Uniswap停矿是11月大事件之一,市场一度期待Uniswap停矿后,由于产量下降,减少二级市场抛压,Uniswap的代币会形成一定支撑。
然而,Uniswap停矿后TVL(锁仓量)暴跌近一半,UNI的价格在接下来四日跌逾20%,交易量一度跌逾50%。如今距离Uniswap停矿已过去一半,Uniswap价格虽逐渐企稳,但始终没有迎来停矿后起飞的局面,而元气大伤的TVL较停矿前仍处腰斩状态。
Uniswap延长流动性挖矿?
Uniswap停矿后,关于项目后续的发展一直受到社区追随者的热议,热议包括反思流动性是否必要,甚至激进者提出应当嘉奖Uniswap客户端的用户。
争议仍围绕Uniswap的代币UNI后续的供应上。
今日,Uniswap延长流动性挖矿提案成为正式治理提案,该提案以90.81%的支持率顺利通过。该提案旨在维持现状,保留了四个流动性池,但却减少了激励。
而关于维持流动性挖矿的社区思考主要如下:
1、流动性挖矿对于分配UNI很有用
2、UNI的分配对于协议下放很有用
3、协议的分散性对于有效治理很有用
但每个月UNI但分配总额将从原来每月1000万UNI缩减至每个月500万UNI,持续两个月,换句话说,未来两个月UNI开放减半后的流动性挖矿。
四个流动性矿池的分配情况如下:
2、USDC/ETH-125万UNI/月
3、USDT/ETH-125万UNI/月
4、DAI/ETH-83万UNI/月
提案进展更新后,UNI在24小时内出现轻微涨幅,截至发稿,UNI单价在3.5美元/枚上方,未回到停矿前水平。Chainhill联合创始人steven向币圈财经表示,LP积极性减弱最终影响交易池深度,对Uniswap的基本面造成了一定影响。
“现在市场的热点会在一系列创新型的交易所上,比如减少无常损失的尝试、还有期货期权的去中心化交易所。而YFI的创始人Andre已经开始做期权、现货和借贷了。现在就看Uniswap V3具体怎么改进,据说会切换回限价订单薄,但是能不能改进现在还未知。”
关注DeFi新玩法
Uniswap停矿为直接、间接竞争对手都带来了机会。其中最令人称道的就是Sushiswap的反攻,借着Uniswap停矿,发起了小型吸血鬼式攻击,短暂了承接将近一半的Uniswap的资金,而币价一改颓势。
虽然Sushiswap此后的tvl遭到curve的反超,但近两周,震荡中的SUSHI已站稳1.4美元/枚上方,且Sushiswap多个改进方案正在提上日程,其中就包括借贷、保险、期权等。
上周YFI 创始人 Andre Cronje发文介绍了自己的新项目 Deriswap,并表示自己对资金效率着迷。据悉,Deriswap是一款集大成作品,涵盖期权、期货、借贷、二级市场等功能,目前Andre Cronje尚未公布更多信息。
根据 DeFiPulse 数据显示,衍生品总 TVL 达近 9 亿美金,其中锁仓量达5000万美元对期权产品Hegic近30日锁仓增幅翻了2倍。而知名投资机构如Multicoin Capital、Three Arrows Capital、Coinbase ventures等已经押注了defi衍生品赛道。
面对进化后的竞争对手,Uniswap显然需要与时俱进。
不过,值得注意的是,Uniswap停矿后,根据defiplus数据,defi市场的tvl近13日并未持续增长,而是进入震荡中(甚至轻微下跌),有分析认为资金有一部分逃逸转而参与了今年另一个封口:ETH2.0。
文章来源:Uniswap停矿后为什么冲不动了?
