獨家 | Fairyproof Tech：“白帽拯救行動” 挽回10.9萬枚ETH_TECH

本文由Fairyproof Tech原創，授權金色財經獨家發布，轉載請注明出處。

熟悉DeFi生態的用戶都聽過Sushi，它是DeFi生態中知名的去中心化交易所，和Uniswap在圈內都是頂流的交易所項目。但和Uniswap專注交易的縱向發展路徑不同，Sushi除了交易所，也注重在其它領域布局。

拍賣就是Sushi除交易所之外布局的領域。而MISO就是Sushi開發的代幣發售平臺。這個平臺今年2月上線，迄今為止運營了6個多月，整體運行處于比較平穩的狀況。

但就在北京時間8月18日凌晨，多名海外的白帽黑客發現MISO平臺合約中存在安全漏洞，并聯手從眾籌資金池中拯救回10.9萬枚ETH（約合 3.5 億美元），使Sushi避免了一場潛在的災難。

獨家 | OKEx高級分析師：杠桿ETF主要有兩大風險:金色財經報道，近日，關于杠桿ETF的相關問題，金色財經獨家采訪了OKEx高級分析師William，William表示，杠桿ETF主要有兩大風險，一是其本身的杠桿風險，二是由杠桿ETF逐日再平衡機制導致的資金損耗，并且在行情激烈震蕩時，這個損耗是驚人的。具體而言，杠桿ETF的再平衡機制目的是保證基金的逐日收益要達到市場收益一定倍數，所以每日一定要調倉，這個調倉原理其實就是散戶經常用的“追漲殺跌”，所以除單一上漲或下跌行情外，市場出現波動和震蕩時，ETF一定會出現損耗，并且這個損耗是不可避免，是投資者必須承擔的。即便是未來每隔一天上漲10%，第二天下跌1%的波動向上行情，也會出現損耗。所以未來有一天會出現這樣一種情況：當BTC上漲下跌反復震蕩又回到10,000美元的原點后，持有BTC現貨或合約的投資者毫發無損，但購買杠桿ETF的投資者卻已經損失慘重。因此在杠桿ETF中我們要重點關注一個位置：break-even盈虧平衡點，當標的資產價格回溯到這個位置時，杠桿ETF的累積收益率就會低于標的資產回報乘以杠桿的累積收益，如果標的資產價格返回原點，那么杠桿ETF將不可避免地虧損。[2020/2/20]

以金額看，恐怕此次聯手行動是DeFi發展史上“最大的白帽拯救行動”。此次白帽拯救行動導致BitDAO在MISO平臺進行的荷蘭拍中的ETH資金池提前結束。

獨家 | 極豆資本合伙人王秦：熊市考驗投資方分散風險和挑選項目能力:針對近期以太坊價格跳水的現象，金色財經就此事獨家采訪到極豆資本合伙人王秦，在關于“以太坊暴跌投資機構怎樣防御風險”這一問題上，他表示：“大浪褪去，才知道誰在裸泳。在牛市時候，空氣幣都能得到很高的估值，這種情況是不持續的。熊市到來，是考驗投資方分散風險和挑選項目能力的重要時機。投資方一方面要堅持對好項目、好團隊的投入，注重項目的核心競爭力、團隊的技術實力和運營能力，果斷舍棄虛有其表的項目。一方面，要做好打持久戰的準備，把戰線拉長，多關注上下游企業。其實整個區塊鏈行業，除了項目方以外，還有很多在做扎實基本功的企業，譬如交易系統開發、項目安全性評測、計算平臺支持等等。這些服務型企業在熊市時很好掉頭，依然具有競爭力，也是投資方可以考慮的對象。”[2018/8/22]

