最后,在网友的“曝光”警告下,开发者修复了DeFi协议的一个缺陷和危险。暴露为易受攻击的协议称为苏打金融(苏打)成立仅一周,该团队仍然是匿名的。
9月20日下午,网友“报废x报废”在微博上提醒DeFi用户,苏打协议合同存在漏洞,其中一个按揭池的贷款单可能会被“任意清零”
一小时后,苏打党作出回应,促使借款人偿还贷款,抵押人取款。同时,该公司表示将修补漏洞,暂停前端借贷功能。
不过,截至9月21日凌晨,苏打的抵押贷款池中已有400多以太坊被恶意清仓。当天上午,这名协议官员在twitter上表示,该漏洞已被修复,新部署的智能合约预计将于9月22日21:00生效。
在DeFi市场普及的同时,安全事故也一直伴随着。自6月份“流动性挖矿”引发市场以来,区块链安全组织peckshield计算,6、7、8月份,DeFi领域共发生17起安全事件,造成至少400万美元的损失。
同时,安全事件也在警示着每一位DeFi参与者:不要被市场热度“烧尽”风险意识。
汽水清理漏洞20000 ETH遇险
9月20日下午5点,一位名叫“waste x waste”的网友在自己的微博上发布了一篇报道苏打金融(苏打)协议风险提示,“不要抵押wETH借soETH,合同有漏洞,其他人可以自由结清你的借款单。”
废x被弃微博曝出苏打合同漏洞
在公开警告之前,“废x废”已经通过苏打的公共官方渠道通知了对方,“但看来开发者不在那里”
公开资料显示,苏打于9月15日在以太坊成立。这是一个用于抵押贷款场景的DeFi协议。国内用户喜欢称之为“苏打水”根据soda设计的规则,在借贷池中,当借款人的债务和利息支出超过抵押资产的价值和清算比率时,债权人可以通过智能合约触发清算,并根据折现率获得soETH(soda协议上的ETH等价资产)证书以取得债务人的抵押资产和协议规定的挖矿报酬。
根据“报废x报废”的声明,他发现的漏洞将对soETH/wETH抵押贷款基金池构成风险。也就是说,如果有人利用这个漏洞攻击协议,借款人在上述资金池中抵押的wETH将面临“被撤资”的风险。
在微博上回复其他网友时,“废x废”透露,他在研究苏打的清仓规则时发现了这个漏洞。”当时,协议中有2万多个以太坊。”
当时2万以太坊价值700万美元。网友们还赞扬了“报废x报废”的行为,将“报废x报废”方案中发现的漏洞告知当事人,而不是利用协议“删除”2万ETH。他们甚至称他为“废教师”
但费教授也表示,在发现这个漏洞后,他还通过了ETH。”他没有把所有人都清场的原因是他不想惹麻烦。”
在观看发现老师的同时,网友们也在等待苏打当事人的反馈。
9月20日19:00左右,即“报废x报废”告知当事人险情未获回复、风险公开披露一个多小时后,苏打发布公告,提醒苏泊尔/威思基金池借款人尽快还款,抵押人退出时间。同时,该公司表示将修补漏洞,暂停前端借贷功能。如果有用户因为这个漏洞而受到损害,他们会尽力推出赔偿方案。
苏打队目前仍匿名,怀疑有国内背景
然而,这个漏洞被利用了。根据9月21日清晨“报废x-waste”披露的旁观记录,至少有5个地址试图利用该漏洞,共有446个以太坊被“剥离”,当时价值15万美元。
攻击者的操作记录;
截至目前,苏打协议的soETH/wETH基金池中有2156个soETH相当于ETH。苏打集团官员尚未对被恶意清仓的资产处置做出回应。
事实上,自9月15日soda协议启动以来,与代码审核结果相关的信息一直未被披露,团队信息处于匿名状态。协议一上线,交易所就中心化了GATE.IO币 GT平台出现在苏打的流动性挖矿池中。按揭燃气轮机可以用来挖苏打奖励。另外两个挖矿池的抵押资产是美元和以太坊。但是,目前GATE.IO苏打交易尚未启动。
苏打提供GT抵押挖矿流程池