溫馨提示:本站所提供的資訊信息不代表任何投資暗示,本站所有資訊僅代表作者個人觀點,與幣圈財經官方立場無關。
相关推荐
-
独家丨ETH何时通缩,验证者收益多少?这个工具告诉你
随着EIP1559的部署,我们每天都会在各大加密媒体上看到ETH销毁量的报道。就在今天,总销毁的ETH数量已经超过5万个。ETH通缩之日离我们还有多远?影响ETH的供应量变化的都有哪些参数?本文将介绍一个追踪并模拟ETH供应量变化的工具。 ethmodel.io为我们提供了两个模拟工具:ETH Supply Simulator以及Validator Yield Simulator。 ETH Supply SimulatorETH供应量模拟器记录了ETH的历史供应量(蓝线)和通胀率(紫线)数据,方便我们很轻松地找到每一天的具体数据。正如图所示,这个工具记录了很多ETH的“大事件”,比如ETH的第一次gas limit调整“Frontier thawing,”ETH的第一次硬分叉“Homestead”,信标链启动,EIP1559部署等等,非常具有历史意义。我们看到,事实上ETH的通胀率一直在下降,2019年以后,年通胀率基本已经维持在5%以内,ETH供应量上升的斜率也不断在变小。 ETH供应量后续会怎么变化呢?这里我们要考虑三个条件:1、验证者增加情况;2.PoS的激活情况;3.EIP-1559的Base Fee情况。 验证者增加情况我们定义为每个区块时间加入激活队列的新验证者的数量。当前情况下,我们假设每个区块时间平均增加3个验证者。这一数据取自2021年1月15日到2021年7月15之间新激活验证者的平均值。验证者的增加速度高于或低于此正常情况时,用户可以自行对该参数进行调整。目前模拟器中,最大的值为6,即2倍于当前的增加速度。验证者增加情况对于供应量和通胀率的影响较小。 在当前模型下,我们假设2020年3月1日PoS正式激活。这一日期来自于以太坊社区的共识。不过,PoS的实际启动时间很难预测,毕竟以太坊2.0的开发进度实在是不那么可控。但是,PoS的启动对于ETH能否实现通缩起到至关重要的作用,毕竟PoS能马上大幅降低网络的增发率(理论通胀率仅为0.4%)。 当前模型并没有采用每个区块的历史最低gas价格来推断未来合理的均衡Base Fee,而是采用了2021年5月4日到2021年8月4日这三个月的中位数来移除了EIP-1559实施之前的0交易费异常值(比如因为Flashbots bundles产生的),毕竟EIP1559之后交易不再可能0交易费。使用Dune Analytics query,我们计算出90天的中位gas价格为30Gwei。Base Fee是自动销毁的,因此Base Fee越高,燃烧的ETH越多,自然ETH也越接近通缩,未来通缩的力度也越大。 按照当前的条件,我们预计在2020年3月迎来通缩。而在最理想的条件下,即不再新增验证者,PoS于2021年12月启动,Base Fee拉高到100Gwei,通缩时间预计在今年12月初。 Validator Yield Simulator验证者收益也是大家非常关心的问题。 这个模拟器里面,我们同样会看到验证者增加情况和PoS激活时间这两个指标。这里我们还有EIP-1559 Priority Fee和MEV两个指标。 在实施EIP-1559之后,以太坊的交易费用将转变为基础费用加小费的形式 (分别为 Base Fee 和 Priority Fee),其中基本费用将被自动销毁,而非分配给矿工 (矿工收入为小费部分)。因此,在PoS正式启动之前,Priority Fee都被矿工收入囊中,与验证者并没有关系。那么,仅对于验证者收益来说,自然是Priority Fee越高越好。 在这个模型里面,我们使用分阶段方法来估算平均Priority Fee: Proof-of-Stake启动前: Priority Fee = 2 Gwei/gas(需要补偿叔块风险并考虑可能的零星交易) Proof-of-Stake启动后:Priority Fee = 1 Gwei/gas(无需补偿的叔块风险,即只考虑可能的零星交易) 对于MEV,也就是矿工可提取价值,这其实一直以来都是一个很难量化的参数。目前我们也无法知道EIP-1559和MEV之间会产生什么影响,还需要进一步的研究数据。但是有点和Priority Fee类似的是,MEV只有在PoS启动后才会分配给验证者。 综上所述,验证者增加的越慢,PoS启动时间越早,Priority Fee和MEV越高,那么验证者的收益率越高。 根据模型当前的参数(每区块验证者增加3,PoS于2020年3月启动,Priority Fee=2Gwei,MEV=0.02ETH/区块),从8月5日(伦敦分叉)开始计算,到2024年1月20日,验证者累计收益率可达到约13%。 文章来源:独家丨ETH何时通缩,验证者收益多少?这个工具告诉你
-
研报:全面比较十大Defi蓝筹的代币模型、现金流与护城河,谁是价值捕获之王?
