DeFi流动性挖矿爆红,之前踏空老韭菜也按捺不住,纷纷下场。
但你永远不知道,意外和暴富,哪一个会先来。
DeFi协议SushiSwap刚运行3天,锁定资产总价值就已超过7亿美元。SushiSwap的逻辑很像Uniswap,也是为提供流动性的用户提供奖励,但玩法有一点不同。Uniswap的逻辑是仅在LP提供流动性的时候,才能获得0.3%的手续费奖励,一旦Uniswap的LP停止提供流动性,奖励也随之停止。为了鼓励大家使用SUSHI,项目方将SUSHI/ETH这个池子设计为2倍奖励,据此计算,年化暂时高达9500%。
但是币生币之前也需要用户的操作,老“韭菜”玩DeFi一不小心就踩了坑。
SushiSwap v3新增支持Avalanche:6月7日消息,SushiSwap 宣布其 v3 产品套件新增支持 Avalanche,包括集中性流动性池、跨链交易平台 SushiXSwap 以及新的 DEX 聚合器。[2023/6/8 21:22:32]
SushiSwap运行流动性挖矿的第二天,就出现了用户错误转币的情况。
8月30日,SushiSwap项目官方人员@ChefNomi发布推特,称有用户向其Token智能合约地址转账40万USDT。并且,SushiSwap团队表示,转入该智能合约的代币将无法提取。????
Odaily查询发现,上述40万USDT是分两笔从Gate交易所转出,时间仅相差一小时。????
DWF Labs将价值超155万美元的山寨币转入交易所:金色财经报道,据Lookonchain监测,DWF Labs将所持有的山寨币转移到交易所,其中包括:425万枚CEEK、3亿枚LABS、4000万枚POND、6250枚TIME、29.8万枚SIMP、154万枚UNO、250万枚IXS、43.8万枚DFYN、50万枚GF、726万枚TOKO、5000万枚APM、4万枚Auction,总价值约合155.38万美元。[2023/6/12 21:32:06]
苦主是Gate交易所实习打币员吗?不,是Gate的用户。
8月30日当天,Gate官方第一时间回应称:此举为用户个人操作转错。
这个用户是谁?币乎用户@冰棒爆料称,是币圈自媒体「王团长区块链」创始人王团长。
Swap-LP合约被恶意利用,造成约110万美元损失:金色财经报道,据CertiK监测,Swap-LP合约(0xe0c352c56af65772ac7c9ab45b858cb43d22f28f)被恶意利用,造成约110万美元损失。黑客(0xdead)将盗用的资金存入了Tornado.Cash。据悉,攻击者在 Swap-LP 合约地址中操纵了一个低级调用,触发了 SwapLP Pair 的 0x33604058 函数。这导致该对中的所有 WDZD 代币都转移到了合约地址。因此,攻击者能够从未经验证的地址(开头地址:0x3c4e06d)获取大量 SWAP LP,使用较少的 WDZD 并随后销毁 LP 以获利。[2023/5/22 15:17:46]
根据@冰棒晒出的截图,王团长在社交媒体上四处求助,试图联系Gate或SushiSwap官方人员,让官方回滚交易或者直接提取误转的代币。???
Serum创始人推出“寿司”SUSHI治理新提案:加密衍生品交易所FTX首席执行官、Serum创始人SamBankman-Fried对DeFi协议“寿司”Sushiswap提出治理提案,包括:1、在Solana上建立对Sushiswap的支持;2、在基于以太坊或者Solana/Serum的Sushiswap上支持SUSHI代币奖励发行;3、将SUSHI代币集成到Serum订单薄中;4.FTX将帮助ERC20和SPL(Solana代币)Sushi之间转换,sollet.io也将支持代币转换。5.支持SUSHI代币与Serum上借贷协议组合,以允许资金池进行保证金交易。此外,SamBankman-Fried还提出了奖励机制提案,包括:1、上述提案1和2中将提供5万枚SRM代币激励;2、为1-5提案锁仓MegaSerum,1MSRM=100万枚SRM,允许SUSHI社区参与Serum运行节点,从购买/销毁中获益并获得折扣;3.这些奖励用于Sushi社区,治理进行管理提案1和2可以分的2万枚SRM奖励,另外1万枚SRM给帮助实现和建设提案1-5的团队。[2020/9/4]
但SushiSwap官方已经表明态度:回滚是不可能回滚的,这辈子是不可能回滚的,除非Tether耍赖自己回滚。
????
为什么官方不能直接提币还给用户?
慢雾安全团队告诉Odaily星球日报,在分析了SushiSwap代币合约后发现,该智能合约没有预留代币取出接口,用户误转入的代币,相当于转到了零地址,永久被锁死在区块链世界中。
“如果项目方保留最高提取权,其实是可以提币的。但为了去中心化,很多项目取消了最高控制权。因此,也就无法提币。”BlockArk?联合创始人墨客告诉Odaily星球日报。
如果SushiSwap官方真地提取出了代币还给用户,相当于直接昭告天下,该智能合约存在后门,项目方可以为所欲为,对于项目而言将是毁灭性的打击。毕竟,在区块链的世界,Codeislaw。
因此,SushiSwap官方也在最开始表明态度:深表遗憾,无能为力。
实际上,除了上述的40万USDT,该还收到了其他用户失误转账。
Odaily星球日报查询发现,从该项目运行以来,代币智能合约累计收到8笔转账,累计收到40万USDT、18086个AMPL、1100个SUSHI。
值得注意的是,AMPL的发送方同样是Gate,另外王团长在公众号中表示重仓了20万元的AMPL。因此,这笔钱的苦主大概率也是其本人。
相信读到这里,大多数人都有一个困惑:既然代币智能合约不能提币,为什么这么多铁憨憨会往其中打币?
慢雾安全团队揭示了其中的奥秘:为了省下Gas费。
参与流动性挖矿的标准操作是:
从交易所提币到用户自己钱包地址;
打开流动性挖矿项目网站,点击相应挖矿池,调出智能合约;
从网页钱包授权,向项目的智能合约转账。
上述过程的第一步和第三部都要用到链上转账,也就需要用户支付Gas费用。于是,一些「聪明人」想着,直接省略第一步,从交易所直接向项目智能合约打币,这也就有了文章开头的一幕。
为什么不能从交易所直接转账呢?
慢雾安全团队表示,正常操作流程是使用个人钱包在官方网站进行操作,官方会有一个上层路由合约去执行用户需要的具体操作(兑换、提供流动性等);但如果直接打币进入智能合约,则不会触发相应操作。“因此建议用户,在不熟悉具体操作流程的情况下,尽量使用官方的网站进行操作,避免失误造成资产损失。”
最后,Odaily星球日报也想提醒各位有志于成为「农民」的朋友:
参与挖矿时候,首选经过代码安全审计的项目,国内比较有代表性的相关安全团队有:慢雾、派盾、成都链安等;
一定要清楚挖矿的流程,懂得公钥、私钥等关键概念,能够熟练使用网页钱包转账;
挖矿时,不要为了省Gas费,从交易所直接转账进入项目,否则资产将会被锁定且无法取回;
最后,一些挖矿项目会在代码中添加钱包私钥授权,直接掌握用户热钱包。因此,重要资产不要放在网页钱包中。
作者|秦晓峰
编辑|Mandy
出品|Odaily星球日报
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。