1.5。 在彻底合并前,ETH1(PoW链)将保持活动状态,同时在ETH2(PoS链)上进行测试和过渡。这意味着网络上的ETH奖励将同时支付给以太坊2.0验证者和PoW矿工。因此,这两条链条的总通货膨胀率可能最初会飙升,但最终会趋向于0-1%。 V神曾经提到过,一旦ETH1与ETH2合并,PoW将不复存在。那么阶段1.5真正到来的时间点,将成为决定显卡矿工命运的最大变数。 PoW矿工后期面临的问题按照目前的市场报价入手6卡3080,组装机成本在4万以上,用币价=600美元时的静态算力测算,回本时间不到8个月。无论是边挖边卖币,还是攒币到高点卖,考虑到上涨趋势中,算力相对于币价涨幅滞后以及显卡高残值的情况,矿工的真正回本周期可能远小于目前的静态预测值,即21年年中之前就能回本。那么在21年底甚至是22年才能发生的双链合并,对当下的矿工来说,并无太大影响,甚至还可能获得超额回报。因为合并前,以太坊可能出现没有新增算力,但是币价暴涨的情况。 然而,对于一些要在春节后才能交付的显卡或者品牌矿机来说,回本情况和收益的不确定性将会加大,因为其回本时间可能晚于合并。 正如前文所述,以太坊当前的并行开发,可能会导致合并比预计的时间要早。如果ETH突破1440美元的前高,锁定的ETH价值预计将超过10亿美元甚至更多,合并的时间关乎这部分质押用户资金的释放,在资金利益的驱使下,开发者可能更有动力将合并时间提前。 此外,有一种说法是:一旦ETH彻底转为PoS,原有的矿工算力可以转到其它小币种上,继续进行显卡挖矿,并最终带动小币暴涨。但是,这种观点存在两个问题: 1. 在加密货币投资者逐渐理性的当下,一些实用价值不大的小币,真的会只因为矿工算力的切换就升值吗? 2. 如果小币种承接ETH切来的巨额算力,矿工收益摊薄后,可能将加速挖卖提,并导致小币价格持续下跌。比如,现在除ETH外最大的显卡挖矿币种ETC市值仅为7亿美元,并且频繁有遭受51%攻击的负面新闻爆出,其市值和…
-
DeFi手把手教程 | 如何质押HEGIC获得ETH和WBTC奖励?
众所周知,Hegic是一个去中心化的期权协议,但还有很多朋友不知道,质押HEGIC可以获得平台手续费的奖励,而且奖励币种还可以自己选择:ETH+WBTC或者HEGIC,今天,我就来教大家如何购买和质押HEGIC。 01如何购买和质押HEGIC? 目前,已经有很多的交易所上线了HEGIC,包括币安、OKEx、MXC抹茶、Gate.io,去中心化交易所Uniswap、Sushiswap、1inch这些DEX更不用说。咱们以OKEX为例。 在OKEx APP首页搜索“HEGIC”,找到HEGIC交易对,目前有两个,分别是HEGIC/ETH和HEGIC/USDT。也就是说,可以用ETH或USDT来买入HEGIC。 买入完成后,需要提币到自己的钱包,笔者用的是MetaMask钱包,imtoken或MATH钱包应该也是可以的。提币时,需要输入自己钱包的以太坊地址(HEGIC的地址和以太坊地址是通用的)。 假设现在你的以太坊钱包里已经有了HEGIC,接下来,我们来看看,如何质押HEGIC来获得分红奖励? 其实,在Hegic官网hegic.co就提供了质押服务,但官网质押的门槛较高,需要888000个HEGIC,按照目前的市价,约合人民币155万左右,这个门槛大部分人够不到。 于是,一些开发者开发了“拼多多”版的质押网站,分别是zlot.finance和hegicstaking.co,这两个网站也被收录在Hegic的官网。 在这两个网站质押HEGIC,没有最低数量的要求,用户可以将HEGIC存入,来获得奖励。 那么,这两个网站有什么不同呢? 最大的不同是,在ZLOT,用户获得的奖励是HEGIC,也就是将HEGIC存入之后,过段时间再取出来,HEGIC的数量会变多,而在hegicstaking这个网站,用户获得的奖励是ETH和WBTC,对的,你没看错。也就是说,存入HEGIC,可以源源不断的获得ETH和WBTC,简直就是一台比特币+以太坊矿机。 