研究机构:Mint Ventures 研究员:许潇鹏 有过股票投资经历的投资者们,大都听过“蓝筹股”这一概念,并且对股票市场中的蓝筹股如数家珍。在中国市场谈到蓝筹股,投资者会讨论贵州茅台、招商银行和格力电器,美股投资者则会提到苹果、亚马逊、微软等大公司。 而从今年初开始,“Defi蓝筹”的概念开始被加密资产的投资者们频繁谈及。从这个概念出发,本文尝试回答以下问题: 关注和理解Defi蓝筹项目,有什么意义? 在快速迭代的Defi领域,目前哪些项目称得上“蓝筹项目”? 各Defi蓝筹项目当下估值横向比较,谁高谁低? 这些项目有多大的可能性继续“蓝”下去?其竞争优势的来源是什么? 如果将2020年视作Defi爆发的元年,我们都是Defi蓝筹项目从初生到成长的见证者,对于以上问题的讨论并没有一个终极答案,但是对它们的持续思考,相信能带来很多启发。 第一节我们理解的Defi蓝筹—— ▌1.关注Defi蓝筹项目的意义在开始讨论什么是Defi项目之前,我们有必要思考一个问题:把某些项目从众多的Defi中挑选出来,评估后打上“蓝筹”的标签,这样行为的必要性是什么? 首先,我们可以从对蓝筹的研究中找到优秀Defi崛起并维持市场占用率的背后逻辑并从中学习,这对于加密从业者的投资或创业都有帮助; 再者,蓝筹项目是从开放市场竞争中胜出(虽然只是暂时)的实力选手,对他们进行投资,有希望捕获Defi赛道后续发展的长期红利; 最后,我们可以将优质的蓝筹项目做成一个资产组合进行投资,以相对较小的波动,追求超越Defi赛道项目平均收益的业绩。 实际上,选取行业内具有代表性的项目,将其编制为指数基金产品的方式在2020年就已经出现,比如由Defi Pulse和Set Protocol合作创建的Defi Pulse Index(简称DPI),并就该指数发行了代币供投资者投资,用以跟踪该Defi资产组合表现。 截至2021年7月13日,DPI指数代币相对于发行日(2020.9.9)的涨幅为155.73% DPI指数的成分代币基本囊括了各赛道的头部项目(2021.7.13日数据) ▌2.何为Defi蓝筹蓝筹(Blue Chips)的概念来自于赌场,由于赌场内蓝色筹码最值钱,所以后来人们把证券市场里中那些市值高、经营业绩好的股票称为“蓝筹股”。除了市值和业绩之外,蓝筹股的特点往往还包括:在其所属行业内占有重要支配性地位、成交活跃、红利优厚。 由此,我们可以对Defi领域的蓝筹项目给出一个定义:Defi蓝筹是那些具备高流通市值、经营业绩好、被加密投资者广泛认可的项目。它们应该具备以下特点: 市值排名靠前 协议收入较高且稳定 在所处的Defi赛道内位于领导地位 被其他Defi协议广泛采用 交易活跃,流通性好 ▌3.我们眼中的Defi蓝筹根据以上标准,我们从目前众多的Defi协议中选出了10个蓝筹项目: 以上Defi项目基本符合我们所定义的蓝筹项目条件。我们发现,交易类项目占据了半壁江山(Synthetix也可以归入交易类),总市值占据10大蓝筹市值的比率为49.5%,借贷和货币协议类则占比24.6%,而预言机龙头Link单个项目就占到22.9%。这一市值数据也基本客观体现了当下的行业格局:交易和借贷是目前Defi市场最重要的基础设施,同时也捕获了行业的大部分的收益和价值,而预言机作为所有Defi项目的基础设施,也被市场给予了极高的估值。 第二节Defi蓝筹的商业模式与代币价值捕获—— 蓝筹项目的代币之所以能承载如此之大的市值,来源于其项目的商业模式,以及其代币在商业模式中捕获的经济价值,或是潜在的经济价值。 接下来我们就以上10个蓝筹项目的商业模式以及代币价值捕获形式进行分析。 ▌1.蓝筹项目的商业模式及代币的价值捕获能力A.交易平台类本位所列的4个蓝筹交易平台项目均采用AMM自动做市商机制,其主要的商业模式是通过连接做市商和交易用户,为交易用户提供交易服务,而交易产生的大部分手续费将作为做市商的做市奖励,一小部分将作为平台的协议收入。 Uniswap 收入模式 Uniswap是AMM机制的发扬光大者,也是目前以太坊上交易量和活跃地址数量最大的平台。Uniswap的营收主要是交易手续费,V2版本的交易手续费统一为0.3%,而V3版本的初期支持的费率为0.05%、0.3%和1%,根据交易对的不同有所不同。 代币价值捕获 Uniswap的唯一代币是Uni,于2020年9月16日宣告发行,初期总量10亿枚。 需要注意的是,Uni代币不是总量不变的,在发行4年后,将开始每年2%的通胀。 目前的Uni主要的代币场景包括—— Uniswap协议的治理:包括关键参数的修改等 Uni社区金库的分配:可以决定占到目前Uni总量45%的社区金库的分配和使用 Uniswap协议手续费的开关和参数…
-
被AC合并的下一个项目会是谁?
