比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

警惕,你可能玩了假的DeFi_EARN

Author:

Time:1900/1/1 0:00:00

DeFi如何在治理與存款安全之間取得平衡?長話短說:在7月25日-8月6日這段時間,yearn.finance開發者AndreCronje控制了4000萬美元的客戶資金;8月6日,在與我討論這篇文章的早期草稿時,AndreCronje將相關的治理權移交給了9名社區利益相關者,并通過6-of-9多重簽名機制進行控制;大多數用戶并沒有意識到,所有重治理的協議,比如yearn.finance、Compound或者Aave,或多或少都存在托管資金的問題;什么是yearn.finance?

根據yearn.finance的官方描述,它是作為一個收益聚合協議,但我喜歡把它想象成一個任何人都可以參與投資的基金,然后一名投資經理將這些資本引導到DeFi領域中最高收益的機會中。自7月中旬推出治理代幣YFI以來,yearn.finance的人氣激增,雖然其代幣因公平推出而受到稱贊,但市場普遍存在一種誤解,即很多人會認為資金是由YFI代幣持有者,或者至少是由代表他們利益的多重簽名錢包所控制的。但實際上,治理是這樣運作的:YFI代幣持有人可以就新提案進行投票,這些投票是非正式的,當一項提案獲得批準時,yearn.finance的開發者AndreCronje就會去實施它。與此相對的Compound,是先實施提案,然后通過正式投票激活。自7月21日開始,9名YFI社區利益相關者,通過6-of-9多重簽名的方式控制了額外YFI代幣的鑄造;有一名控制者負責所有的投資決策,因此他實際上相當于控制了客戶資金;控制器

DeFi投資平臺Zerion提醒:沒有Zerion代幣,需警惕騙局:DeFi投資平臺Zerion發推提醒,沒有Zerion代幣,用戶需警惕虛假代幣和騙局。據此前報道,Zerion完成820萬美元A輪融資。[2021/7/8 0:37:09]

為了了解資金的保管方式,我們就需要了解金庫和策略。金庫基本上是存放投資者資金的盒子,而策略則是執行投資策略的智能合約,例如將幣借給年化收益最高的貨幣市場。任何人都可以部署它們,但要分配人們的錢,金庫必須與特定的策略相連接。而金庫與策略之間的這種連接,是由一個稱為控制器的中央智能合約來實現的。截至8月6日,這個控制器的治理地址就是AndreCronje的地址:

安全提醒:警惕Filecoin RBF假充值攻擊:據慢霧區消息,Filecoin出現“雙花交易”,多家交易所關閉FIL充值通道。慢霧安全團隊對相關信息分析發現,這是一起Filecoin的RBF假充值攻擊事件而非”雙花攻擊“。攻擊者預先發送一筆低gas-feecap的交易,然后通過提高gas-premium和gas-feecap替換原交易(RBF交易),此時RBF交易優先被打包上鏈,舊交易被丟棄,但是由于FilecoinlotusRPC有一個特性,在查詢舊交易的執行狀態時(使用lotusstateexec-trace命令或者通過REST接口Filecoin.StateGetReceipt獲取)返回的是RBF交易的執行狀態,導致交易所對兩筆交易重復入賬。

慢霧安全團隊提醒交易所及相關錢包方,在充值入賬時,需要對比查詢返回結果中的cid與查詢的cid是否一致,并配合ChainGetParentMessages和ChainGetParentReceipts等接口進行查詢對比,避免重復入賬。與此前慢霧區發現的假充值攻擊不同的是,此次攻擊方法更加隱蔽,是由于Filecoin節點特性所引起,交易所及相關錢包方應再次檢查充值入賬程序,除了RBF外,還有常規的To、Value、轉賬類型Method,以及執行結果ExitCode等字段的校驗,必要時可請安全審計公司協助檢測。[2021/3/19 19:00:10]

我們將簡要介紹更改一個金庫策略的步驟。首先,調用setStrategy函數:

警惕多種 Omni USDT 雙花攻擊:近日,OmniCore 團隊修復了一個重大安全漏洞,由于節點在收到新區塊時沒有處理好并發鎖問題,攻擊者可通過發送特殊構造的區塊,導致一次交易多次記賬,使得賬戶余額出錯。

而在此前,慢霧安全團隊捕獲了一起針對交易所的 USDT 假充值攻擊事件,經分析發現,由于部分交易所使用了舊版本的 omnicore 客戶端(如0.5.0),黑客使用精心構造的轉賬交易,可以在舊版本的客戶端上標記為轉賬成功,而在新版本的客戶端上顯示為失敗,從而達到假充值的目的。

慢霧安全團隊提醒相關節點運營方,利用未升級的節點來發起雙花攻擊是一種常見的黑客攻擊方法,尤其是在OmniLayer等二層網絡應用上,此類攻擊并不會導致主鏈分叉,不容易被發現,應十分警惕,及時升級節點至最新版本(0.8.0)。[2020/3/6]

動態 | Bittrex提醒用戶警惕詐騙者冒充Bittrex換取代幣:據coincryptorama報道,近日,詐騙者通過提供虛假上市協議來冒充Bittrex以換取保證金代幣,Bittrex提醒用戶警惕詐騙者冒充Bittrex以換取代幣,Bittrex不收取上市費。[2018/11/21]

只有在msg.sender設置為控制器管理者,這個函數才會執行。更改策略首先從現有策略中提取所有資金,然后將其送回到金庫:

在下一步中,你會在金庫中調用earn,這會調用控制器的earn函數:

美國證交會警告投資者對加密貨幣保持警惕:據財聯社,美國證券交易委員會警告投資者對比特幣等加密貨幣保持警惕,當局或無法追回非法操作造成的投資損失。[2018/1/5]

…從而將資金轉入新策略。你可以在這里親自檢查控制器。簡而言之,控制器可以設置每個金庫的策略,也可以更改現有金庫的策略。存在資金被盜的風險

控制器的這種功能,允許進行非常簡單,但十分強大的攻擊。在任何時候,它都可以決定將金庫與耗盡所有客戶資金的策略連接起來。策略可以簡單到將這些資金轉移到對手控制的賬戶上,而對于用戶來說,不會有警告或反應的時間。與常規的管理密鑰攻擊向量一樣,主要的風險不一定是AndreCronje本人變成惡意者,而是這個管理密鑰被第三方所竊取。在8月6日的快照中,有1.65億美元的資金鎖定在yearn.finance中,其中大部分都鎖在YFI相關的曲線池中,因此它們不易受到治理攻擊,而剩余有4000萬美元的資金鎖定在金庫中,這些錢就暴露在控制者面前。AndreCronje本人的反應

8月6日,我與AndreCronje討論了本文的早期草稿,以確認我的分析是正確的。在討論過程中,他決定調用控制器的setGovernance函數。

通過這個操作,他將金庫資金的控制權交給了社區控制的多重簽名錢包,并將他自己作為一個風險因素排除在外。但實際上,我并不是打算讓AndreCronje放棄對資金的控制權。協議以這種方式建立,是有充分理由的,在不同的時區等待9位社區持有者中的6位,會給平臺的運行增加大量的開銷和延遲,因此,這會導致:對漏洞做出反應會變得更困難,而漏洞在復雜的初期協議中是很常見的;對于新金庫和策略的原型制作,顯然會變得更加困難;在DeFi快速變化的市場環境中,這將極大地損害收益率;相反,我只是想讓投資者更清楚地了解,使用諸如yearn.finance這樣的協議,會面臨著怎樣的信任假設。所有重治理的協議,或多或少都存在托管問題

在現在大肆宣傳的DeFi運動中,大家很容易會忽視我在這里描述的問題:理論上可通過治理來耗盡用戶的資金,而這樣的問題也存在于很多其它DeFi協議中。例如,在Compound中,持有絕大部分治理代幣的人,就可以投票任意的新邏輯,雖然這個邏輯需要48小時才能啟動,但8億美元的資金,不太可能及時全部收回。依賴于主動管理的協議,很難在必要的治理權限和客戶資金的安全性之間取得平衡。像yearn.finance這樣依賴于快速適應市場環境做法的協議,很可能永遠會站在需要更多控制權的一邊,而這會犧牲存款安全為代價。因此,用戶應停止將其視為非托管系統,而應該將其視為主動管理的基金,其中控制者就是基金經理。在此之前,這個基金的管理者是AndreCronje,而在今天,這個基金的管理者是9名社區參與者,他們使用了6-of-9多重簽名機制。而系統中存在的治理越多,那系統就越可能會被捕獲。未來安全的DeFi系統,應該在設計時使用最小的治理杠桿,以便最大限度地提高安全性,并減少尋租。

Tags:EARNRECNANNCEB Non-Fungible YearntreasurechaintstCrafting FinanceBeta Finance

比特幣價格
放量沖高承壓回調,市場情緒極度貪婪_比特幣

2020年第33周區塊鏈二級市場報告2020年8月9日-2020年8月17日本期報告重點內容:本周大盤走勢:放量沖高承壓回調.

1900/1/1 0:00:00
行情分析:結構性反彈,大行情仍需時間_COIN

本文來自:哈希派,作者:哈希派分析團隊,星球日報經授權轉發。金色財經合約行情分析 | BTC大跌后低位窄幅震蕩:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報11.

1900/1/1 0:00:00
行情分析:大盤跌入調整區間,日內有望超跌反彈_DES

本文來自:哈希派,作者:哈希派分析團隊,星球日報經授權轉發。金色財經合約行情分析 | BTC 在9500美元受阻,再次震蕩下跌破12日低點:據火幣BTC永續合約行情顯示,截至今日16:00(GM.

1900/1/1 0:00:00
三分鐘學習以太坊神器:etherscan區塊鏈瀏覽器_TOK

以太坊是當前除了比特幣以外,最知名的公鏈,其生態極其豐富,被稱為區塊鏈2.0的代表。那么,對于這樣一個公鏈,我們除了閱讀其白皮書、黃皮書外,還有哪些了解其的方式呢?這里,我就為大家介紹一下eth.

1900/1/1 0:00:00
400家加密對沖基金,20家金融機構,1家華爾街信托助力比特幣牛市_EFI

OKEx情報局行業周報帶你快速回顧行業動態,厘清產業動向。目錄:行情概覽數字貨幣市場DeFi生態行業聲音區塊鏈產業賦能行業軼事行情概覽根據CoinGecko數據,截至2020年8月7日16時,加.

1900/1/1 0:00:00
通俗化講解DeFi的邏輯與反邏輯_DEFI

本文結構:DeFi的分類去中心化借貸資產上鏈與資產下鏈ERC20與空氣與激勵,資產上鏈與跨鏈去中心化借貸與擔保公司跨鏈的通俗化理解從容是一種態度我有一個大哥,生意做得不小,人很智慧,好久不見.

1900/1/1 0:00:00
ads