簡析Asymetrix：基于LSD的非對稱收益分配協議_USD

Asymetrix通過一種公正透明的機制，將所有質押者的收益集中分配給其中的少數幸運者，使他們獲得超額收益，而其他質押者則僅保本，不獲得任何收益。

對于資金規模有限的個人投資者而言，ETH質押所能帶來的年化收益率一般僅為5%左右，這難以激發他們的投資興趣。他們涉足加密貨幣市場的目的往往是尋求更高的回報率。Asymetrix為他們提供了這樣一種機會，即通過一種公正透明的機制，將所有質押者的收益集中分配給其中的少數幸運者，使他們獲得超額收益，而其他質押者則僅保本，不獲得任何收益。

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

用戶將質押的 ETH (stETH) 存入由智能合約支持的公共池中，一旦用戶向 Asymetrix 協議存款，智能合約就會以 1:1 的比例鑄造 PST（Pool Share Token）并將其發送到用戶的錢包。PST 代幣反映了用戶在協議中的份額，并且是提款所必需的。在當前版本的協議中，最低存款金額為 0.1 stETH。然而，存款不一定必須是 0.1 stETH 的倍數（即 0.11234 stETH 是可以接受的）。

安全團隊：Defrost Finance被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Defrost Finance預言機被惡意修改，并且添加了假的抵押token清算當前用戶，損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址，隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址，最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上，目前有490萬美元的DAI在0x4e22地址上，有500萬美元的DAI在0xfe71地址上，剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]

公共池每24小時產生一次收益；該池產生的收益由協議定期（目前每周一次）在池參與者之間隨機且不對稱地分配；

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

根據用戶在協議的 TVL 中站的比例，所有用戶都會收到 ASX 代幣獎勵作為初始分配。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

在中獎的情況下，用戶會自動以 PST（等同于 stETH 的金額）的形式獲得獎勵，因此用戶的余額會增加，這會自動增加進一步抽獎的幾率。因此，沒有必要每次都去領取獎勵。它將自動執行。

由于協議會隨著時間的推移累積收益，因此一個基本指標是用戶的 stETH 在池中的時間以及它為協議產生了多少收益。否則，加密巨鯨可能會在最后一刻以大筆存款進入協議，從而獲得巨大的賠率，并從小用戶那里“竊取”收益。

因此，影響賠率的第一個指標是TWAB（時間加權平均余額）。該指標顯示用戶對抽獎之間產生的池總收益的貢獻。如果兩次抽獎間隔為一周，一個用戶在池中質押了100stETH一周（即100%時間），那么它的TWAB值就是100。TWAB值決定用戶手里彩票的數量，彩票的總數量為池中所有用戶的TWAB值/最低存款數取整，用戶按照其TWAB值占總的比例來獲得相應數量的彩票，之后所有的彩票都會被進行散列化處理來獲得唯一id，協議向CHainlink VRF發送請求貨的隨機數，對返回隨機數取模來保證在門票數量范圍內，一旦出現符合要求的隨機數，則與彩票列表進行匹配，選出獲獎人。

協議采用AXS代幣作為治理代幣，通過持有AXS代幣，用戶可以參與治理過程，在那里他們可以對影響協議操作和性能的各種參數和策略提出和投票。例如，用戶可以決定有多少用戶將在每周抽獎中獲得收益的份額，收益將如何在他們之間分配，協議的資金將如何管理和分配，以及協議中應該實現哪些其他功能或改進。

AXS token應該是Asymetrix協議的治理token，也是捕獲協議增長價值的工具。但是，從目前的文檔來看，該協議并沒有明確的商業模式或收費結構，也沒有從協議產生的收益中收取任何費用。這意味著協議收益分配的所有利潤都給了將stETH存入協議的用戶，而AXS代幣持有者不會從協議的收入中獲得任何獎勵或股息。這也意味著AXS代幣在協議中沒有強烈的需求或效用，其價值完全取決于投機或治理參與。

該協議允許持有少量ETH的人加入令人興奮的LSDfi世界，在那里他們可以通過不對稱的收益分布享受高回報和隨機性。該協議也很容易使用，因為用戶只需要將stETH存入智能合約并等待每周的抽獎。然而，該協議的代幣經濟學設計上仍有很大改進空間，因為ASX代幣沒有明確的價值主張或激勵機制來協調用戶、開發人員和治理參與者的利益。

Go2 Mars Capital

個人專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：ETHUSDSTENCESETHCUSDC價格ChesterCoinJustCarbon Governance

幣安app下載