在宣布不再为任何项目站台后,Yearn.Finance 创始人 Andre Cronje(AC)继续活跃在 DeFi 一线,开始通过合并打造自己的 DeFi 版图。 AC 的动作很快,不到 1 个月的时间里,多达 7 个 DeFi 项目被收入囊中,其中包括做衍生品的 Hegic,机枪池 Pickle,借贷平台 Cream、治理平台 Powerpool、保险产品 Cover Protocol 、波卡 DeFi 治理项目 Akropolis、兑换平台 Sushiswap,以及刚刚宣布的 KP3R 与 ChainLink 的合作。这似乎已经有了一套标准流程,就连 AC 每次推文的内容格式都一样。 同样,每条推文都会为各自的主角带来二级市场上夸张的上涨,PICKLE 80% 的涨幅,CREAM 70%,只涨了 30% 的 SUSHI 可能已经算最差的表现了。AC 这两个字母逐渐成为了一种概念,也有不少人开始押注其他的 DeFi 项目,希望可以搭上这趟「AC 概念」列车。 那么,下一个会是谁呢? AC 下一个潜在可选项 图片来源:COIN98 梳理了一遍 AC 目前的「合并」版图,发现一个很有趣的现象,机枪池领域的 Pickle、借贷领域的 Cream、保险领域的 Cover 以及通用兑换领域的 Sushiswap 都不是各自领域中的「老大」,虽然所谓的「合并」不需要通过社区进行链上投票,但 AC 却没有选择与 Compound、Nexus Mutual 以及 Uniswap 进行合作。 按照这个逻辑,我们看看 AC 帝国里还缺少哪些版图,AC 又会选择钦点哪个项目呢?。 稳定币兑换 稳定币兑换一直是 DeFi 领域中至关重要的一环,相比于普通类似于 Uniswap 以及 Sushiswap 这样的通用兑换产品,稳定币专属兑换产品能够让用户享受到更低的滑点以及更低的交易费用。 那么稳定币兑换赛道除了 Curve 外还有什么别的项目呢? 图片来源:Defipulse 或许人们第一个想到的就是 Curve 的分叉项目 Swerve。Swerve 的无私募无预挖的理念也与 AC 的社区理念极为吻合。Curve 总锁仓量以 9.18 亿美金位居总锁仓量榜第 6 名,而 Swerve 只有 2800 万美金,我们可以看出相比于 Curve,Swerve 更有可能成为 AC 的扶持对象。 另一个可能的选项是 mStable。虽然起初拿到了 FTX 母公司 Alameda Research 的投资,但之后被曝出其私募代币份额疑似被提前解锁,最终导致其代币 MTA 暴跌 40%。同时 mStable 有属于自己的稳定币 mUSD,这或许会对 yEarn 生态的未来发展有一定的辅助作用。 合成资产 如果想将更多实体资产引入加密世界,那么使用合成资产则是最高效的一个方案。 合成资产本就是 DeFi 领域中设计难度最高的部分之一,不同于去中心化交易平台、去中心化借贷平台和聚合收益平台的多样化,该部分还没有太多的竞争项目。 合成资产领域首先能想到的就是 Synthetix,这是一个老牌的 DeFi 资产衍生品协议,在 Synthetix 平台可以无滑点的按当前价格直接交易大额数量的合成资产,而交易只能用 sUSD 进行支付,sUSD 又要来自于 SNX 抵押生成得到。sUSD 如今也是 DeFi 行业的重要稳定币之一。 早在 10 月 21 日,AC 就曾参与 Synthetix 团队的电话会议,讨论 KP3R 的相关问题。 除了 Synthetix 外,合成资产领域还有 UMA。如今 UMA 的锁仓量维持在 4500 万美金左右,市值为 4.3 亿美金。UMA 曾获得 Placeholder、Dragonfly、Coinbase 投资。用户可以利用 UMA 合成资产创建器来创建链上合成资产以追踪任何现实世界资产的价格。合约模板可使用以太坊区块链外的价格指数,构建金融合约需要存入担保品,或者说「保证金」。与 Synthetix 的差异是抵押物和债务在 UMA 中是孤立的,这样可以降低了系统性风险,但随之而来的是降低了一定的流动性。 虽然如今 Synthetix 和 UMA 发展到达了一定规模,但如果 AC 有意愿向该领域进军,这两个项目或许会是他的首选。 点石成金背后的隐忧 虽然 AC 最近高产,并带着他的 YFI 军团「高歌猛进」,但还是要意识到其中的一些问题。首先这所谓的「合并」没有经过社区的投票决定,要知道 AC 所合并项目基本都是高度社区化的,开发者不经过社区的同意就与 YFI「合并」,是否违背了社区自治的理念呢? 其次诸多合并是否能真正达到 AC 整合资源及分工合作的目的,也需要时间来验证。 AC 曾在《Merger, Acquisition, Pa…
-
比特币市值已接近黄金市值的7%,5年内价格可能涨到20万美元?