具体操作也很简单,基本就是APPROVE HEGIC,然后再DEPOSIT就可以了,操作有问题的可以给我私信。 02质押HEGIC的回报和风险有多大? 咱们先说风险。 质押HEGIC的风险主要在哪里呢? 1、HEGIC价格下跌,收益不足以覆盖本金的缩水。就好比你去银行存钱,银行利息2%,但每年人民币贬值4%,这样,实际上存钱是不划算的。 2、质押网站被黑。这个概率很小,比交易所被黑和钱包被盗的概率还要小,因为代码都是经过测试的。 那么,接下来,我们来聊聊,质押HEGIC的收益大概有多少呢? 由于平台每天的期权成交量是动态的,所以,质押的收益也是一个随平台成交量波动的数值。 根据Hegic日前公布的季报数据,年化收益率APY在大概55%左右。参见下图倒数第三行。 当然,社区成员也做了一个计算器来计算质押收益,网址是https://hegician.finance/rewards。 03Hegic相关网站一览 Hegic虽然是由匿名开发者Molly独自开发而来,但时至今日,已经有众多的开发者为Hegic添砖加瓦,社区开发者们开发了各种各样的工具来追踪和提升Hegic,可以参看这篇文章牛市不慌张,去看一下都有哪些应用。 DeFi的崛起已经毫无疑问,而去中心化衍生品赛道将成为兵家必争之地。除了龙头Synthetix,Hegic目前稳居第二,拥有巨大的先发优势和广阔的想象空间,去中心化期权和保险势必会在不远的将来成为众多机构和用户的不二选择。 hegic导航网站https://hegic.world/ 文章来源:DeFi手把手教程 | 如何质押HEGIC获得ETH和WBTC奖励?
-
区块链周报 | OKEX即将开放提币;多个DeFi项目遭黑客闪电贷攻击
摘要:OKEX即将开放提币;Paypal首月加密货币交易额达到币安美国的65%;Galaxy Digital Holdings收购两家加密货币交易公司;本周多个DeFi项目遭遇黑客攻击;波卡平行链1.0代码完成,可随时上线。本周2家上市公司披露区块链相关业务或计划。据PANews统计,本周公布的区块链领域项目融资收购案共14起,涉及金额约2.13亿美元(不包括尚未披露具体投融资金额的项目),投融资项目范围涉及与DeFi、数据分析、安全、NFT等领域。 1.美国财政部官员:美国国税局正在评估不同的加密货币征税方式美国财政部税务政策办公室高级顾问Erika Nijenhuis表示,美国国税局(IRS)正在评估有关加密货币税收规定的不同方式。Nijenhuis还关注每种方式给加密货币相关方(比如交易所)带来的负担,以及每种方式带来的一系列好处,比如提高合规性。据此前报道,美国国税局在2020年1040号表格“美国个人所得税申报表”草案指导方案中指出,在2020年涉及虚拟货币的任何交易都需要在加密相关问题中勾选“是”选项,包括虚拟货币交易、兑换和出售、通过空投和硬分叉等活动获得的虚拟货币以及将虚拟货币兑换为商品或服务等的活动。 2.新加坡央行高管:新加坡央行正专注于开发批发CBDC新加坡央行和新加坡金融管理局首席金融技术官Sopnendu Mohanty表示,新加坡已准备好推出自己的央行数字货币。Mohanty指出,新加坡对于零售CBDC的需求不大,因为该国的支付系统基础设施已经可以实现个人之间的快速廉价支付。而新加坡央行正专注于批发CBDC的开发,该批发CBDC将用于促进金融机构之间的证券结算和支付。 3.吉尔吉斯斯坦央行正起草法律草案以规范加密货币行业吉尔吉斯斯坦中央银行正在起草一项法律草案,以规范该国的加密货币行业。根据公告,央行表示,该法律草案将规范加密货币的买卖,目的是打击欺诈性加密货币计划和金融犯罪,以及保障消费者和投资者的权利。该行还预计,加密立法也会遇到自身的障碍,许多私人加密货币的跨境性质将使法律在没有适当的监测和基础设施下难以执行。(Cointelegraph) 4.Brian Brook被提名任美国货币监理署署长,率领OCC推动美国银行向加密货币企业开放11月21日消息,由Brian Brooks担任代理署长的美国货币监理署(OCC)提出了一项意见稿,以防止银行基于风险以外的其他因素歧视企业。