注:北京时间11月15日凌晨,去中心化金融协议ValueDeFi遭遇闪电贷攻击,攻击者通过复杂的方式从Value协议的金库中转移走了大约700万美元,随后归还了200万美元,并附上了一条带有嘲讽意味的信息:“你们真的懂闪电贷吗?”,而在攻击发生前一日,ValueDeFi公开宣称自己是DeFi领域最安全的协议,并且能够抵抗闪电贷攻击。
原文来自rekt,作者对这次攻击进行了分析。
他们真的理解闪电贷吗?
声誉的价值是不稳定的,谦虚能够带来稳定,而吹嘘太多,最终只会搞砸。
ValueDeFi今天因为闪电贷攻击被黑了700万美元,这又是一次关于闪电贷的惨痛教训。
富兰克林邓普顿计划在Avalanche、Aptos、Arbitrum上建立区块链货币市场基金:金色财经报道,富兰克林邓普顿的3亿美元代币化货币市场,即富兰克林Onchain美国政府货币基金(FOBXX),主要在Stellar公共区块链上发行。今年4月,它扩展到了Polygon,现在它表示还可能在Avalanche和Aptos区块链以及与以太坊链接的Arbitrum侧链上发行代币。
富兰克林邓普顿与资产管理公司Apollo一起投资了Aptos Labs。该初创公司是由Facebook发起的已放弃的Diem稳定币项目团队的部分成员创立的。到目前为止,该基金在Polygon上的余额仅为200万美元,根据交易模式,该基金可能由富兰克林邓普顿持有。
富兰克林邓普顿一直在提供与费用相关的折扣,以使代币化基金更具吸引力。如果没有补贴,它将收取0.89%的费用,但它将费用限制在0.2%,因为它的补贴已于昨天到期。政府又将补贴延长了一年。[2023/8/1 16:12:01]
黑客攻击前的代币价格-2.73美元
Valkyrie现货比特币ETF申请已获SEC确认,选择的交易代码为“BRRR”:7月18日消息,据彭博交易所交易基金高级分析师Eric Balchunas在社交媒体披露,Valkyrie提交的现货比特币ETF已获得美国证券交易委员会确认,Valkyrie也成为了美国证券交易委员会本批次备案最后确认的一个现货比特币ETF申请方。此外根据披露的申请资料信息显示,Valkyrie比特币ETF选择的纳斯达克交易代码为“BRRR”。?[2023/7/18 11:01:52]
黑客攻击后的代币价格-1.87美元
让人啼笑皆非的是,在黑客攻击前一天,项目方发布了这样一条推文:
Valkyrie首席投资官:专注于更多可再生能源的矿业公司最终将获胜:金色财经报道,Valkyrie Investments首席投资官 Steven McClurg?参加了 \"The Exchange”,讨论在纳斯达克推出有史以来第一个比特币矿工ETF。McClurg表示,我们相信,专注于更多可再生能源的公司最终将获胜,因为与传统能源相比,水电、太阳能和天然气等替代能源将能够为矿工提供更好的成本节约煤炭等能源,而未来煤炭能源的成本将大大增加。我们发现,这些矿业公司(主要使用可再生能源)已经比其他举措(例如碳中和承诺)采取了额外的措施,而且他们往往保持较低的开销,因为可再生能源的成本通常低于其他来源。
Valkyrie 比特币矿工 ETF周二开始在纳斯达克交易,股票代码为“WGMI”,股价在早盘交易中上涨 0.8%。交易所交易基金 (ETF) 的费用率为 0.75%。该基金的任务是将其 80% 的净资产投资于至少 50% 的利润来自比特币开采并主要使用可再生能源的矿工。Valkyrie 指出,该基金投资组合中的矿工使用约 77% 的可再生能源,而整个美国的平均可再生能源使用率为 31%。该基金的前五名持股(均在 8% 至 10% 范围内分配)是 Argo Blockchain (ARBK)、Bitfarms (BITF)、Cleanspark (CLSK)、Hive Blockchain (HIVE) 和 Stronghold Digital Mining (SDIG) 。(Coindesk)[2022/2/9 9:39:35]
尽管ValueDeFi团队大胆宣称自己的协议很安全,但他们似乎并不知道提款不仅可以通过主合约进行,还可以通过代理从金库合约中提取。
Valkyrie申请新ETF 将投资于持有比特币的公司:金色财经报道,Valkyrie已向美国SEC申请推出“Valkyrie创新资产负债表ETF”,该ETF将把其大部分资金投资于资产负债表上带有比特币的公司或与加密货币相关的公司。[2021/3/13 18:41:06]
ValueDeFi使用了Curve现货价格作为预言机。
而攻击的详细步骤如下:
操纵发生在第5步和第6步。
第七步的取款使用了错误的Curve函数进行数学运算;
功劳来自@emilianobonassi
功劳来自@FrankResearcher
15:24-这次攻击选择了对ValueDeFi团队非常不利的时间点,时间是在他们要开始一次AMA活动的20分钟前。
在15:41,一名用户提问为什么协议锁仓值出现了下降,当天早些时候,ValueDeFi锁仓值一度超过了1100万美元。
到了15:49,人们的担忧越来越大,而协议团队成员则告知大家这是一个UI漏洞。
然后在15:49,有人在聊天室放出了etherscan链接。
价值700万美元的ValueDeFi金库资金被转移,之后攻击者归还了200万美元,并附上了下面这样一段话:
“你们真的理解闪电贷?”
在16:00,就在AMA即将开始的时候,StaniKulechov发布了以下这条推文,告知了大家发生了什么。
同时,在AMA活动中;
Value团队在16:05的时候,在Discord聊天室承认了这次攻击,而AMA的问题持续了40分钟,讨论的都是无关主题,直到……
$FARM、$AKRO以及$VALUE都成为了闪电贷的受害者,它们因为弱协议而遭到了严厉的教训,并且攻击者都通过返回一些金额来表达一些“善意”。
这些攻击是想要教我们什么吗?
闪电贷在DeFi领域是一个有争议的话题,近几个月来,它们一直是很多攻击及漏洞的主要原因,但是可以说,闪电贷只是在加速我们的学习过程,并有助于消除薄弱的协议。
如果没有闪电贷,未来也可能会有“鲸鱼”能够这样做,我们最好就在去中心化金融的起源阶段经历这个过程,因为准备冒险的人每天都在试验、尝试和发布新产品。
闪电贷是来教导那些冒进者的,告诉他们为何要谦卑,它们处在DeFi的顶点,这在其他任何地方都是不可能的,闪电贷是DeFi这项技术带来的新功能的完美例子。
这是DeFi的一个特性,而不是对代码的利用。
最强大的协议不会受这些攻击的影响,有些甚至能够从中受益。
可以说,闪电贷强行提高了DeFi开发者的门槛。
在新标准得到满足之前,人们和协议会遭到攻击,这将是痛苦的,而它也将是公开的,但正因为如此,我们需要学习。DeFi将变得更强,我们将为未来的用户开发更好的实践、更强的代码以及更安全的环境。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。