比特币今天又刷新了历史新高,比推数据显示,撰写本文时,比特币市值约为7,698亿美元左右,其市值已达到黄金市值的6.8%,接近7%。 在CNBC的采访中,亿万富翁投资者Chamath Palihapitiya做出了他对比特币的最新预测:5年内达到20万美元。 Chamath Palihapitiya是Social Capital的创始人兼首席执行官,Social Capital曾获得Peter Thiel投资,并帮助维珍银河上市。2018年,该公司与Tribe Capital共同牵头为加密交易平台SFOX进行了2270万美元的融资。 Palihapitiya解释道,比特币之所以这样疯涨,是因为越来越多的美国投资者意识到他们的国家领导人不值得信任,美国社会结构正在逐渐分裂,他们需要在其投资组合中增加对冲。 他还表示,比特币将“最终过渡成为更重要的事物”,但目前,它仍将作为投资组合对冲。 Palihapitiya从2012年开始投资比特币,他在2017年曾表示比特币在2037年之前可能达到100万美元。 在这次的采访中,Palihapitiya还调侃道:“2012-2013年的时候,比特币最低才200多美元,每当我在CNBC谈论比特币时,您能想象当时的人们在电视前是怎么嘲笑我的吗?” 图片来源:The Block 作者 Mary Liu 本文来自比推Bitpush.News,转载需注明出处。 文章来源:比特币市值已接近黄金市值的7%,5年内价格可能涨到20万美元?
-
Synthetix年终总结:明年计划做V3,未来一年扩展到数百亿美元规模
注:本文来自Synthetix创始人Kain。 很难相信从2020年1月1日到现在才365天。这么多的事情不仅发生在Synthetix内部,而是发生在整个DeFi世界。在一篇文章中很难将其全部涵盖,但我会试着挑出其中的亮点。我将用一种稍微不同的方式来回顾这一年,我不会简单地列出我们做过的事情,我将列出所有在2019年底还不存在的东西。 让我们回到2019年12月31日午夜,回顾一下当时的项目状态。说实话,当你意识到当时的DeFi建设是如此之少时,你会感到有些震惊。 首先在当时,我们仍然处于“半仁慈的独裁者模式”,并且Synthetix基金会仍然存在。这个项目只有不到10人参与,这一点直到今天很多人都没有发现。我们已经度过了2018-2019年的“寒冬”,我们的烧钱速度降低到了只推进项目至关重要的部分,因为我们无法知道市场复苏和熊市结束可能需要多长时间。 我们在2019年底的改进提案只到了SIP-34,一年后我们达到了SIP-103。通过SCCP我们当时也只做了9个变量的改变,现在是67个。 那一年我们用的还是中心化的预言机!当时,Chainlink只处理外汇汇率和大宗商品数据。我知道这令人震惊。 我们仍然专注于L1,还没有发现Optimistic Ethereum的魔力。 grantsDAO还刚刚在Garth脑中闪现,Spartan Council只是Andy眼中的一丝微光。事实上,当时的Andy来的还没synthetixDAO早。 Kwenta是Synthetix.Exchange的一个尚未命名的UX(用户体验)升级版本。我当时强烈反对,但它几乎在独裁者刚被废黜的时候就开始了,这真是太巧了…… 费用回收甚至还没有启动,如果你感兴趣,我将在几天后发表另一篇文章,详细概述整个费用回收以及Synthetix协议抢先交易的历史。 Virtual Synths还没有构思出来,更不用说部署了。主要是因为我们还没有通过费用回收来打破可组合性,这是我们错失的一个很大的机会。 SNX代币每天在DEX(去中心化交易所)和CEX(中心化交易所)上的交易金额为几百万美元,流动性极其薄弱,加上清算甚至还没有开始。我们现在在所有交易场所拥有数千万美元的交易量,而SNX是DeFi中最具流动性的ERC-20代币之一。 没有多少人意识到这一点,但你过去可以推迟6周收回费用,当我们进入2020年,这已经减少到两周,但我们预计将申请减少到一周,目前尚未部署。 虽然我们在2019年7月推出了流动性激励措施,但我们尚未推出抵消债务池倾斜的反向激励措施。看起来有点疯狂,我们只是随意地让协议100%地倾斜了一年,却没有实施任何解决它的措施。我想,要么对冲,要么死亡。 