来源:鸵鸟区块链,作者:Rachel
今日晨间,起源协议Origin Protocol稳定币OUSD被爆出遭到闪电贷攻击,Origin Protocol共损失225万美元的DAI和100万美元的ETH。随后不久,Origin Protocol创始人Matthew Liu发文公布Origin Dollar(OUSD)闪电贷攻击事件细节。
文中表示,此次闪电贷攻击已造成约700万美元损失,其中包括Origin以及创始人和员工存入的超过100万美元资金。Origin团队正在全力以赴确定漏洞原因,以及确定是否能够收回资金,并强调,团队不会离开,此次攻击事件不是欺诈,也不是内部骗局,称黑客技术卓绝,愿意聘请其为安全顾问,如果黑客全额归还资金,将不对其进行追踪也不采取法律措施。截止目前并没有进一步进展。
Origin并特地提醒用户,目前已取消了金库存款,不要在Uniswap或Sushiswap上购买OUSD。Origin团队也表示正在采取措施以追回资金,包括和交易所以及其他第三方合作,以此识别出黑客地址,对资金进行冻结。黑客使用Tornado Cash和renBTC来洗钱和转移资金,目前还有7137枚ETH和224.9万枚DAI留在黑客钱包中。
来源:medium
受到攻击事件的影响,OUSD价格出现急跌,跌至0.13美元,同时Uniswap中OUSD流动性也从16日的35万美元跌至12万美元。
至于具体的攻击手法,根据目前Origin团队的分析,攻击者是利用了一笔小额贷款和OUSD合同中的漏洞来启动所谓的“变基” ,在将SushiSwap和Uniswap上新产生的代币交换为USDT之前,攻击人为地夸大了协议中OUSD代币的供应。
在过去短短的三周时间里,这已经是第五个遭受闪电贷攻击的DeFi项目,Harvest Finance、Akropolis、Value DeFi和Cheese Bank,损失均在百万美元级别以上,大部分损失最终都是散户在买单。那么闪电贷攻击到底是什么?为什么DeFi总是遭受黑客攻击?
01 闪电贷:迷人又危险
可能大部分用户最早听到闪电贷攻击这个名词,是在今年2月bZx遭受闪电贷攻击,当时攻击者仅用时13秒即套利36万美元,虽然bZx通过admin key限制了操纵人提现,使攻击者无法真正套利,但自此之后“闪电贷”开始频繁成为热门话题,巨额的套利收益抓人眼球。
闪电贷Flash Loan隶属DeFi生态,DeFi热度全面起来之后,各种安全问题随之而来,闪电贷就是一种常见的攻击方式。闪电贷与传统的DeFi借贷有很大的不同,传统的DeFi借贷要求用户在前期对贷款进行超额抵押,也导致资金利用率较低。而闪电贷则允许借款人无需抵押资产即可实现借贷,只要求借款人必须在同一个区块中偿还即可,否则就会被收回,整个交易回滚,闪电贷也不会发生。
闪电贷在极大提高资金利用率的同时埋下了安全隐患。一笔链上交易可以做很多事情,使得用户可以在借款和还款间加入其它链上操作,这就存在了作恶的空间,很多用户恶意利用闪电贷借入、交换、存入并再次借入大量的Token,人为地在DEX里操纵Token价格。这出现了目前常见的闪电贷攻击。
有人曾这样评价闪电贷,“闪电贷之于DeFi,就是一个核弹,而且开关摆在广场上,它的危险程度用PoS类比,相当于任何人可以通过付利息的方式来借用全网Staking进行51%攻击。”试想任何一个普通用户分无分文却可以控制巨额资金,空手套白狼,谁人不心动,这或许是只有区块链才能带来的的新奇金融世界。
但是有一点需要表明的是,用户利用闪电贷进行的一系列套利行为从交易的本身来讲是被允许的。技术没有对错,闪电贷只是一种工具,如果错了那么就是因为使用工具的人。
02 DeFi:新奇又脆弱
闪电贷攻击自bZx攻击事件之后频繁发生,但是闪电贷攻击并不是DeFi生态中真正的系统性根源风险,究其根源在于Oracle(预言机)攻击,闪电贷攻击往往只是对Oracle的攻击。Oracle是连接链上DeFi应用和链下数据的中间件,由于使用去中心化的Oracle网络,在多个交易所中存在交易量和流动性差异,那就加大了Oracle攻击风险。
据samczsun.com网站研究人员发布的报告,在2020年,针对价格Oracle操纵行为非常多,迄今为止已导致逾3000万美元损失,而且没有放缓的迹象。还指出,多年来基于可重入性的攻击已经减少,而基于价格Oracle操纵的攻击现在正在上升。
其实很多闪电贷攻击并不涉及到任何区块链及智能合约的漏洞安全问题,这让避免闪电贷攻击变得难以捉摸,攻击发生之时也没有太多时间留给项目反应。很多闪电贷套利事件发生的前提条件只是因为在不同的DEX中存在价格差。
区块链安全公司CertiK针对这种价差套利提出了两点建议,第一,从控制价格差的角度思考,不同交易所之间建立价格同步机制或者采用同一种价格预言机,可以降低套利事件发生的概率;第二,从执行套利事件的智能合约角度思考,对涉及交易数目巨大的交易采取额外的验证步骤或者提高对该种交易的交易费用,会减少套利事件的发生。
闪电贷发明的本意是让想开发者可以任意借贷而无需提供质押物,但也打开了潘多拉魔盒。
未来闪电贷不会消失,但会以何种形态继续发展不得而知,虽然有风险,但是在这之中确实看到了金融的创新,这是区块链的想象力,是DeFi去中心化金融所带来的新金融体验。DeFi本就是一场大型的社会实验,有成功自然也会失败,这还不是终点,等待DeFi的完美试验结果。
文章来源于互联网:三天三次闪电贷攻击,DeFi为何如此脆弱?
