文森特
最新进展:北京时间13时52分,链上期权平台opyn在官方渠道宣布,将对受漏洞影响的以太坊看跌期权(ETH)卖家进行全额补偿,并将在未来三天发布更详细的赔偿流程。对于以太坊看跌期权买家,卖出期权将以高于市场价格20%的价格赎回。此外,opyn提醒所有用户暂时不要创建任何新的oETH put保险库,也不要买卖oETH put。
北京时间凌晨00:56分,opyn的官方推特(twitter)发布消息称,“官方团队在一些otoken合同中发现了一些异常,并开始解决这个问题。目前,受影响合同的流动性已暂时从Uniswap中删除,建议用户暂时不要创建新合同。”
事件发生后不久,官方@DeFiprime在推特上称,至少302以太坊可能在袭击中被盗。消息发布后不久,@DeFiprime向@degenspartan转发了ETH被盗金额可能超过1000的结论,但这个数字尚未得到证实。
据@Udon_uCrypto分析指出,受此次黑客攻击影响的合约是oETH。黑客在用ETH施放oETH后迅速行使权利。然而,opyn合同不仅支付原支付的行权价值美元,而且还“返还”用于铸造相应oETH的ETH。简而言之,黑客可以通过简单的操作将ETH资产“翻倍”
这一消息在互联网上迅速传播,期间不止一名用户向opyn的官方团队报告他们的钱丢失了。这些反馈和事件在社交媒体上的迅速传播引起了官方团队的注意。经过近6个小时的调查和整理,opyn官方媒体账号于北京时间6时50分发布了黑客攻击的公告,详细还原了黑客攻击的全貌,并在第一时间做出了一系列回应。全文如下:
除ETH看跌合约外,所有opyn合约均不受此漏洞影响。在发现漏洞后,opyn的官方团队已经制定了一系列对策,尽可能控制损失,并承诺为遭受漏洞影响的用户提供足够的支持和帮助。
怎么搞的?
大约12小时前,官方团队的成员收到了来自用户的不和谐反馈,发现有人恶意利用opyn的ETH看跌期权漏洞牟利。通过otoken的“双重练习”,黑客在卖出期权时窃取了看跌期权卖家抵押的一些以太坊。尽管opyn官员通过使用Convex性协议的白帽黑客攻击从安全金库中找回439170美元,但截至发稿时,仍有371260美元被确认被盗。
因为opyn是一个未授权的去中心化协议,所以团队不能像许多其他协议那样直接关闭契约访问。为了尽可能地控制损失,团队尽快删除了Uniswap上ETH看跌期权池的流动性,并做出了Opyn公司该网站关闭了购买ETH看跌期权的渠道,以阻止更多人购买otoken。
为了确保现有的期权持有人的权益,团队将以比deribit期权市场价格高20%的价格购买所有在漏洞被利用时尚未行使的ETH看跌期权。(如果您目前持有ETH put otoken,请通过不和联系opyn团队)
该团队立即与trail of bits的samczsun合作开发了一个白帽子补丁,允许opyn从其未偿付的保险库中取出439170美元的抵押品,为看跌期权卖家提供担保。如果您的金库中还有资金,请通过不和与我们联系。该补丁降低了现有看跌期权合同的抵押率,并允许官方团队自行清算,从而确保未行使看跌期权的卖方的抵押品在opyn团队控制的地址内是安全的。
除ETH看跌合约外,所有opyn合约均不受此漏洞影响。
据我们了解,很多用户因此而亏损,这是非常可悲的。毕竟,保护用户资金安全一直是团队的重中之重。我们将不懈努力,重新赢得您的信任,确保我们的合同具有更高的安全标准。今后,该小组将对安保方面进行更严格的内部审查。除了现有的openzeppelin审计之外,该团队还将增加一个审计,并采取一些措施将此次事件造成的用户损失降到最低。针对此次攻击,该团队还将在未来几天发布更深入的技术分析文件。
我是个耳环持有者。我该怎么办?
如果您目前持有ETH看涨期权、comp put、BAL put、ctoken put或ateken put,则无需采取任何行动。此攻击利用的漏洞不会影响这些合同。
如果您目前持有ETH看跌期权,请通过discord联系opyn团队,团队将以高于deribit市场价格20%的价格赎回您的看跌期权。
我是卖耳环的。我该怎么办?
如果你卖出ETH看涨期权、综合看跌期权、BAL看跌期权或ctoken看跌期权,则无需采取任何行动,也不会给你的基金带来风险。
如果您已经出售了以太坊,请加入官方的不和,以获得最及时的解决方案。目前,政府正在制定具体计划,尽量减少这一事件对你们的影响。
一旦发现漏洞,关闭opyn有意义吗?
官方无法达成交易。Opyn是无执照和去中心化的,官方团队不能关闭或禁用Opyn合同。不过,一旦发现漏洞,官方团队将采取积极措施,尽量减少用户损失。例如,通过一些手段来防止进一步的攻击,并确保可能受到影响的用户抵押品的安全性。
今后,opyn将如何防止这种情况的发生?
opyn协议的安全性一直是团队的首要任务。此次攻击的发生让用户失望,但团队今后会更加关注安全层面。目前,确定了以下四个步骤:
1) 我们发布的任何合同都将在内部进行全面测试。我们将重组内部测试流程,使其更强大;
2 2)所有合同将通过trail of bit的针孔系统进行验证;
3)我们将继续只发布批准的代码,并与openzeppelin和trail of bits等顶级审计公司合作;
4)我们将在现有缺陷奖励计划中增加奖励。
扩展阅读:
Opyn是一个基于“Convex性协议”的通用期权协议,建立在以太坊区块链之上,允许用户使用自己的otoken创建选项。Opyn公司它提供了一个用户友好的界面来买卖ETH上的看跌期权和看涨期权。
Opyn于2019年成立初期尝试融资融券交易,并于2020年2月转为保险平台。用户可以为自己的复合存款购买保险,规避平台的技术风险和相关金融风险。2020年3月底,opyn推出了第一批ETH持有人保护期权。这些耳环通过Uniswap为ETH看跌期权提供了流动性,因此这些产品可以看作是DeFi用户的保险产品。所以opyn平台不是为投机而建的。
基于智能合约的Convex性协议支持Otoken。otoken智能合约的每个期权产品必须指定八个不同的参数:(1)到期时间(2)标的资产(3)行权价格(4)执行资产(5)买入或卖出(6)抵押品类别(7)抵押所需保证金(8)美欧期权。为了保证市场的流动性,期权的主要参数主要由opyn控制和创造。期权卖方可以通过官网界面在一定时间内锁定抵押品,创建期权代币otoken。期权卖家可以在Uniswap上出售这些耳钉以赚取溢价。
目前,opyn要求期权卖方完全抵押。当用户发行ETH看跌期权合约并投下期权代币时,必须将合约行权价格的100%美元作为锁定保证金。同样,当用户发行ETH看涨期权合约并铸造期权代币时,必须将相应的ETH金额存入合约并锁定为保证金。
从以上八个参数的不同组合中派生出的不同选项在opyn中用不同的耳蜗标记,并由单独的智能合约控制。
参考资源:
https://medium.com/opyn/opyn-ETH-put-exploit-c556558ad2
https://twitter.com/DeFiprime/status/1290691231815630849
https://www.chainnews.com/articles/143496513402.htm
文章标题:上链期权协议opyn合同漏洞损失37万美元,官方恢复攻击过程及影响
文章链接:https://www.btchangqing.cn/93941.html
更新时间:2020年08月29日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