我不得不检查两次,但在2020年初,protocolDAO甚至还不存在。也许事实是pDAO随机数现在已经达到1600,但感觉它存在已经超过10个月了…… 另外,我们还没有使ETH作为抵押品,当然其他人也没有。当然,我们也没有通过renBTC或新的做空机制推出比特币抵押品,这些都是在2020年底推出的。 今年年初,sUSD曲线池也没有出现。sUSD现在的流动性比2019年底时高了几个数量级。有趣的是,Andre Cronje在经历了一些早期的摩擦后,促成了Michael和我之间的协议,让sUSD池消除了一些早期的摩擦。还有什么是他做不到的…… 整个2019年Justin都被要求“一个月的冲刺”来处理技术上欠下的债,到2020年我们终于厌倦了他的抱怨,结果就是Opsec冲刺,它解决了无数无聊的事情,我在这里就不讲了。但我听说那很重要。如果你失眠了,这里有详细内容可以看。 合作伙伴计划还没有启动,所以我们当然没有预料到年底有超过12个参与者。 2019年,只有少数有远见的机构投资者加入了这个项目,以提供流动性,你知道他们是谁。到2020年,几乎所有活跃的DeFi机构投资者都加入了Synthetix网络,这成为了一股浪潮。我预计,一些拒不妥协的人最终会在2021年投降,加入这场狂欢。 我们仍然在运行我们的老品牌,主要的更新直到2020年末才发生。 Binary options还未发行,虽然它们获得了一些即时的牵动,但我们相信最好的方法是将选择扩展到独立项目中。有几个团队已经提交了解决方案。如果你有兴趣参与,可以访问Discord,因为我们还没有完成这个过程。 限价订单并不存在,新的机制将在2021年初部署。我们确实获得了不同的费用,这是一个巨大的用户体验改进,允许Synths根据社区的共识产生不同的交易费用。 期货也即将发布,但是考虑到预言机的延迟问题,我们决定推迟到L2主网再发布,同时明年年初将会运行一个测试网。 质押池当时还没有上线,xSNX的上线是一个巨大的里程碑。这与dHedge的上线相结合,证明了Synt…
-
Pickle Finance被盗2000万美元的启示
注:本周六,DeFi协议Pickle Finance因其Jar策略中存在的漏洞,而被黑客盗走了2000万美元,此后,由Rekt、Stake Capital 团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救,作者Rekt对这次事件进行了总结。 金融的发酵还在继续,即使是酸黄瓜也有保质期。 Pickle Finance因为一个假“Pickle jar”漏洞而被黑客盗走了1970万DAI。 Pickle Finance已成为了这次黑客大流行病的最新受害者。 然而,这一次,有一些不同… 当Twitter上的人们试图接受另一次金融灾难时,Rekt 开始了调查。 我们联系了Stake Capital 团队,他们查看了代码并警告我们其他Pickle jar可能面临风险。 随后,我们迅速联系了Pickle Finance团队,并在Sketch Capital(@bneiluj,@vasa_developer)成员以及有经验的开发者@samczsun,@emilianobonassi之间建立了一个作战室。 在我们进行调查后,很明显,我们看到的是与最近几周的DeFi乐高风格黑客事件非常不同的东西。 这不是一次套利。 攻击者对Solidity和EVM有着很好的了解,并且可能已经密切关注了一段时间的Yearn代码,因为这个漏洞与一个月前在Yearn中发现的漏洞类似。 从本质上说,Pickle Jar就是Yearn yVaults的分叉,这些Jar是由一个名为the Controller的合约控制的,该合约具有允许用户在Jar之间交换资产的功能。 不幸的是,Pickle并没有设置白名单允许哪个Jar使用这个交换功能。 黑客制造了一个假的Pickle Jar,并交换了原Jar中的资金。这是有可能的,因为swapExactJarForJar没有检查“白名单”jar。 Pickle Finance团队知道他们需要帮助,并非常愿意与其他人合作,以防任何进一步的损害。 Pickle曾试图调用“withdrawAll”函数,但这笔交易失败了。 