相关推荐: 受恐慌影响,火币比特币“涌入”币安,双方创全年流出流入记录
吴说区块链获悉,据CyptoQuant与Glassnode数据显示,11月2日开始火币平台的比特币开始“疯狂”流入币安交易所。火币的比特币流出与币安的比特币流入,均创下今年以来的纪录。而此前3个月流出流入走势相反,比特币一直从币安流入火币。恐慌情绪是主要因素。…
温馨提示:本站所提供的资讯信息不代表任何投资暗示,本站所有资讯仅代表作者个人观点,与币圈财经官方立场无关。
相关推荐
-
DFINITY创始人兼首席科学家Dominic Williams:互联网计算机是区块链领域的第三大创新丨2021世界区块链大会
7月25日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心举行。本次大会由杭州时戳信息科技有限公司(巴比特)主办。 在WEB 3.0×分布式存储论坛上,DFINITY创始人兼首席科学家Dominic Williams发表了主题演讲《互联网计算机:精英企业家和开发者如何解锁Web3》。他表示,互联网计算机是能够使公共互联网托管以网络速度运行的智能合约,不受任何承载能力限制,可以托管形形色色的系统和服务。互联网计算机扩展了公共互联网,从而可以成为世界的计算平台。此外,互联网计算机可以使区块链成为传统 IT 栈的完全替代品,其目的是承载人类的逻辑和数据。 他特别指出,互联网计算机是继比特币引入加密资产以及以太坊引入智能合约以后区块链领域的第三大创新。 以下为巴比特整理的演讲全文: 本次演讲,我的目标是花大概5分钟,给大家简要介绍互联网计算机,那么我们开始吧! 互联网计算机项目的目的是扩展互联网,使其更加强大。 今天,互联网是一个连接所有人和所有事物的网络。但是,系统和服务目前是通过私有基础设施运行的,仅以太坊上的 DeFi除外。 互联网计算机区块链将能够使公共互联网托管以网络速度运行的智能合约,不受任何承载能力限制,这样它可以托管形形色色的系统和服务。 互联网计算机扩展了公共互联网,从而可以成为世界的计算平台。显然,这是一个巨大的范式转变,将改变一切。 简要介绍一下我们的团队。Definity基金会是一个总部设在瑞士的非营利组织科学基金会,在苏黎世、帕洛阿尔托、旧金山和东京运营着研发中心,同时在德国和英国等地有远程团队。我们有将近200名员工,雇佣了世界上最好的学术机构、加密行业和世界领先的技术组织。新的组织也有加入。例如,互联网计算机协会最近在日内瓦成立,代表了生态系统各个参与者的利益。 互联网计算机是区块链领域的第三大创新。 首先,比特币,在2009年引入了传统的加密货币,起到了数字黄金的作用。其次,以太坊引入了智能合约,使得数字黄金可以用于去中心化的金融系统。 现在,互联网计算机引入了不受限制的区块链,其无比强大的速度、容量和可用性都使人们得以重新想象区块链上的一切。 这条区块链提供了托管智能合约和其数据的无缝的、无限的能力。 互联网计算机是由 ICP 协议创建的,ICP 是互联网计算机协议(Internet Computer Protocol)的缩写,其主治理代币就是由此得名的。ICP 创建了世界上第一个网络速度、网络服务的公共区块链网络,该网络可以根据需求提升其能力,并具有自治性。它结合了世界各地独立数据中心的独立第三方大规模运行的特殊节点机器。像所有的区块链一样,它不可被停止 ,它所托管的代码是防篡改的。 互联网计算机托管特殊的智能合约,称为“canister(容器)”。一个canister(容器)是WebAssembly 字节码逻辑集合,你可以用任意高级语言,比如 Rust 或 Motoko语言,以及代码运行在其中的内存页面来创建它。 一个关键的突破是,互联网计算机可以承载任意数量的canister(容器)式智能合约,因此,任意数量的数据,完全在链上,而且,可以并发运行,这意味着可以处理任意数量的计算。 也就是说,你能够创建可伸缩的 Dapp。例如,可以创建一个代币化的社交媒体服务,但是仍然保留智能合约的优势。 canister(容器)是不可停止且不可篡改的。互联网的最初设计是能够抵御核打击,互联网计算机也是如此。你甚至不需要防火墙来保护托管的canister(容器)系统——因为多亏了区块链的数学设计,智能合约是防篡改的。还有许多其它的突破。 canister(容器)可以服务网络内容直接给最终用户,用户可以与区块链服务互动,而不必持有代币。 它是用户友好的,用户可以无缝地使用他们的设备验证自己的身份,例如苹果笔记本电脑上的指纹识别,这样系统和服务首次从端到端区块链安全中获益。 互联网计算机可以将许多东西建得更好。例如,可以用于建立代币化的互联网服务、泛产业平台、去中心化的财务系统,甚至传统的企业系统和网站。 令人难以置信的是,互联网计算机可以使区块链成为传统 IT 栈的完全替代品。 然而今天,大多数 dapps 都是由智能合约和运行在云端的不安全网站组合而成,所以用户永远不能确定他们是否在与智能合约互动,而在互联网计算机上,整个系统和服务可以连接在一起。而且它的速度、容量和可用性几乎可以支持任何构建。 对于开发者来说,这代表着一场革命,因为他们可以在笔记本计算机上,甚至在网页浏览器上编写canister(容器)代码,然后上传到网络空间,通过智能合约,创建全新的系统和服务,所有这些都不需要复杂的传统 IT。 当然,他们也能够在互联网服务的设计中应用区块链的代币化,或者利用其他区块链的特性。 互联网计算机的目…
-
币圈投资,为何受伤的总是你?