盡管事件得以妥善解決，沒有釀成大禍，但這次事件仍然給我們留下了很多值得深思的問題和教訓。

獨家 | 創世資本豐馳：優質項目判定的八個標準:優質項目的選擇對于區塊鏈投資而言是重要一步。對此，創世資本CEO豐馳在接受金色財經獨家采訪時分享了他判斷優質項目的八個標準。第一，項目商業的邏輯是否成立、是否有價值，是否涵蓋了一個規模足夠大的市場；第二，相對于傳統中心化的商業模式，項目是否通過區塊鏈解決了一些問題，比如提升了效率，比如降低了成本，或者是創造了新的商業模式；第三，現有的市場中是否存在同樣賽道上的競爭對手，它們優勢劣勢分別都是怎樣的；第四，團隊是否有能力來做好這件事，尤其是我們非常看中團隊是否是真正理解區塊鏈的技術、區塊鏈的邏輯思維、區塊鏈的行業市場等，我們也很看重團隊過去的一些經驗；第五，團隊所能把控的一些相關的資源和相關的一些行業的背景，是否能夠很好的轉移到這個項目上來、能夠支持這個項目的落地；第六，項目的token經濟體系和治理體系設計的是否合理，這個經濟體系和治理結構能不能非常有效地去激勵這個項目內部生態體系的快速生長；第七，社群社區對項目關注的程度，市場反饋出的項目熱度，以及對項目未來在市場上的表現的預期；第八，其他投資機構、評級機構對該項目所做出的判斷和分析。[2018/8/3]

Fairyproof Tech對此次漏洞的細節分析如下：

獨家 Mike：真正的預測市場類產品不是利好盡出 而是剛剛起步:在世界杯火爆之際，區塊鏈世界杯概念板遇冷。對此天算聯合創始人Mike在接受金色財經獨家采訪時表示，預測市場不是菠菜，如果把預測市場當菠菜做，就透支了概念。至于世界杯，我們發現不論是在產品模式還是監管方面，都有繞不過去的大坑，造成了產品落地困難。最終大家會發現，很難通過token參與，承諾與實際情況相距甚遠，失望之余導致很多人拋售離場。

預測市場有很大潛力，但在如何形成有效的用戶價值方面仍存眾多挑戰。在商業模式和激勵機制上還有很長的路要走，大家對于預測市場的價值還不太能衡量，真正的預測市場類產品，不是利好盡出，而是剛剛起步。[2018/6/22]

這次出現安全漏洞的是MISO的荷蘭式拍賣合約。其拍賣合約地址為：

0x4c4564a1FE775D97297F9e3Dc2e762e0Ed5Dda0e

在合約中，首要存在漏洞的是delegatecall函數調用。

delegatecall函數所執行的交易是外部傳入的。本合約代碼對delegatecall的調用使得每個交易在執行時，使用msg.value不會發生變化，因此調用者可以利用此漏洞支付一筆拍賣費用而提交多筆相同金額的拍賣訂單，這相當于免費參與多次拍賣。

這部分代碼在BoringBatchable.sol文件中，具體代碼如下所示：

除此以外，合約的退款邏輯放大了漏洞的攻擊力。

當拍賣超過上限即auctionSuccessful()條件成立時，合約會執行退款。這個邏輯結合上面的漏洞就產生了這樣的情景：

攻擊者免費參與拍賣，并設置拍賣金額超過上限，從而觸發合約的退款行為，取走拍賣中其他用戶的資金。

退款邏輯由DutchAuction.sol合約中的withdrawTokens()函數實現，其具體代碼如下所示：

這個安全漏洞最值得注意的地方是，它很早就已經被圈內認識了，并不是新發現的漏洞，因此其表現形式和特點對于成熟的審計公司而言是很容易被發現的。這樣的漏洞完全可以通過審計發現，而不用等到合約上線冒如此大的風險。畢竟并不是每一個項目都能這么幸運，得到白帽黑客的幫助。但每一個項目在上線前進行詳細的合約審計卻是每個項目團隊都應該做也必須做的。

因此我們再次提醒所有的項目方，做好項目審計是保障項目發展的第一要素。Fairyproof Tech永遠以嚴謹的態度和專業的技能為項目方提供踏實、周全的服務。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags：區塊鏈TECETFTECH如何做區塊鏈blockchaintechnology怎么讀MetFX Watch To EarnEXATECH PoAI Blockchain

火星幣