《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》

苏打水Soda惊魂48小时:一边黑客攻击,一边巨鲸加仓

网络转载 6423 2020-09-27 14:35

智能合约

短短两三个月时间,DeFi就从小风口迅速成长为加密世界的基础设施。 

DeFi在野蛮生长的同时,也暴露出了存在的问题——合约安全。 

作为去中心化金融,它的安全性完全依赖于智能合约。 

所以DeFi在刚爆发时,无数项目在FOMO情绪下大干快上,因此也就暴露出了合约安全问题。 

据PeckShield统计,自6月份Compound开启流动性挖矿以来,DeFi领域因为合约安全问题至少造成400万美元的损失。 

有意而为之的比如上线13小时就转走超120万美元的EMD(翡翠)。 

当然更多还是无意间导致的,比如前两天发生的Soda(苏打水),400多个ETH被恶意清算。 

不过目前合约已修复,并且团队赔偿了用户所有损失。 

链茶馆以Soda为例,复盘合约漏洞从被发现到修复到赔付的惊魂48小时,希望能让DeFi参与者引以为戒,规避本不该发生却偏偏很常见的风险。

Soda苏打水——出道即巅峰 

Soda是一个抵押借贷平台,9月15日在以太坊上创建,9月20日正式开挖头矿。 

Soda开盘不到6个小时,就暴涨到了500美元,锁仓金额更是超过8000万美元。 

很多由大机构背书的DeFi项目,其实也没有取得过这样的成绩,更何况这是由一支匿名团队开发出来的。 

因为Soda的挖矿规则真的很有吸引力——双币制。 

具体来说就是,用户可以用WETH挖矿SODA,然后抵押自己正在挖矿中的WETH,借出平台发行的合成资产SoETH,然后把SoETH换成更多的WETH,去挖更多的SODA。

简单来说就是……可以把本金放大3.5倍。 

所以Soda刚出道就站到C位,但万万没想到这就是巅峰了,因为很快就被发现了合约漏洞。

吹哨人预警代码漏洞 

9月20日下午5点,一个叫废X废的微博用户发出了关于Soda.finance(Soda)协议的风险提示。 

“不要抵押WETH借SoETH,合约有漏洞,其他人可以随便清算你的借款单。”

智能合约

废X废第一时间发现了漏洞,并告知Soda官方,而他本人却并没有利用漏洞来攻击获利(只是为了演示而清算了一个ETH)。 

因为Soda官方没有第一时间回应,所以废X废选择将风险预警公之于众。 

据链茶馆了解,Soda官方是在Soda的discord群里获知消息的,因为有用户把上述微博截图转到了群里。 

但当时用户群里普遍认为是因为项目火爆而被人黑而已,所以也就没在意。 

但在1个小时后,Soda官方确认了Bug的存在,引起了恐慌性的资金出逃。

智能合约

当时WETH池中抵押资产超过1000万美元,借出的SoETH也接近700万美元。 

也就是说,理论上黑客可以通过发起清算,以危害超过1000万美元的资产来获利几百万美元。 

所以在接下来的几个小时里,SODA的币价从400美元跌到了50美元,锁仓资金也大量出逃,直接腰斩。

惊魂时刻——黑客与巨鲸的博弈 

尽管Soda官方在当晚凌晨4点就发布了补丁,并部署了新的智能合约,可用户们依然没办法松一口气。 

因为智能合约有时间锁,这意味着补丁生效还需要至少48小时。 

所以在这48小时内,随时都会有黑客利用漏洞来获利。 

实际上当晚已经至少6名黑客尝试了通过攻击获利。

智能合约

而与此同时,也有人艺高人胆大,不仅没有撤退,反而加仓了。 

所以当时依旧有一两千枚SoETH在流通。 

比如有位巨鲸当晚直接一次性借出约861枚SoETH,这意味着他至少还要抵押1230 枚WETH,而这1230枚WETH随时都可能被黑客清算。

这位巨鲸的火中取栗自然也会带来高回报——未来两天SoETH-ETH-UNI-V2-LP池子中的一半以上的收益。 

那么黑客与巨鲸之间的较量,谁会获胜呢?