近日,飒姐团队接到多起币圈投资引发的纠纷咨询,由于诉讼标的为虚拟货币,无论是提起民事诉讼还是刑事报案都会遇到区别于传统维权的特殊法律问题。为避免金融科技的老友们踩雷,我们将在本文梳理币圈投资产生纠纷的原因,以及介绍币圈投资过程中须注意的一些事项。 币圈投资风险产生的原因 为何币圈投资容易产生纠纷,飒姐团队认为,可以从如下两个维度进行分析: 其一,币圈投资缺乏周全的监管环境。不同于二级市场、债券甚至私募基金等相对成熟的资本市场投资类型,除银发[2013]289号文与2017年的94号文对比特币等主流虚拟货币予以定性并赋予机构反洗钱义务之外,文件一刀切地否定了虚拟货币的融资可能与法币属性,致使币圈投资的灰色地带过多,监管规定涉及的区域过少。 从具体的表现来看,一方面,投资人难以判断受托方的运营行为是否合乎国内法律规范、是否会受到行政处罚、乃至被追究刑事责任。缺乏预期的不安定性使得投资人的抗风险能力不足;另一方面,否定的法律评价与缺位的监管现状致使受托方存在较高的道德风险,挪用代币的实践情形并不在少数。 其二,司法判决尺度不一。从近些年的判决倾向来看,既存在认定吸收代币违反强制性规定,否定投资合同效力的民事判决,亦存在认可主流虚拟货币作为财产性利益并进行偶发交易的民事判决,更是存在将个人的偶发场外OTC认定为非法经营罪的刑事判决。在此环境中,投资人无法确定自身投资行为是否能够得到法律保护,投资风险自然难以控制。 实践中的诉讼困境 当虚拟货币的回款存在阻碍时,投资人通常希望通过民事诉讼或者刑事报案的法律途径来获取赔偿或补偿。但不同于传统的投资项目,币圈投资存在固有维权难点,飒姐团队在此将为各位列举: 首先,寻求专业的法律帮助存在阻碍。很多有法律需求的投资人在获取法律咨询前,还需要向法律专业人士普及币圈常见名词与关联知识,这一情形使得咨询效率大幅度下降。如普及知识不够清晰,还可能会造成提供咨询方的错误理解与偏颇答案。 其次,案件取证与举证较为困难。由于投资标的为虚拟货币,其“转账”通过钱包地址进行,该等记录虽然记录在互联网上,但查询渠道却是通过各大币圈网站进行。当投资人向司法机关出示交易记录时,一来网站查询结果的证据效力相较银行转账记录有所不足,可能无法达到各类诉讼之证明标准,二来钱包地址的实名信息无法直接体现在查询结果当中,如何证明收币方是沟通相对方亦是实践难点之一。 最后,推进司法机关的工作较为困难。由于虚拟货币的交易存在较强的专业性,且圈子不大,特定类型的判例数量匮乏,具体到某一司法机关有相关办案经验的干警屈指可数。即便在一线城市,常见诉讼流程的推进都会遇到困难。以诉中保全为例,以操作困难为由拒不出具保全裁定的承办法官并不在少数,这就需要专业的诉讼代理人在常规化办案的同时,做好专业知识的普及工作且指明法理基础与操作方式。 对币圈投资人的建议 结合近期办案经验,飒姐团队为币圈投资人提供建议如下: 1.投资标的应为我国民法保护的财产性利益,即主流虚拟货币; 2.在所签订的投资协议上注明各方钱包地址、微信号、手机号等常用联络信息,并将争议的管辖地尽可能约定至一线城市的法院; 3.保留因投资行为而发生的一切交流底稿,包括但不限于聊天记录、通话记录等; 4.核实代币受托方的经营情况与偿还能力,不要轻信所谓的熟人介绍或小微型项目; 5.向法律专业人士在事前风险评估、事后权利救济等层面寻求帮助; 6.理性应对已发生的纠纷,在尝试寻求法律救济的同时,保留和解的余地。 写在最后 由于辐射范围较小,多数币圈投资项目尚不足以形成群体性事件的雏形。亦因此,投资人在寻求各类法律救济的过程中通常不会得到地方性政策的倾斜保护,也就是说,如何恰当运用法律技术已成为定纷止争的关键。为维护合法权益,飒姐团队希望币圈投资人能够做到前述事项,为后期可能发生的各类诉讼铺平道路,有备无患。 以上就是今天的分享,感恩读者! 文章来源:币圈投资,为何受伤的总是你?