一些用户质疑soda的开发团队是国内的。一个原因是,漏洞事件发生后,有关不和的官方公告是用中文写的。在平台的苏打讨论组里,当官方客服用英语发布信息时,有网友开玩笑说,“别发英语了,大家的英语都不好,你也不懂说什么。苏打公司的官员也回应了团队的背景。
9月21日,soda协议漏洞的后续进展在twitter上披露,官方称漏洞已经修复,并部署了新的智能合约。不过,由于智能合约有时间锁定,补丁至少需要48小时才能生效。根据其官方网站,新的智能合约预计将于9月22日晚9:00生效。
有些协议是恶毒的
soda协议的漏洞仍然是DeFi领域的一个小缩影。事实上,自6月份“流动性挖矿”启动市场“热搜”以来,这一领域的安全事件从未停止过。
最令人印象深刻的可能是YAM。财务(yam)。火灾一发生,由于漏洞,不到两天就中止了协议,任志刚一度归零。一个月后,任志刚在审计结束后重新启动。
蜂巢金融根据peckshield数据组织;
根据区块链安全机构peckshield的月度报告,在6月、7月和8月,DeFi领域共发生17起安全事件,造成至少400万美元的损失。
9月,著名抵押贷款协议BZX的4700以太坊被盗。幸运的是,它后来被恢复;lien是一个稳定的币协议,也被发现存在代码漏洞。
有业内人士透露,国内一些团队打造的DIF协议大多是在以太坊上的山寨版成熟协议。因为复制开源代码只会做一些简单的修改,所以它很快就上线了。通常,代码修改会导致一些问题。”这是正确的,结果是错误的”在这种情况下,额外的脆弱性问题是一个非常危险的问题。
此外,协议开发团队积极“躲在后门”的市场混乱。不久前,区块链安全公司peckshield安全人员发现,sushiswap新的仿磁盘项目yuno修改了币代的发行逻辑,恶意保留后门,方便管理员无限权限发行换代币。
在这个高知识门槛下,对于普通用户来说,密密麻麻的代码简直就是天书。他们没有计算机和互联网工程专业背景,不能判断协议的安全性。他们参与了DeFi的挖矿,只是玩运气游戏,没有技术武器,比如裸奔。
对此,区块链安全组织成都链安组织创始人杨霞可以看到项目方的公开透明,如果代码经过第三方审核,项目方的审核结果和团队信息都是公开的等等,“项目越公开透明,可信度越高。”
杨霞提示投资者分析项目模式,项目方的盈利点是否完全模仿了项目公开信息之外的其他项目等信息。”如果其他盈利项目被完全模仿,项目方信息不清,我们需要提高警惕。这个项目团队的技术能力不是很强,或者只是想离开后门。”她建议,投资者应在综合分析后,选择自己认为有投资价值的项目,不要在不了解项目的情况下盲目跟风。
对于真正想在DeFi领域创业的开发者,杨霞建议,协议在安全审核前不应上线。与上线时间延迟的影响相比,代码漏洞造成的损失可能更大。”安全审计是目前比较流行的一种审计方法。另外,项目方在开发过程中可以提前设计一些救援措施,发生安全问题时损失可以降到最低。“;
例如,她使用代表币转账的pautable功能,在发生安全事件时阻止资金流动;这也是通过代理实现代码逻辑和资金分离的一种方式。”但是,在使用这些方法时,我们也应该确保合理的权力划分,避免项目方拥有过多的权力,使之成为一个中心化的智能合同。”
网络匿名、漏洞丛生,在宝贵资产利益的诱惑下,不是每个人都愿意做“浪费X”这样的“举报”《挖矿协议》层出不穷。同一家公司发生了一起安全事故。这个闹钟提醒DeFi的参与者不要被市场热度“烫伤”
来源:蜂巢财经讯(ID:Fengchao蔡静)
= =
11万人同时收到最新信息
文章标题:苏打水的风险
文章链接:https://www.btchangqing.cn/108845.html
更新时间:2020年09月24日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