这对于无法使用银行服务的加密货币公司产生正面影响。拟议的规则将使加密货币企业能够更多地使用银行服务,除非它们涉及某些特定的风险。此前有消息称,美国总统特朗普已提名Brian Brooks由OCC代理署长担任署长,任期达五年。据悉,Brooks是前银行高管,在Coinbase担任总顾问之后,于3月加入货币监理署,自5月份以来一直担任该机构的负责人,是加密友好改革倡导者。 1.OKEX公告即将开放提币,徐明星透露配合调查详情11月20日消息,OK集团创始人徐明星发朋友圈回应近日的风波。其表示因为在几年前完成了一起股权并购交易,由于被并购方涉及了一起复杂的司法案件,所以被要求配合调查,现在已经被还以清白。 11月19日傍晚,OKEx发布公告称将恢复提币,表示由于众所周知的原因,OKEx平台的提币功能暂停了一段时间,目前问题已经得到解决,有关人员已经返回工作岗位。公司将于2020年11月27日(HKT)前开放自由提币。在此之前,我们将进行严格的安全检查,恢复热钱包系统的安全稳定运行,确保用户资金安全。OKEx自成立以来坚持100%准备金,不会出现挤兑现象。 2.Galaxy Digital与CI GAM合作推出新比特币基金11月17日消息,加密商业银行银河数码(Galaxy Digital)与全球资产管理公司CI GAM合作,宣布共同推出新比特币基金CI Galaxy。CI GAM将负责管理,而Galaxy Digital则将担任其子顾问。该比特币基金定价采用彭博银河比特币指数(Bloomberg Galaxy Bitcoin Index),该指数是衡量比特币兑美元的表现。尽管该基金的总规模尚不清楚,但该基金将以每股10美元的价格提供A类基金和F类基金。(Finance Magnates) 3.资产管理巨头摩根溪和Exos向美国SEC提交比特币基金申请11月19日,摩根溪和Exos Financial向美国证券交易委员会提交了一只新的比特币(BTC)基金申请。如果获得批准,这只基金将为机构投资者提供另一种做多比特币的方式,而不会有直接持有比特币带来的波动性风险。Kevin Rooke报道说,摩根溪-Exos风险管理比特币基金已提交给美国监管机构。这只基金打算通过内置机制直接提供比特币敞口,以在定量信号转为负值时减少配置。 4.美国资…
-
OUSD遭“经典重入攻击”损失770万美元,DeFi安全亟待解决
近日,PeckShield 监控到 DeFi 协议 Origin Protocol 稳定币 OUSD 遭到攻击,攻击者利用在衍生品平台 dYdX 的闪电贷进行了重入攻击(Re-entrancy attack),造成价值 770万 美元的 ETH 和 DAI 的损失。 重入攻击是以太坊智能合约上最经典的攻击手段之一,著名的 the DAO 被盗事件就是攻击者运用重入攻击导致以太坊硬分叉,损失价值 5000 万美元以太币。 自今年4月起,DeFi 项目频遭重入攻击。4月18日,黑客利用 Uniswap 和 ERC777 标准的兼容性问题缺陷实施重入攻击;4月19日,Lendf.Me 也遭到类似重入攻击;11月14日,黑客利用 Akropolis 项目的 SavingsModule 合约在处理用户存储资产时存在的某种缺陷连续实施了 17 次重入攻击,损失 203万 枚DAI。 北京时间 2020 年 11 月 17 日,PeckShield 监控到稳定币 OUSD 遭到重入攻击。OUSD 是 Origin Protocol 推出的一种与美元挂钩的 ERC-20 稳定币,用户可通过将基础稳定币(例如 USDT、USDC、DAI)存入 Origin 智能合约来铸造 OUSD 稳定币,之后该协议会将基础稳定币投资于多个 DeFi 协议并进行收益耕作,为 OUSD 持有者赚取回报。 