-
周小川:发展电子货币也要求同存异,零售支付是基础环节
来源:华夏时报,作者:王永菲 冉学东 在“一带一路”的引领下,今年中国-东盟金融合作与人民币国际化更进一步,在后疫情时代,中国与东盟各国在跨境贸易、跨境金融以及服务面临新的机遇,推动跨境结算、资金融通的创新可以提升跨境贸易便利以及维护金融稳定。 11月23日-24日,2020中新(重庆)战略性互联互通示范项目金融峰会正式开幕。该峰会由中国商务部、中国人民银行、中国银保监会、证监会、国家万会管理局新贸易与工业部、新加坡管理金融局和重庆市人民政府联合举办。重庆市政府副市长李波在主持开幕式时表示:“今年是中国和新加坡建交30周年,中国东盟自贸区建设10周年,也是中新重庆战略性互联互通示范项目实施5周年,五年来中新金融合作,重点创新项目有利推进,跨境通融服务更加便利,交流合作实现常态化。” 中国人民银行行长、博鳌亚洲论坛副理事长、中方首席代表周小川在开幕会致辞时着重探讨了国与国之间数字货币贸易以及电子支付的发展。周小川表示,当前在疫情影响的情况下,数字经济受到重视得以发展,网上授课、在家办公等风行,零售支付时现钞使用也在减少,这就形成了大力发展数字货币和电子支付的好时机。中国和新加坡之间,各项金融合作历来积极、顺畅,不断结出硕果,在支付领域也一直保持密切沟通,互联互通。 零售支付是数字货币与电子支付的基础环节 “中新两国之间在数字货币和电子支付之间的合作,首先应该聚焦于零售支付系统。在零售支付系统中采用新技术可以提高效率,而且安全有效。世界各国在讨论数字货币的时候,侧重点是不一样的,有的人是侧重国际贸易支付,有的人侧重金融市场结算和支付,有的人侧重跨境汇款。”周小川强调,我个人看法是要注重于零售支付,包括了在本国支付以及诸如在国外旅游、购物等跨境支付,也就是经常项目的支付。 周小川表示,在国际贸易、金融市场以及汇款等方面,也会随着技术的发展有更新换代的需求,但是不如零售系统目前的升级换代需求迫切。零售系统是跨境交易最基础的合作点。他强调,如果跨国汇款很方便,但是落地之后使用人不能够用手中的货币直接零售支付,需要去兑换旅游目的地的货币,又得涉及到如汇率、外汇管理以及反洗钱等要求,这样便利性不能得到真正提高。 周小川举例提到,Facebook的Libra最开始的就是跨境支付,为解决在不同国家面临的外汇政策、反洗钱政策的麻烦以及因涉及到币种和汇率的问题不能便捷的零售支付,最初Libra试图以一揽子支付但面临着许多难以突破的问题。实际上跨国汇款、跨境贸易的一些障碍并不在技术方面,更多的取决于政策协调,能否为其提供方便性。 对于电子货币支付的发展,周小川创新性地提到发展电子货币支付也要求同存异。他指出,电子货币支付的发展不仅要看到本国或者两国之间的发展条件,中新之间的合作更要把目光瞄准到整个东盟地区甚至东亚地区。很多国家担心在支付数字化的过程中是否会影响到各个国家的货币主权美元化或者人民币化。各国的顾虑是可以理解的,毕竟不同国家宏观经济条件和债务水平不一样,因此要避免初始的时候强制推行某一种货币的情况,而是要尊重各个国家不同情况。 大国与小国的电子货币发展异同 从长远来讲,未来世界是否会有世界性的电子货币还很难说,周小川强调,当下可以以兑换为基础,在各个国家电子支付数字化基础上增强互联互通的方便性和效率,同时支持各个国家的货币主权。目前从全球情况来看,在电子支付数字化的过程中,大国和小国面临的挑战和需要解决的问题有共同之处也有不同之处。对于小的国家来说,有利条件是大胆进行新技术尝试,如果发现不是最优,可以进行升级换代或者更改方案,时间成本不会太高。但是对于大国如拥有14亿人口的中国这样的国家,方案需要进行调整的话,需要很高的时间成本以及风险。他提议,特别希望规模比较小的国家大胆尝试为世界提供其实验和推广的结果。 周小川继续指出,对于大国来说,可以容得下各种不同方案的实验,就如同中国发展自由贸易区,有21个自由贸易区,其中所采用的自由贸易政策的侧重点是不同的。从不同的实验结果中寻找好的经验,通过竞争最优贸易区,最终对全国示范并做推广。新加坡有条件比较快地推出方案与进行实验,也为我们提供了经验。 中国有若干个初步论证可行的方案正在进行试点。不久前,国际清算银行和7国集团发表了关于央行数字货币CBDC的报告,初步归纳了前段时间各种尝试的进展,作了一些有益的归纳。 周小川称,在技术更新换代比较快的时候,发展的规划要注意动态演变,也得跟上更新换代,以及对不断试错的包容。“中国在这种考虑的情况下开设了DCEP的试点,我个人也是一个外部观察者。央行数字货币发展的同时,我也特别注意到了不要出现脱媒,并支持双层结构,让第二层机构能够发挥更大的积极性主动性。”他说,CBDC存在着不同路径和风险,在贸易支付方面,并不是当前所需要关注的重点 数字资产交易存在着各种不确…
-
DeFi之道丨生产性DeFi资产更值得持有吗?数据告诉我们答案