这个取款请求需要通过治理DAO,而这存在12个小时的时间锁(timelock)。 只有一个Pickle多重签名组的成员有能力绕过这个时间锁,而当时他们正在睡觉。 这意味着管理者无法清空Pickle Jar,但这并不能保护他们免受另一次黑客攻击。 随后,Pickle Finance和Curve发出警告,要求用户立即从Pickle中提取资金,然而,潜在易受攻击的Pickle jar中还有5000万美元,而白帽团队调查了这一漏洞,并检查了剩余资金的安全性。 救援小队要么叫醒睡着的管理员,要么自己抽干这些jar内的资金。 这个小队必须克服5大挑战: 让Pickle Finance团队跨多个时区聚集在一起,通过将交易推到12小时时间锁(通过6个多重签名中的3个)提取资金,以拯救这些资金; 让成千上万的投资者提出他们的资金(并阻止他们在资金池TVL下降和APY膨胀到1000%以上时再进行再投资); 对其他jar进行安全检查,看看是否有可能发生更多攻击; 在任何人再次攻击这些jar之前,复制这种攻击,将资金转移出来; 在试图挽救剩余的5000万美元资金时,避免被抢先交易; 我们还能继续依赖伪匿名白帽黑客的帮助多久? 显然,与保护者相比,攻击者的动机更为一致,那白帽黑客为什么要协调这样一次艰苦的反击? 荣誉归白帽,资金却归黑客,这是不可持续的。 要让这些白帽变黑,还需要多久时间? 分析 通过发布这些技术信息,我们意识到我们可能会引发新的黑客攻击。我们与Pickle Finance及其他开发人员讨论了潜在的后果,并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。 选择性披露会带来责任的一个方面,所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉,他们应该要意识到正在发生的事件,并采取预防措施来防止黑客模仿者。 下面的图表是由@vasa_develop创建的。 原始文件可以在这里找到。 关于更多详情,请参阅此处官方的调查报告。 看看相对较新的保险协议Cover Protocol如何处理这一事件是有趣的,这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。 腌渍酸黄瓜是一个缓慢的过程。 几十年来,“敏捷开发”的倡导者一直在告诉开发人员,要快速行动,迅速失败,并发布最小的可行产品。 这些想法不适合在敌对环境中建设。 在DeFi中迅速失败是要付出巨大代价的。 我们不需要另一种方法,我们需要一个范式转换,允许快速迭代,同时减少被攻击的可能性。 我们不要再认为“拥有审计就拥有了安全的保证”,在大多数情况下,它是…
-
资深交易员 Tone Vays 警告称,在“灾难性”一周之后,比特币又一次崩盘——这是他的下行目标
经验丰富的投资者 Tone Vays 表示,比特币(BTC)正处于另一次崩溃的边缘,这可能会将领先的加密资产的价格推至 2022 年的新低。 在一个新的策略会议上,Vays 告诉他的 121,000 名 YouTube 订阅者,随着 BTC 试图“拼命”守住 19,000 美元的水平,比特币的前景仍然黯淡。 “[The] 周线图再次出现了灾难性的蜡烛。这是一个红色的星星蜡烛。除非出现大幅反弹,否则它将在低点附近收盘,但这是假期周末,所以我对此表示怀疑……目前,这是看跌的……四天图表,也是看跌的。这就是为什么我们有 [100%] 现金。” 从日线图来看,Vays 表示,比特币正处于突破 19,000 美元支撑位的边缘,他指出这可能引发另一场抛售事件。 “日线图正在为 MRI [动量反转指标] 买入做准备。那是好消息。坏消息是什么?坏消息是我们即将打破非常关键的支撑,这可能会使比特币的价格大幅下跌,因此我们将密切关注这一发展,希望下周初的 MRI 购买将是一个不错的转机类似于两周前发生的事情。” 资料来源:Tone Vays/YouTube 从 Vays 的图表来看,突破比特币的直接支撑位可能会将 BTC 推至他的目标价 14,500 美元左右。 在撰写本文时,BTC的易手价格为 19,215 美元。转向 Vays 的目标意味着按市值计算的顶级加密资产的下行潜力接近 25%。
-
无限代币授权 —— 我们能做些什么?