重入攻击重现 凭空创造2050万枚OUSD PeckShield 通过追踪和分析发现,首先,攻击者从 dYdX 闪电贷贷出 70,000 枚ETH; 随后,在 UniswapV2 中先将 17,500 枚ETH 转换为 785万 枚USDT,再将所贷剩余的 52,500 枚ETH 转换为 2099万 枚DAI; 接下来,攻击者分四次铸造 OUSD 稳定币: 第一次通过 mint() 函数铸造 OUSD 时,攻击者确实在 Origin 智能合约中存放了 750万 枚USDT,并获得 750万 枚OUSD; 第二次通过 mintMultiple() 多种稳定币函数铸造 OUSD 时,攻击者在 Origin 智能合约中存放了 2050万 枚DAI 和 0 枚假“稳定币”,并在此步骤中通过重入攻击来攻击合约。攻击者将 2050万 枚DAI 和 0 枚假“稳定币”存入 VaultCore 中,此时智能合约收到 2050万 枚DAI,在尝试接收 0 枚假“稳定币”时,攻击者利用恶意合约进行劫持,在智能合约正常启动铸造 2050万 枚OUSD 之前,调用 mint() 函数,先恶意增发了 2050万 枚OUSD,此次恶意增发由 VaultCore 合约调用 rebase() 函数实施。 值得注意的是,为顺利实施劫持,攻击者在上述 mint() 函数调用时,真金白银地存入了 2,000 枚USDT,同时获得第三次铸币 2,000 枚OUSD。随后,调用 oUSD.mint() 函数第四次铸造 2050 万枚OUSD。 rebase 指代币供应量弹性调整过程,即对代币供应量进行“重新设定”。在 DeFi 领域有一类代币拥有弹性供应量机制,即每个代币持有用户的钱包余额和代币总量会根据此代币价格的变化而等比例变动。此时,攻击者共获得 2800.2万 枚OUSD,包括抵押的 750万 枚USDT、2050万 枚DAI 和2000 枚USDT。由于调用 rebase() 函数,攻击者所获得的 OUSD 总计上涨至 33,269,000 枚。 最后,攻击者先用所获得的 33,269,000 枚OUSD 赎回 1950万 枚DAI、940万 枚USDT、390万 枚USDC;再在 Uniswap 中将 1045万 枚USDT 兑换为 22,898 枚ETH,将 390万 枚 USDC 兑换为 8,305 枚ETH,将 190万 枚DAI 兑换为 47,976 枚ETH,共计 79,179 枚ETH,并将其中 70,000 枚 ETH 归还到 dYdX 闪电贷中。 据 PeckShield 统计,攻击者在此次攻击中共计获利 11,809 枚ETH 和 2,249,821 枚DAI,合计 770万 美元。 对于次攻击事件,Origin Protocol 官方回应称,正在积极采取措施,以期收回资金。 随着 DeFi 生态的蓬勃发展,其中隐藏的安全问题也逐渐凸显,由于 DeFi 相关项目与用户资产紧密相连,其安全问题亟待解决。 对此,PeckShield 相关负责人表示:“此类重入攻击的发生主要是由于合约没有对用户存储的 Token 进行白名单校验。DeFi 是由多个智能合约和应用所组成的’积木组合’,其整体安全性环环相扣,平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查,还要在不同产品做业务…
-
深度 | ETH2.0:PoS质押给ETH带来深远影响
随着以太坊存储合约的发布,人们对ETH2.0越来越感兴趣。ETH2.0是对当前以太坊的升级,它要解决以太坊的可扩展性和费用等问题。在过去的几个月,几乎所有加密用户都深有感触:以太坊太拥堵了,费用太贵了。而ETH2.0要改变实现共识的机制,要进行分片,要缓解以太坊拥堵问题,要为DeFi生态构建更好的基础设施。那么,ETH2.0跟如今的以太坊有什么不同?首先,刚开始存在两条不同的链。ETH2.0是PoS链,跟当前以太坊的PoW链是两条不同的链。未来两者最终会融合。 ETH2.0并不是一次性实现,它是一个庞大系统工程。