此外注:原文作者是Bankless分析师Lucas Campbell。 今天,DeFi代币主要有两个分类:生产性和非生产性。 非生产性 DeFi 代币是我们都熟悉和喜爱的经典“无价值”治理代币,像UNI和COMP这样的代币就是完美的例子,尽管它们自诞生以来,已产生了数亿美元的收入,但这些代币只是代表了参与治理的权利,而没有现金流权。 另一方面,我们也看到了像SUSHI 和 AAVE 这样的生产性DeFi 代币的出现。这些是加密资本资产的圣杯,因为它们同时代表了治理和链上现金流的权利。与非生产性代币不同,它们允许持有者以协议费用(在某些情况下为通胀奖励)的形式获得被动收入的回报。 对于 Aave 来说,持有者可以在安全模块中进行质押,他们的资金将作为最后的抵押品。作为回报,他们从生态系统储备和协议费用中获得奖励。同样,SUSHI 持有者可选择质押他们的代币并获得 xSUSHI,以此获取Sushiswap 产生的所有费用的 16.6%。 直觉上,我们会认为生产性资产更具优势 ——即认为它们总是投资者的更好选择。但事实可能并非如此,归根结底,投资最重要的还是市场表现。 与传统金融一样,最重要的可能不是代币是否拥有现金流权。相反,推动估值的是基本面的增长,如交易量、收入、用户等。 本文使用一些定量的证据来支持这个说法,因此,我们将使用两组类似的协议,其中一组具有生产性资产,另一组具有非生产性资产。 这两组协议分别是(1)Uniswap和Sushiswap以及(2)Compound和Aave。 苹果与苹果的比较 1、Uniswap和Sushiswap 当然,理解任何 DEX 代币(如 SUSHI 和 UNI)的关键指标就是交易量。这是衡量去中心化交易所采用度和成功度的一个基本指标,更高的交易量意味着协议产生更多的费用收入,这会推动这些DeFi代币的价值。 而在交易量方面,Uniswap是占据优势的,根据Token Terminal的数据显示,2021年初Uniswap的日均交易量大约是7.33亿美元,随着上个月Uniswap V3的推出,Uniswap的日均交易量已增长到14亿美元,较年初时翻了一番。相比之下,Sushiswap在年初的日均交易量仅略低于4亿美元,目前则增长到5.6亿美元,在过去6个月里,Sushiswap温和增长了42%。 交易量和费用是直接相关的,因此日收入图和上面的交易量图相同也就不足为奇了。但这些收入对两个协议的意义有一个关键的区别。如前所述,SUSHI 持有者可以质押他们的代币并获得xSUSHI,这实际上代表了获取协议产生的所有收入的16%的权利。另一方面,UNI是没有这种收入的,协议所产生的收入都流向了流动性提供者(LP)。 此外,Uniswap从年初至今的收入增长率达到了72%,LP 的每日收入达到 330 万美元。相比之下,Sushiswap 今年的收入仅增长了 42%,LP 的每日收入为160万美元(xSUSHI 持有者每天能获得大约25万美元的收入)。 (注:如果Uniswap采用和Sushiswap相同的方案,那么“xUNI 持有者”今年有望赚取超过2.2亿美元的费用!如果质押率和Sushiswap相同,则意味着UNI质押者将获得7.55%的年化回报,几乎和Sushiswap相同) 归根结底,只有一个指标对投资者很重要:即价格表现。每个投资者都想押注最快的马,而市场是这方面的最终裁判。尽管 UNI 不具有现金流权,甚至它是一个相对静态的治理生态系统,但它的表现仍然优于 SUSHI。 经过一番挖掘后,我们可以看到这是有道理的。UNI在推动DEX(交易量和收入)估值的关键领域超过了SUSHI。然而,我们还应该强调一个重要的方面,它可能直接影响今年两者的表现:代币供应时间表。 Sushiswap 在 3 月下旬经历了一次大规模的SUSHI代币解锁,同时它继续以每周为单位为LP提供流动性挖矿奖励。而Uniswap则没有向市场投放代币的计划,大量的代币都掌握在团队和投资机构手中,这可能是SUSHI在3-4月经历下降的关键因素。 话虽如此,这两个协议都经历了丰收的一年,今年以来,SUSHI代币价格上涨了189% 以上,而UNI则上涨了378%。 获胜者:“无价值”的治理代币 2、Compound 和 Aave Compound 和 Aave之间,与 Uniswap和Sushiswap有着类似的对比关系。Compound代表着以美国VC支持的进展较慢的借贷协议,而Aave正好相反,其团队和社区采取了“快速移动”的路线,同时通过引入 Aavenomics 赋予 AAVE 代币现金流权。 但这些又有什么可比性呢?与DEX和交易量类似,借贷协议需要关注的一个关键问题是借贷量的增长。 更多的借贷量转化为LP更好的利率,从…
-
深度丨 Vitalik 提出的EIP-2938将给以太坊带来哪些改变?