近来以太坊上最火爆的领域就是 DeFi。主要的 DeFi 应用包括 ERC20 代币的借贷、质押和交易。若想在 Uniswap、Aave 和 Yearn 等DeFi 协议上使用 ERC20 代币,你需要授权 dApp 来使用这些代币。这就是所谓的 *ERC20 授权* 。这些授权对于 DeFi 平台的运作来说必不可少,但是如果不加以控制,那将是非常危险的。 ERC20 授权的必要性 有了以太坊上的原生代币 ETH,你就可以将 ETH 发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数(payable funtion)实现的。但是,由于 ERC20 代币本身就是智能合约,你无法通过直接将代币发送到智能合约来调用其函数。 因此,ERC20 标准让智能合约使用 transferFrom() 函数代表用户转移代币。为此,用户需要允许智能合约代表他们转移代币。 这样一来,用户就可以将代币“存入”智能合约,同时智能合约会更新其状态来显示这笔存款。相反,如果你将 ERC20 代币发送至该智能合约,则合约不会更新其状态(例如,将这笔存款记入你的账户)。 例如,如果你将 DAI “存入” Aave 来赚取利息,你首先要允许 Aave 合约从你的钱包中取出一些 DAI。然后你调用 Aave 合约里的函数,指定你想要存入的 DAI 的数量。然后,Aave 合约使用 transferFrom() 函数从你的钱包中取出相应数量的 DAI,并将同等数量的 aDAI 代币记入你的账户。 无限 ERC20 授权的危害 将特定数量的 ERC20 代币(如 100 DAI)存入合约时,你就可以选择将授权额设成这个数量。然而,许多应用会向用户要求无限授权。 这会带来极好的用户体验,因为用户不需要在每次存款时重新授权。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。 但是,该设置存在很大的弊端。众所周知,即使是成熟的项目,也有可能存在漏洞。一旦你给了这些平台无限授权,不只是你的存款会陷入风险之中,你的钱包中的代币也是如此。 在 Devcon 5 上,我第一次与 Paul Berg 谈到了这个问题。在这次大会上,Paul 就本文所讨论的问题做了陈述。在开发 Sablier 时,Paul 在他的智能合约中发现了一个漏洞(已经修复了!),不仅所有存入该智能合约的 DAI(100 美元)有风险,所有测试者的钱包中的 DAI(1 万美元) 也是如此! 实际风险 长期以来,无限授权的风险主要是理论上的。在 Paul 所开发的 Sablier 平台正式上线之前,这个漏洞就被修复了。当时,还没有出现利用 ERC20 授权的攻击,但是只要平台继续要求无限授权,迟早会出状况。 去年,我们已经看到了几起利用 ERC20 授权的攻击事件。 意外漏洞 今年早些时候,Bancor 出现了一个漏洞,危及用户资金。执行 ERC20 transferFrom() 函数的函数变成了 public 属性(不再是 private 合约私有属性),因此任何人都可以执行该函数,并取走用户钱包中的资金。Bancor 执行了一次白帽黑客攻击,控制了损失,并将资金还给了用户。 恶意利用漏洞 除了 Bancor 的意外漏洞之外,还有很多恶意利用漏洞的情况。在今年夏天的 DeFi 热潮中,人们都在为各种以食物命名的 DeFi 分叉产品狂欢,其中也包括一些骗局。即使人们为了规避风险只存入少量代币,他们钱包中的代币也会因为无限授权而陷入风险。 ZenGo 就在一个名为 UniCats 的项目中发现了可利用漏洞。人们可以存入 Uniswap(UNI)代币,然后通过流动性挖矿获得 MEOW 代币(MEOW 代币是无法伪造的)。但是如果要存款,用户必须提供 无限授权。如果项目遭到攻击,攻击者不仅可以拿走项目的存款,还可以拿走用户钱包内的所有 UNI 代币。 另一个例子是 Degen Money 项目。Degen Money 项目采用了一种不怎么高明(但还挺 “有效”)的办法。这个项目没有开发自己的智能合约,而是创建了一个前端来进行两次授权交易。一次是向一个运行中的智能合约,另一次是向完全不同的地址。 由于很多人没有专门检查钱包地址,这就导致攻击者可以取走用户钱包中的代币。 那硬件钱包呢? 总的来说,硬件钱包比手机、手提电脑和基于浏览器的钱包安全的多。原因是,控制资金的私钥安全地存储在硬件钱包中,并且永远不会离开该设备。因此,通过硬件钱包,你可以确保没人能窃取你的私钥。 ERC20 授权的问题在于,没人需要窃取你的私钥才能从你的钱包中取走代币。因此,硬件钱包也无法防范本文所讨论的恶意利用漏洞问题。 使用硬件钱包依然是一种好习惯,因为硬件钱包确…