48小时后——偏逢连夜雨 

经过漫长的48小时的等待,补丁终于生效了。 

黑客与巨鲸之间的较量,也终于尘埃落定了。 

根据Soda官方统计数据,本次合约漏洞受损用户共14位,被清算的WETH总量为448 个,实际受损为134.5 WETH (因为用户借出了的70%的SoETH不再需要偿还,而SoETH的币价略高于WETH)。 

Soda官方也提出了补偿方案:以SoETH赔付用户损失掉的WETH,也就是被清算总量的30%。 

据链茶馆了解,截止发稿已有大部分用户接受了上述赔付方案。 

所以事情本应尘埃落定,可Soda经此重创,SODA的币价从当初的300美元跌到了7美元,缩水近50倍。 

更糟糕的是屋漏偏逢连夜雨,Soda又遭遇了“机枪池”的阻击。 

YFV在Soda的Bug还没修好的时候,就已经开通了SODA的机枪池,并且注入了几百万美元的资金。这意味着Soda的池子里的收益,很容易被机枪池无情地挖提卖。 

讽刺的是,YFV抄走了部分SODA的代码,并且命名为Drink SODA。

智能合约

Soda官方的应对措施是提高SODA-ETH-UNI-V2-LP池的挖矿倍数——从5倍升高至20倍,并承诺初期的10万枚挖完后将开启社区投票,决定剩余的90万枚SODA币的发布方案。 

Soda的合约安全问题算是告一段落了,那么能否凭借此前的优势重回巅峰呢?

  

对于DeFi用户和项目方来说,最大的教训是——一定要审计合约。 

审计也许不是万能的,但毕竟能规避一些本不该却偏偏很常见的风险。

声明

1. 本文经授权发布,如若转载,请标注文章来源和作者;

2. 伊甸网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述;

3. 文章内容仅供参考,不构成投资建议,投资者据此操作,风险自担。

相关文章
Uniswap的第一次治理提案以失败告终,尽管获得了98%的支持票
Uniswap的第一个治理建议以失败告终,赞成票数低于所需的门槛。
UNISWAPDEFI 10-20 14:30
Chain Hill Capital:比特币如何获得价值存储地位
比特币如果想被视为良好的价值存储,就必须让市场理解并信任其协议的核心属性和规则所确立的价值主张的健全性和稳健性。
欧科云链百万港币回购股票,或因对目前状况态度乐观
显然,欧科云链希望借助这一举动,显示公司运营、财务正常运行并未受到影响。
福布斯专访Block.one创始人:40亿美元的梦想还在吗?
Block.one致力于将空间的最大优势带给公众。
Filecoin胡安40条推回应一切:披露借贷方案 称孙宇晨将分叉
Filecoin与协议实验室创人胡安贝纳特,连发40多条twitter回应一切。
DeFi版名侦探柯南:SushiSwap创始人Chef Nomi深度调查
在进行本次分析时,该多重签名的开发人员帐户是最大的 DeFi “巨鲸”帐户之一,价值约 90 亿美元。
美联储主席:做正确的事比首先发行CBDC更重要
鲍威尔认为,美国已经有了一个“安全、活跃的动态国内支付系统”。
CME数据:机构做多BTC,对冲基金做空BTC,到底谁错了?
芝加哥商品交易所的数据显示,机构看多BTC,而对冲基金正在大举做空BTC。
NFT市场交易量倍增,当加密遇上美学的最优解
当加密遇上画作,当艺术与经济不再冲突,NFT让美学走向新时代。
Block.one创始人Brendan Blumer:中国非常了解区块链的能力
他表示,就经济增长而言,中国最令人难以置信的事情之一,是他们如何积极地为组织利用这些新技术进行创新铺平道路,而不是像美国那样用监管阻碍组织的发展。
7x24H 快讯