以太坊有两种类型的账户。外部自有账户(EOA)和合约账户(CA)。EOAs 由私钥控制,而 CA 由其中包含的智能合约代码控制。EOAs 一直比 CA 更有特权,因为只有 EOAs 可以通过支付 gas 开始交易执行。账户抽象 (AA) 是一个提案,它允许合约像 EOA 一样成为一个 ” 顶层 ” 账户,其可以支付费用并开始交易执行。 账户抽象的动机是显著改善用户在钱包、 DApps 和 DeFi 等各种场景下与以太坊进行交互时的用户体验。账户抽象在以太坊中提供了一个基础层的功能,来决定什么时候可以支付 gas,以及对谁支付 gas 等问题。 Status Messenger 应用集成了一个以隐私为中心的信息系统,以及一个以太坊钱包和一个 Web3 DApp 浏览器。Status wallet 目前是一个 EOA 钱包,它限制了我们提供只有智能合约钱包才能提供的丰富的用户体验,如多重签名安全、社交恢复、利率限制、允许 / 拒绝地址列表和无 gas 的元交易。目前智能合约钱包的用户体验到了 gas 费波动的影响,并且第三方中继器无法有效解决这个问题。而账户抽象旨在解决这个问题。 在本文中,我们提出了智能合约钱包背景下对账户抽象的需求。然后,我们通过描述协议变化和对节点的影响深入探讨账户抽象的关键方面。最后,我们讨论了一些扩展的提议,并通过合理化与以太坊接口的 Status 项目的计划路线图来结束,这些项目可能都会受到账户抽象的影响。 历史 & 动机 账户抽象最初是在 2017 年以 EIP-86 的形式提出的,目的是实现 「交易来源和签名的摘要 」,但这一想法的起源可以追溯到更早的 2016 年。当时有人建议:「与其有一个协议内机制,将 ECDSA 和默认的 nonce 方案作为唯一的 「标准 」方式来保证账户的安全,不如采取初步措施,建立一个模型,从长远来看,所有的账户都是合约,并且合约可以支付 gas,用户可以自由定义自己的安全模型。」 最初的建议被认为是具有挑战性的,因为需要改变许多协议并且需要保证安全性。最近,Vitalik Buterin 等人提出了 EIP-2938 的草案,该草案概述了一个更容易实现的方法:通过将协议 / 共识的变化最小化 , 并通过节点 mempool 规则强制执行所需的安全保证。由 Sam Wilson 和 Ansgar Dietrichs(另外两位 EIP 作者) 撰写的 Vitalik 的以太坊 Engineering Group Meetup presentation 和 ETH Online presentation(以及相关文章 1 和 2) 为这个主题提供了更详细的介绍。本文重点介绍了所有这些来源的关键内容。 动机 账户抽象背后的动机原理非常简单,但却是根本性的:今天的以太坊交易具有可编程的效果(通过调用智能合约实现),但它们只具有固定的有效性,即只有当它们具有有效的 ECDSA 签名与有效的 nonce,并且具有足够的账户余额时,交易才是有效的。账户抽象 通过引入一种新的账户抽象交易类型,将交易从固定有效性升级为可编程有效性。这种账户抽象交易类型总是来自一个特殊的地址并且协议不需要对其进行签名、Nonce 或余额检查。这种账户抽象交易的有效性由目标智能合约决定,目标智能合约可以执行自己的有效性规则,之后它可以决定为这类交易付款。 那么,为什么这个很有用呢?我们以以太坊钱包为例来强调账户抽象的好处。 智能合约钱包:如今大多数以太坊钱包都是 EOA 钱包,它由种子短语生成的私钥保护。(BIP-39 种子短语是一个由 12-24 个单词组成的有序列表,这些单词是从 2048 个单词中随机选择的。这提供了获得二进制种子所需的熵,该种子使用 PBKDF2 函数生成。然后,二进制种子被用来生成 BIP-32 钱包的非对称密钥对。) 用户应该把种子短语写在安全的地方,因为以后在另一个钱包上恢复密钥时可能需要它。然而,这种钱包很容易受到私钥被盗或种子短语丢失的影响,从而导致用户的资金损失。 智能合约钱包是通过智能合约在链上实现的。这种钱包通过实现多签名安全、社交或基于时间的恢复、交易或金额的速率限制、允许 / 拒绝地址列表、无 gas 交易和批量交易等功能,提供可编程的功能缓解风险以及用户友好体验。 虽然智能合约钱包暴露在易受攻击的智能合约的安全风险之下,但钱包提供商执行的安全测试和审查可以减轻这种风险。EOA 钱包的风险完全在于钱包用户,他们被委托负责种子短语的安全,而在智能合约中没有任何可保障安全的程序。 智能合约钱包的例子有 Argent、Authereum、Dapper、Dharma、Gnosis Safe、Monolith 和 MYKEY。如下图所示,这类…
-
近一个半月3次天量借币做空,巨鲸赚钱了吗?