按照以太坊的规划,ETH2.0一共有三个主要阶段: *Phase 0(阶段0)*Phase 1(阶段1)*Phase 2 (阶段2)不过,这三个阶段是并行推进的,并不是人们想象中的线性推进。从整体来说,ETH2.0会带来PoS共识、分片、新虚拟机(eWASM)等。 (人们想象中的ETH2.0开发路线和实际的不一样,Meeseeking) 其中,Phase 0以信标链为主。Phase 0从2020年7月以来测试了4个多月,如今发布了ETH存储合约,这意味着ETH2.0 信标链(beacon Chain)要正式开始启动。一旦12月1日前一周,其质押的ETH达到524,288个ETH(也就是16384个验证者)即可正式启动主网。 Beacon Chain是PoS链,也为将来分片链管理做准备,它涉及到质押者的管理,质押资金的管理;随机数生成器;随机挑选区块生产者;组成验证者委员会,对提议区块进行投票;质押者的奖励和处罚等等。 在Phase 0启动之后,以太坊网络会有两条链,一条是PoW链,代币为ETH1,还有一条是PoS链,代币为ETH2。用户可以将ETH1转移到ETH2,并成为验证者,但目前是单向移动。用户无法将ETH2兑换回ETH1。 Phase 1以分片为主。Phase 1计划部署64个分片,加上信标链,一共有65条链。信标链是枢纽链,它跟其他64个分片进行双向沟通。Phase 1主要涉及到在分片链写入数据,同时实现有效性和共识。 Phase 2在这个阶段,开始系统的融合,新的虚拟机支持账户、合约、状态的执行,可以将之前熟悉的工具移植过来等。总言之ETH2.0的是一个庞大的工程,至少需要几年时间才能最终完成。 (ETH1x、ETH2和Rollup的关系,Trent Van Epps) 那么,ETH2.0的启动,对于普通用户来说有什么值得关注的地方? ETH2.0的PoS质押会锁定大量的ETH 当前DeFi市场锁定了780万个ETH,当前价值超过37亿美元。 (DeFi中锁定的ETH,DEFI PULSE) 不过,随着ETH推出其存储合约,ETH的最终锁定量未来会远超这个级别,短期内估计会超过500万个ETH存入,而中长期看,至少1000万以上的ETH进入质押合约。 随着钱包、交易所、DeFi协议以及ETH质押服务网络的进入,甚至有可能达到2000-3000万ETH的质押存入。一方面是因为进入门槛降低,最主要的还是基于目前ETH2.0的质押回报率。 (ETH质押数量多少和收益之间的关系,ethereum.org) 从图中可以看到,质押1000万个ETH,其年化收益也能达到5.72%,超过目前市场上ETH的存储收益,即便是3000万个ETH的存入,其收益率也能达到3.3%,而且其收益是按照ETH计价的,如果ETH价格上涨,收益还会更高。 同时,如果考虑到当前有相当比例的ETH已经躺在钱包里一年没有动过,这意味着在未来的一段时间内,ETH的实际流通量还会继续下降。随着PoS的成熟,ETH会逐渐变成低通胀资产,甚至随着EIP-1559提案的实施,还有可能成为通缩资产。关于EIP-1559提案,可以参考蓝狐笔记之前的文章《以太坊EIP-1559与ETH的价值捕获》。下文也会提及。 目前不少人担心ETH2.0能不能如期启动,更担心会有多少人愿意将其ETH存入到存储合约,目前刚刚超过10万多个,距离最低要求的524,288个ETH还有很远距离。 这里面有几个问题还需要解决。随着这几个问题的解决,一是启动不会是问题,只是早晚,大概率在今年内完成启动;二是,随着越来越多的ETH2.0质押服务网络的涌现,普通用户也可以参与到ETH2.0的质押中来,这些质押服务网络会解决如下几个问题: *ETH数额小无法参与的问题。像Rocket Pool这样的质押服务网络,按照其计划,只需0.01ETH,即可参与质押,赚取其中的收益; *验证节点的技术门槛问题。虽然设置节点并不太复杂, 但对于多数普通用户来说,还是挺麻烦的,而质押服务网络可以帮助用户解决这个问题; *质押代币的流动性问题。目前不少人不参与质押,是因为担心ETH转入存储合约后,暂时无法转账和…