当你得知乔丹某款限量球鞋AJ今晚6点正式发售,从早上就搬好了小板凳在店面还排到了一个不错的位置,正准备摩拳擦掌势在必得时,发现前面的某几个排队者根本不是真粉而是黄牛。黄牛包下了店里所剩的全部新款AJ,于是你赶紧转战网购。然而并不意外,还是像原来一样,由于没有置办高配电脑,也没有专门为了抢购的小程序助力,网速更是没有花钱去升级,于是网络首批发售的AJ也全部抢购一空。
一双原本原价小几千人民币的鞋子,突然在网上飙到了上万人民币,而卖价早已不是官方店家,而是这些黄牛。这样的事件也许在你剁手时屡见不鲜,然而区块链领域也不断有同样的事情发生。北京时间7月13日晚10点28分,BZRX在Uniswap上市,一位用户通过智能合约于第一时间用650个ETH购入逾196.61万个BZRX,兑换了流动池中39.3%的BZRX。两分钟后,币价因为大量购买而上涨,该用户开始进行一系列出售行为,共计获利2030枚ETH和30万个BZRX代币。不过,这个行为其实是攻击者承担了巨大的成本风险来进行的。在实际攻击过程中,攻击者并不清楚他又双叒叕进行交易,哪些会被矿工挖掘并记录到区块中。
新加坡WBF交易所将于10月26日正式上线EDC:据官方消息显示,新加坡时间2020年10月26日,WBF交易所将正式上线EDC,并于当日20时在Defi区上线EDC/USDT交易对,充值将于10月25日11时开放,提现将于10月27日16时开放。
据悉,EDC(Earn DeFi Coin)是一个充满无限想象力的社会实验,它将会是整个 DeFi 世界中最重要的组成部分,它将打造成聚合性跨链智能合约平台,最终将多个智能合约平台聚合在 EarnDeFi 平台中,使用户方便快捷地链接各个不同智能合约平台上的去中心化金融系统,其中包括不限于 ETH、EOS、TRX、PiNetwork、Filecoin 等平台,它可以参与到去中心化的借贷、 保险、流动性、稳定币、非同质化代币(NFT)等诸多部分。[2020/10/23]
日本交易所BitFlyer与Brave浏览器在钱包开发方面达成合作:日本交易所BitFlyer将成为隐私保护浏览器Brave在日本的首个钱包开发领域合作伙伴。(coinpost)[2020/7/9]
根据安全工程师Romanstorm的推特信息,实际上在所有发送的抛售BZRX的交易中,有14笔交易失败了,并且这些失败的交易每一笔都支付了昂贵的gas费用。当然其中15笔交易是成功的,这也就相当于成功的概率能有一半左右,在实施攻击中其实是承担了很大风险的。如果攻击者现在是在抢购限量AJ球鞋,每买一双,都要支付手续费,并且在每一次购买的同时就要扣除手续费。然而并不是每次购买动作都能成功,一旦购买失败,手续费也随之打水漂。从攻击的思路上来看,其实这更像一个经济学问题:通过程序监控获得BZRX上线消息单笔大量购入低价BZRX急剧提升BZRX价格多次抛售BZRX攻击者以令人迅雷不及掩耳盗铃之势完成了这一系列操作,从而获利。今年6月底,有一类似事件想必大家有所耳闻。Balancer上两个流动性池遭闪电贷攻击,损失达50万美元。CertiK天网系统(Skynet)检查到BalancerDeFi合约异常后,对其进行了分析。请点击《空手套以太:Balancer攻击解析》《DeFi还有未来吗?Balancer再遭攻击》进行详细了解。在BZRX代币刚被Uniswap列入交易名单之后,攻击者立刻大量买入BZRX。因为Uniswap的交易所设立的某种市场机制,当某一种代币被大量购买后,单价会升高。然后攻击者通过大量交易,多次将手中的高价BZRX卖出获得ETH,最终获得大量利润。其攻击成本和最终获利如下:
声音 | Grant Thornton:交易所Cryptopia在创建新用户帐户时违反了反要求:2月11日消息,独立会计事务所Grant Thornton今日在基督城高等法院表示,新西兰加密货币交易所Cryptopia在创建新用户帐户时违反了反要求。Grant Thornton指出,黑客入侵后,该交易所的可疑做法包括将用户的资产汇集到一个混合钱包中。(bitcoinist)[2020/2/11]
这两次事件的相同之处在于,攻击者都是利用了DeFi金融模型的机制“缺陷”,用低买高卖的方式进行套利。而此次事件与Balancer攻击不同的地方是,在Balancer攻击中,攻击者是恶意控制并压低代币的数量来对价格进行控制。而在此次攻击中,攻击者则是通过利用BZRX刚刚被Uniswap列入交易名单并且价格较低的那段时间,通过了正常的流程购买从而获利的。因此Romanstorm在之后的推特中发布信息称BZRXIDO事件既不是协议利用,也不是黑客行为。然而,与传统智能合约不同的是,DeFi智能合约存在金融模型漏洞。
动态 | 美国司法部打击为加密交易所提供影子银行服务的两名嫌疑人:据coindesk报道,纽约南区检察官办公室今天在一份声明中称,已经打击了亚利桑那州的Reginald Fowler和居住在以色列特拉维夫的Ravid Yosef。两人与一项涉及利用银行账户将资金转入一系列未命名加密货币交易所的计划有关。司法部发布的法院文件称,所谓的货币服务业务在2018年2月至10月期间运营。在此期间,两人在FDIC投保的金融机构开设并使用了大量银行账户。两人据称经营了一家影子银行,代表众多加密货币交易所处理了数亿美元的未受监管的交易。法院文件中提到了两个在Global Trading Solutions LLC名下的银行账户,该公司此前被确定与Bitfinex开展了业务。虽然法院文件没有直接说明,但补充报告显示Global Trading Solutions LLC与Global Trade Solutions AG有关,后者即Crypto Capital的母公司。据悉,Crypto Capital是纽约总检察长办公室对Bitfinex和Tether进行的调查中相关的支付处理器。据报道,Fowler被指控犯有银行欺诈罪,串谋进行银行欺诈以及无牌转账。Yosef目前没有被捕,也被指控为类似的银行欺诈和串谋。[2019/5/1]
即便代码没有漏洞,合约部署没有漏洞,问题也可能出在金融模型漏洞上。听起来有些防不胜防?
CertiK在此给出一些基本的方法措施,希望能够帮助DeFi项目防范此类问题的再次发生:发售新币时,可以参考交易所上币的流程。交易所在币开售之前,根据某种指标,给用户一个购买额度,在币开售之后,用户只能购买某额度以内的货币。这样就不会出现一个用户抢购了近40%的新发售的币从而“哄抬物价”。采用Ringtrading方法,设定交易活动间隔时间,分批次出售。采用dFusion类似的批量拍卖,或是类似于荷兰式拍卖等交易方式进行出售。此次事件既不是DeFi项目被黑,也不是DeFi合约有漏洞。但其过程中被攻击者钻了巨大的空子,也侧面反映出了DeFi在金融层面而非技术环节本身的不成熟。正如之前CertiK团队专家分析的,这更像是一个经济学问题。因此CertiK建议广大用户,除了要加强DeFi项目的风险排查,随时监测安全漏洞与风险,更有必要借助第三方安全公司协助其完成攻击测试和全方位安全防御部署,帮助其排查其他任何原因所带来的问题。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。