几天前,有巨鲸在 Bitfinex 上借了超 2.5 万枚比特币。当时正值市场恐慌,2.5 万枚比特币的动静备受关注。 借币做空是一种交易策略,指在平台上抵押一定的稳定币并借出 BTC,在市场上卖出借出 BTC,等待价格下跌后买入等量 BTC 归还平台完获利的策略。 其实,在近一个半月内,巨鲸已经进行了 3 次借币做空,其中还有一次精准地发生在 519 暴跌当日,那天加密市场罕见波动,巨鲸提前借出了近万枚比特币。 那么,这几次的天量操作,巨鲸赚钱了吗?究竟赚了多少? 律动 BlockBeats 将分别分析巨鲸的 3 次操作并计算这些操作的盈亏资金。当然,这一系列操作可能并非来自同一个群体,甚至可能是多群体的行为。但考虑到该行为的一致性,本文将其视为一个群体。 律动注:本文未考虑实际借币所支付的利息,因此计算产生的利润将会高于实际,实际亏损也将高于计算结果。同时,在计算过程中,本文主要计算借币卖出和买入归还的主要趋势阶段,数额变化小的过程不统计在内。计算巨鲸买入和卖出的均价将采用每小时最高价、最低价、开盘价、收盘价的平均数计算。 5 月 19 日暴跌,巨鲸获利超 3000 万美元巨鲸于 5 月 17 日 23:00 开始进行借币,并于 5 月 18 日 3:00 完成本轮借币。在这一过程中,巨鲸一共借出 8491 枚比特币。 5 月 19 日 10:00 起,巨鲸开始缓慢归还借出的比特币,至当晚 20:00,巨鲸一共归还 9263 枚比特币。 通过统计借币时间段借出比特币数量以及比特币价格以及归还比特币的数量和价格,可以得出巨鲸的大致获利空间。 由于在巨鲸借币开空之前,Bitfinex 上便存在一定量的借币订单,并在这些订单伴随着巨鲸一起归还订单,因此无法直接计算出巨鲸的盈利。 如按照巨鲸最初借出的 8491 枚比特币计算,本轮做空,巨鲸获利约 3242 万美元。 布局 2 周,获利超 4000 万美元第二次做空,巨鲸前后一共耗时近 2 周时间,主要借币时间集中在「6 月 7 日 4:00 – 6 月 7 日 12:00」、「6 月 9 日 22:00 – 6 月 10 日 5:00」、「6 月 14 日 20:00 – 6 月 15 日 1:00」、「6 月 16 日 2:00 – 6 月 16 日 5:00」,归还时间主要集中于「6 月 18 日 23:00 – 6 月 19 日 8:00」、「6 月 19 日 23:00 – 6 月 20 日 8:00」、「6 月 20 日 17:00 – 6 月 21 日 4:00」、「6 月 21 日 10:00 – 6 月 21 日 20:00」。 统计上文列出的多个时间段借出的比特币数量以及比特币价格,计算得出巨鲸借出大约 2.1 万枚比特币,卖出均价大约 3.68 万美元,归还均价大约 3.48 万美元。 按照卖出以及归还的比特币均价计算,本轮操作巨鲸获利大约 4300 万美元。由于本次操作周期长达 2 周时间,借币利息成本较高。扣除利息成本后,巨鲸获利可能低于 4000 万美元。 首次亏损,亏损超 800 万美元或许之前的巨额获利令巨鲸品尝到做空的甜头,巨鲸的第三次做空是投入资金最多的一次,同时,也是入场和出场间隔时间最短的一次。 巨鲸主要借币时间集中在「6 月 25 日 16:00 – 6 月 26 日 4:00」,归还时间主要集中于「6 月 26 日 16:00 – 6 月 27 日 2:00」和「6 月 27 日 5:00 – 6 月 27 日 21:00」。 根据计算,巨鲸大约借出 2.3 万枚比特币,平均借出价格约为 3.3 万美元,巨鲸归还比特币买入均价约为 3.26 万美元。 按照卖出以及归还的比特币均价计算,本轮操作巨鲸亏损大约 888 万美元。如再考虑巨鲸借币利息,本轮操作巨鲸可能亏损达到近千万美元。 如果三轮操作都为同一巨鲸的行为,那么巨鲸在不到两个月的时间里,盈利接近 6000 万美元。 文章来源:近一个半月3次天量借币做空,巨鲸赚钱了吗?
-
Pickle Finance遭攻击损失近2000万美元DAI,未经严格审计的DeFi路在何方?
这一周,“科学家”们(利用技术实力和知识门槛专薅 DeFi 的羊毛的黑客)很忙。11月14日,黑客攻击 Value DeFi 的 MultiStablesVault 池子,获得近 740 万美金的 DAI;11月17日,黑客攻击Origin Protocol 凭空铸造 2050万 枚OUSD。 昨日凌晨 2 时 37 分,当人们还在熟睡之时,黑客攻击 DeFi 协议 Pickle Finance(酸黄瓜),捞得近 2000 万美元的 DAI。 加密货币再次登上央视 DeFi沦为“科学家”的提款机? 11月18日,比特币冲击 18,000 美元,加密货币再次登上央视,此前,加密货币被誉为去中心化的金融工具首次登上央视。 据央视报道,从投资回报率的角度来看,加密货币是今年真正的“头号”投资产品。“彭博银河加密货币指数”上涨约65%,超过金价逾20%的涨幅,也超过全球股市、债市和大宗商品市场的收益率。涨幅较高的一个关键原因是以太坊币价暴涨,涨幅达到169.40%。 央视解释道:“以太坊币价格攀升得益于去中心化金融工具(DeFi)的使用增加,以及疫情肆虐后各国出台的巨额刺激措施,让投资者选择了比特币、以太坊等加密货币进行保值。” 一方面,加密货币市场频频发出利好消息;另一方面,DeFi 项目因未经严格审计频遭攻击。 据悉,今年 9 月 10 日 酸黄瓜 Pickle Finance 启动流动性挖矿,9 月 14 日 V神发推文赞赏该项目,使其代币价格暴涨 10 倍。而遭到此次攻击后,酸黄瓜损失近价值 2000 万的 DAI,同时 24 小时内其代币腰斩。 