合并即将发生,以太坊将按预期转移到PoS,可能会出现短暂的混乱,一切都会好起来的。原文标题:《以太坊合并面临的最大威胁是什么?》
撰文:LucasCampbell,Bankless?分析师
编译:AmyLiu
以太坊合并即将到来,可能会带来经济混乱。随着我们越来越接近合并,以太坊工作量证明硬分叉的传言正在浮出水面。
这有很多原因,以太坊挖矿是一个价值数十亿美元的行业,每月为硬件矿工创造数亿美元的收入。对他们来说,不幸的是,一旦合并完成,矿工就会变得无用。他们将为维持业务而奋斗,将分叉以太坊并推动PoW替代方案。事实上,这已经在发生了,已经有一个以太坊PoW阵营在Twitter上出现并发声。
我们看到Bitmex在ETHPOW上推出了期货合约,让投资者可以推测这些代币的未来价格。以太坊PoW是否有价值是一个问题,但这个硬分叉确实为以太坊生态系统呈现了一种非常独特的动态。
安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]
为每个人免费赚钱
安全公司:Starstream Finance被黑简析:4月8日消息,据Agora DeFi消息,受 Starstream 的 distributor treasury 合约漏洞影响,Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。
2. 新的 DistributorTreasury 合约中存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。
3. 攻击者将 STARS 抵押至 Agora DeFi 中,并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]
早在2017年,比特币出现了继比特币现金之后的无数硬分叉,其中相当一部分比特币社区不同意增加网络区块空间的SegWit提案。结果,比特币区块链被分叉,比特币持有者以1:1的比例收到每条新链的代币。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
尽管这些链中的大多数已经变得无关紧要,但它们确实为比特币持有者创造了数十亿美元的财富。人们收到了这些具有市场价值的新代币,要么选择抛售他们新铸造的代币以换取更多BTC,要么决定根据愿景继续持有它们。
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
因此,以太坊也会发生同样的事情,对吗?
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
合并后,每个ETH持有者将按合并时持有的每个ETH1:1获得ETHPOW代币。
不过,以太坊和比特币之间有一个关键的区别。硬分叉比特币很简单,它只是存在于网络上的本地代币。
相比之下,以太坊有一个完整的经济基础。网络上有数千种资产和数百种协议。如果它是硬分叉的,那么从技术上讲,所有这些相同的代币和协议现在也存在于新的PoW链上,而不需要得到在其上构建的实体/社区的直接支持。
如果发生这种情况,可能会导致合并前后市场的大幅波动。
经济混乱
如前所述,当以太坊硬分叉时,网络上的所有内容都会被复制。
问题是,并非所有资产、协议或基础设施都将得到构建它的每家公司的支持。当然,你可以复制链上的代币和合约,但你不能复制支持它们的链下事物。
这里有两个主要的例子:
法币稳定币
像USDC和USDT这样的法定稳定币将被一对一复制,就像其他所有代币一样。问题是,USDT和USDC银行账户中的现金并没有翻倍,两家发行商都不会兑现PoW链上的任何稳定币。也许他们将来会,但会在PoW链上重新发行稳定币。
旧的稳定币代币将被扔进垃圾桶。你在以太坊PoW钱包中收到的所有USDC和USDT实际上都是毫无价值的。
鉴于USDC变得一文不值,DAI——一种由40%USDC支持的去中心化稳定币——也失去了大量支持它的抵押品。
流动质押代币
另一个主要影响是流动性质押代币。
鉴于这条新的以太坊链打算永久运行在PoW上,ETH质押将永远不会发生。
这将使以太坊PoW上数十亿美元的流动质押代币归零,因为它们实际上永远无法兑换任何东西。
这只是两个关键的例子,还有很多其他可能发生的事情。
那DeFi?协议呢?哪些将支持PoW版本,哪些将继续与以太坊PoS保持完全一致?
您可以假设已经具有强大的多链协议将支持新的PoW链。但即使他们愿意,事情也会变得复杂,因为还有另一种代币,其中POW代币实际上拥有网络协议的权利——无论是治理、经济还是两者兼而有之。
一个具体的例子是Sushiswap。如果Sushiswap-PoW的交易量很大,那么SUSHI-POW持有者会从质押中获得收入,而不是PoS持有者。
鉴于Sushiswap的多链方法,这里存在一些冲突。根据Sushiswap的记录,他们肯定会支持PoW链并将所有收入分配给?xSUSHI?持有者。
相反,如果Sushi社区决定采用这个版本,现在必须有治理流程来解决这个问题。
多米诺骨牌开始倒下
这里出现的一个大问题是合并前后的5-10个区块。当数千亿美元的资本应该在一条链上归零,而不是在另一条链上时,矿商可提取价值(MEV)的数量是未知的。
将会出现混乱。
MakerDAO?依靠USDC来维持DAI的挂钩。
Aave有数十亿美元的stETH被用作贷款的抵押品。
鉴于以太坊的可组合性水平,很容易想象会有大量的清算、波动和因此而发生的事情。
市场机遇
您可能想知道的问题是:「我怎样才能从混乱中获利?」
从表面上看,你可能正在考虑做空USDC或stETH或任何会失去价值的代币。
做空stETH或USDC并将您的任何抵押品置于风险之中可能是不值得的。未知数太多,您很可能会输给机器人。
为了利用潜在的分叉,最简单的方法就是在合并之前堆叠尽可能多的ETH(请以安全的方式)。
这是因为虽然不清楚每个单独的代币在PoW链上的表现如何,但合法版本的ETHPOW可能会保留一些价值——至少在中短期内是这样。
很多人想摆脱以太坊PoW链。
如果有一个分叉成功地成为所有矿工的聚焦点,那么Ethereum-PoW网络将变得非常去中心化和安全,为用户提供高结算保证。
事实上,以太坊PoW链实际上将成为仅次于比特币和Ethereum-PoS的第三大安全区块链。这并没有使链本身具有价值,但它确实为它提供了重要的基础,特别是当它已经经过实战考验时。
以太坊工作量证明有着悠久的成功历史。在过去的7年里,它一直支持着数万亿美元的经济活动。我们知道以太坊PoW有效——这是有证据的。
因此,如果合并确实因任何原因失败,以太坊PoW将继续前进,不会失败。如果您有任何疑虑,几乎可以将ETHPOW视为对合并的对冲。
这是加密行业中前所未有的独特事件,有很多变量需要考虑。
合并即将发生,以太坊将按预期转移到PoS,一切都会好起来的。可能会出现短暂的混乱。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。