《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》

DeFi保险业新秀COVER遭攻击 保险业如何保障自己?

网络转载 7615 2020-12-29 13:58

DeFi

进入 9 月后,随着 DeFi 协议流动性挖矿收益锐减,DeFi 市场开始归于沉寂,探索者们向更深广的领域进发。

11 月,凭借 Yearn.finance 创始人 Andre Cronje(AC)的加持,以及治理代币的大涨,去中心化保险 Cover Protocol 崭露头角,引领 DeFi 保险站在了聚光灯下。

有观点认为:“ DeFi 保险项目不仅可以减轻投保人的损失,也让人们可以更放心地参与 DeFi,且有助于健全 DeFi 生态。”

然而,就在 DeFi 保险的概念越炒越热时,Cover Protocol 在短时内遭到两次攻击,其代币价格经历了一场令人惊心动魄过山车。

DeFi2020 年 12 月 28 日,DeFi 保险项目 Cover Protocol 疑似遭到黑客攻击,其代币价格在攻击的影响下从 700 多美元一度暴跌至最低 9 美元。


PeckShield (派盾)通过追踪和分析发现,该攻击主要是由于业务逻辑错误,导致误算质押用户奖励,并在不同 DEX 抛售套利。

首先在一段运行时间内,攻击者先给 Blacksmith 打一些 LP token,然后直接调用函数 updatePool(),通过异常的 pool.accRewardsPerToken 来计算 COVER 的奖励;

DeFi随后通过 125 和 126 行的函数 _claimCoverRewards() 和 _claimBonus() 记录挖矿者的奖励;

最后记录挖矿者的状态,包括质押的数量和代码 128 行至 131 行所示的函数 rewardWriteoff 和 函数 bonusWriteoff 。

具体而言,当前协议利用 pool.accRewardsPerToken 来计算第 130 行的 miner.amount.mul(pool.accRewardsPerToken).p(CAL_MULTIPLIER) ,由于 118 行的 pool 类型为 memory, 而 121 行的函数 updatePool()并未对其进行更新,导致最终计算出来的 rewardWriteoff 比预期的数额小。

当下一次同一用户获取质押奖励时,质押合约例如 Blacksmith 将会铸造更多的 COVER,这将大大提升铸币数量。目前,在流通量中铸造了逾 40,000,000,000,000,000,000 枚 COVER。

第二次攻击者被网络标记为 Grap Finance 白帽子的地址,在获利后,他们将所得收益还给了 Cover 团队,销毁了剩余的 COVER ,并留言:下一次,管好你自己的事。

DeFi有评论称,白帽子 Grap Finance 是 DeFi 义侠,将 4350 ETH 还给了 COVER 团队。但通过砸盘,让众多的投资者血本无归,这也引起了不少的争议。

对于 DeFi 保险项目而言,其初衷是为其他 DeFi 项目降低风险损失。随着 DeFi 生态的壮大,以及锁仓值持续增长,DeFi 项目遭到黑客觊觎,特别是新兴的 DeFi 保险项目,理应加强安全防护。如今由于自身漏洞遭到黑客攻击,这样的保险项目是否能帮助用户抵御风险有待考察。

在 DeFi 的世界里,崇尚“代码即法律”(Code is Law),项目方不仅要将代码做到极致,还要防患于未然,DeFi 协议开发者应在攻击发生后,自查代码。PeckShield(派盾)提示,如果对此不了解,应找专业的审计机构进行审计和研究。

声明

1. 本文经授权发布,如若转载,请标注文章来源和作者;

2. 伊甸网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述;

3. 文章内容仅供参考,不构成投资建议,投资者据此操作,风险自担。

相关文章
关于2021年公链和Layer2的一些思考
“Rollup会是中短期的扩容方案,不排除成为长期扩容方案。”
Uniswap公链Coinbase 01-23 23:23
出人意料的 DeFi 2020 成绩单 : 锁仓总额暴增 2100%,平均活跃地址仅 427 个
在 DeFi 发展元年,虽然从资金角度而言,其市场规模实现了跨越式发展,但从用户体量的交易来看,DeFi 仍然属于小众市场。
路透社:全球芯片短缺将打击中国的比特币矿业
这场争夺战将把小矿工们挤出去并加速行业整合.
矿机挖矿比特币 01-23 17:47
数字货币2021开年好戏:北上深试点、数字证券落地与巨头专利
2021年刚刚开年,数字货币领域已经取得了多方进展,接下来数字货币和数字经济领域还会有哪些飞跃,拭目以待。
DC/EP 01-23 17:19
盘点那些使用区块链投票系统的国家
一些人设想用区块链支持的电子投票系统作为答案。
区块链投票 01-23 13:57
无需 DAPP,通过 Etherscan 浏览器也能与智能合约进行交互!
以太坊用户必备技能,熟练掌握Etherscan区块链进行智能合约交互硬核知识。
DAPP智能合约TOKEN 01-23 12:09
Tether瞒天计:如何成为大而不倒的加密央行
“若一旦我们可以相信进入比特币的美元是真实的,那么我们就可以相信比特币的估值也是真实的。”
7x24H 快讯