CoinmarketCap 数据显示, Pickle Finance 代币(Pickle)的价格在24小时内,从 22.7 美元跌到 10.2 美元,它的市值在未销毁的情况下, 24小时内蒸发了 1220 万美元。 发生了什么? PeckShield 通过追踪和分析发现,攻击者通过StrategyCmpdDaiV2.getSuppliedUnleveraged() 函数查询资产余额 1972万 美元;随后,攻击者利用输入验证漏洞将 StrategyCmpdDaiV2 中的所有 DAI 提取到 Pickle Jar:这个漏洞位于 ControllerV4.swapExactJarForJar() 函数中,其中包含两个既定的伪 Jar。在未验证既定 Jar 的情况下,此步骤会将存入的所有 DAI 提取到 Pickle Jar,并进行下一轮部署。接下来,攻击者调用 earn() 函数将提取的 DAI 部署到 StrategyCmpdDaiV2 中。在内部缓冲区管理中,黑客调用了三次 earn() 函数,在 StrategyCmpdDaiV2 中生成共计 950,818,864.8211968 枚 cDAI;第一次调用 earn() 函数存入 1976万 枚DAI,铸造 903,390,845.43581639 枚 cDAI;第二次调用 earn() 函数存入 98.8万 枚DAI,铸造 45,169,542.27179081 枚 cDAI;第3次调用 earn() 函数存入4.9万 枚DAI,铸造 2,258,477.11358954 枚cDAI; 随后,攻击者调用 ControllerV4.swapExactJarForJar() 函数,利用任意代码执行将 StrategyCmpdDaiV2 中的所有 cDAI 提取出来,这一步中,_execute() 函数有两个参数:_target和 _data,_target 指的是目标地址,即图中橘色所示部分;_target 是一个加白的地址,攻击者没办法任意控制此地址,此处他们利用的是 CurveProxyLogic,该加白的合约(能通过 262 行 approvedJarConverter[_targets[i] 的检查。也就是说,能被完全控制的是参数 _data,即图中紫色所示部分,_data 中包含 _execute() 函数可调用的add_liquidity() 函数,以及传给 add_liquidity() 的所有参数。 此时,咱们回到橘色框里的 curve、curveFunctionSig、curvePoolSize、curveUnderlyingIndex、underlying,其中 curve 是一个地址,它表示橘色框里倒数第二行中的 curve.call() 函数可以执行任意一个合约,因此,攻击者把 curve 设置成 StrategyCmpdDaiV2,curveFunctionSig 表示除了刚刚指定合约外,还可以指定要调用此合约的函数,通过此操作攻击者成功调用 StrategyCmpdDaiV2.withdraw() 函数…
-
比特币首破37000美元,传奇投资人:这一因素将成刺激比特币攀升的“洪流”
来源:财联社 作者:卞纯 在比特币连创新高之际,华尔街对冲基金大佬比尔•米勒(Bill Miller)表示,比特币疯狂上涨所引发的关注度激增,可能会鼓励企业财务主管使用该加密货币来进行多元化投资,从而进一步刺激比特币攀升。 “如果通膨上升,甚至如果没有上升,而更多企业决定将所持现金的一小部分分散到比特币,那么当前流入比特币的涓涓细流将演变为一股洪流,”传奇投资管理人、对冲基金Miller Value Partners的创始人Miller在1月5日发布的一篇博客文章称。 Miller加入了一个逐渐壮大但仍属于少数派的阵营,这一阵营鼓吹比特币可能成为企业财富的一部分。目前一些公司已经开始使用比特币。企业软件制造商MicroStrategy Inc.去年开启了这股潮流,当时该公司首席执行官Michael Saylor表示,美联储放松通胀政策有助于说服他将公司现金投资到比特币中。加密货币的长期倡导者Jack Dorsey旗下的Square Inc.也已经向比特币投入了5000万美元。 这并不是Miller第一次发表支持比特币的声明。他在美盛集团(Legg Mason Inc.)任职期间以价值选股而闻名——截至2005年的15年里持续跑赢标普500指数。自2014年以来,Miller一直是比特币的粉丝,当时他表示通过个人投资来持有比特币。 米勒在博文中写道:“沃伦·巴菲特曾把比特币称为‘老鼠药’。”他或许是对的。比特币可能是老鼠药,而这只老鼠可能就是现金。” 摩根大通也于近日表示,长远而言,比特币价格有望上涨至14.6万元,较现价仍有近3倍升幅。 比特币延续自3月中旬以来超800%的迅猛走势,在周三首次升超35000美元后,周四连续突破36000美元和37000美元两道大关。去年,该加密货币暴涨300%以上,今年以来上涨逾20%。该加密货币最新报37651美元。根据实时数据,比特币最新市值已达到7000亿美元,接近腾讯(7120亿美元)。 对于比特币近期创纪录的走势,主流的说法是,越来越多的人将比特币视为 “数字黄金”,这种观点使得大量机构投资者涌入该加密货币。 而最新的反弹可能更多的与美国骚乱有关。全球宏观不确定性一定程度上可以增加比特币的吸引力。美国当地时间周三,现任总统特朗普的支持者冲进美国国会大厦,他们认为选举被操纵,并阻碍正在进行的对当选总统拜登的认证程序。 文章来源:比特币首破37000美元,传奇投资人:这一因素将成刺激比特币攀升的“洪流”