蘇打水Soda驚魂48小時：一邊黑客攻擊，一邊巨鯨加倉_ETH

短短兩三個月時間，DeFi就從小風口迅速成長為加密世界的基礎設施。

DeFi在野蠻生長的同時，也暴露出了存在的問題——合約安全。

作為去中心化金融，它的安全性完全依賴于智能合約。

所以DeFi在剛爆發時，無數項目在FOMO情緒下大干快上，因此也就暴露出了合約安全問題。

據PeckShield統計，自6月份Compound開啟流動性挖礦以來，DeFi領域因為合約安全問題至少造成400萬美元的損失。

有意而為之的比如上線13小時就轉走超120萬美元的EMD。

當然更多還是無意間導致的，比如前兩天發生的Soda，400多個ETH被惡意清算。

Morgan Creek Capital創始人：比特幣反彈將在2024年遭遇“投機性見頂”:金色財經報道，Morgan Creek Capital首席投資官兼創始人Mark Yusko表示，貝萊德申請比特幣ETF引發了新的加密牛市的開始，他十分看好貝萊德的Bitcon ETF將獲得批準，從而成為下一次拋物線牛市的催化劑之一，但該牛市將在接近2024年4月減半的某個時刻遭遇“投機性見頂”。

Yusko預測，比特幣的公允價值約為5.5萬美元，明年投機者將大量涌入市場，推動比特幣價格超越其公允價值，創下歷史新高，然后在2024年的某個時候遭遇投機性打擊，這將導致下一次經濟低迷和下一個加密寒冬。[2023/7/19 11:03:28]

不過目前合約已修復，并且團隊賠償了用戶所有損失。

鏈茶館以Soda為例，復盤合約漏洞從被發現到修復到賠付的驚魂48小時，希望能讓DeFi參與者引以為戒，規避本不該發生卻偏偏很常見的風險。

DEX平臺Dexalot上線Avalanche子網:金色財經報道，去中心化交易平臺Dexalot宣布上線Avalanche子網（Subnet）。

子網是Dexalot雙鏈應用程序的關鍵支柱。用戶通過Avalanche C-Chain上的Dexalot應用程序存入和提取資產，然后在Dexalot子網上進行交易。主網和子網之間的通信，通過使用高端跨鏈通信協議的通用消息傳遞進行。簡單來說，Dexalot子網旨在復制CEX的用戶體驗，而不影響去中心化和透明度。

此前消息，Dexalot完成700萬美元融資，Blizzard、Avalaunch、Colony、Benqi、AVentures、Avascan、Republic Capital、GSR、Muhabbit Capital、Woodstock Capital、Maven Capital、IPC等參投。[2023/2/2 11:41:49]

Soda蘇打水——出道即巔峰

加密財務應用Companion.to將于本月推出BETA版本:金色財經消息，加密財務應用Companion.to將于本月推出BETA版本，用戶可以從AppStore或GooglePlay下載，此外將與Solana鏈上流動性協議Cropper的IDO合作推遲至10月。[2022/8/30 12:57:42]

Soda是一個抵押借貸平臺，9月15日在以太坊上創建，9月20日正式開挖頭礦。

Soda開盤不到6個小時，就暴漲到了500美元，鎖倉金額更是超過8000萬美元。

很多由大機構背書的DeFi項目，其實也沒有取得過這樣的成績，更何況這是由一支匿名團隊開發出來的。

因為Soda的挖礦規則真的很有吸引力——雙幣制。

具體來說就是，用戶可以用WETH挖礦SODA，然后抵押自己正在挖礦中的WETH，借出平臺發行的合成資產SoETH，然后把SoETH換成更多的WETH，去挖更多的SODA。

元宇宙項目Bloktopia更改代幣釋放機制，投資者需持有25%代幣或延長至10年歸屬期:8月9日消息，元宇宙項目Bloktopia宣布在與私人投資者協商后，決定改變剩余75%代幣的釋放方式，以支持Bloktopia的長期增長并保護BLOK代幣價格。

具體而言，Bloktopia提供了兩種方式供投資者選擇，第一種方式是在最近5次分配中持有至少25%的代幣，并繼續持有所有未來分配的40%，只允許出售60%。

未能滿足該要求將自動觸發投資者轉移到第二種方式，即延長歸屬時間表以在10年內分配代幣，從下一次分配時間開始有5年的鎖定期。

如果投資者選擇第一種方式，需要從公開市場回購代幣，并在2022年8月16日之前存入最低要求的25%。[2022/8/9 12:13:14]

簡單來說就是……可以把本金放大3.5倍。

OpenSea交易額突破300億美元:金色財經報道，據Dapprader最新數據顯示，NFT市場OpenSea交易額已突破300億美元，本文撰寫時為302.1億美元，交易者總量為1,689,358。歷史數據顯示，OpenSea平臺交易額在2021年11月突破100億美元，2022年1月突破150億美元，這意味著在半年時間內交易額增長了約200%。[2022/5/20 3:31:20]

所以Soda剛出道就站到C位，但萬萬沒想到這就是巔峰了，因為很快就被發現了合約漏洞。

吹哨人預警代碼漏洞

9月20日下午5點，一個叫廢X廢的微博用戶發出了關于Soda.finance協議的風險提示。

“不要抵押WETH借SoETH，合約有漏洞，其他人可以隨便清算你的借款單。”

廢X廢第一時間發現了漏洞，并告知Soda官方，而他本人卻并沒有利用漏洞來攻擊獲利。

因為Soda官方沒有第一時間回應，所以廢X廢選擇將風險預警公之于眾。

據鏈茶館了解，Soda官方是在Soda的discord群里獲知消息的，因為有用戶把上述微博截圖轉到了群里。

但當時用戶群里普遍認為是因為項目火爆而被人黑而已，所以也就沒在意。

但在1個小時后，Soda官方確認了Bug的存在，引起了恐慌性的資金出逃。

當時WETH池中抵押資產超過1000萬美元，借出的SoETH也接近700萬美元。

也就是說，理論上黑客可以通過發起清算，以危害超過1000萬美元的資產來獲利幾百萬美元。

所以在接下來的幾個小時里，SODA的幣價從400美元跌到了50美元，鎖倉資金也大量出逃，直接腰斬。

驚魂時刻——黑客與巨鯨的博弈

盡管Soda官方在當晚凌晨4點就發布了補丁，并部署了新的智能合約，可用戶們依然沒辦法松一口氣。

因為智能合約有時間鎖，這意味著補丁生效還需要至少48小時。

所以在這48小時內，隨時都會有黑客利用漏洞來獲利。

實際上當晚已經至少6名黑客嘗試了通過攻擊獲利。

而與此同時，也有人藝高人膽大，不僅沒有撤退，反而加倉了。

所以當時依舊有一兩千枚SoETH在流通。

比如有位巨鯨當晚直接一次性借出約861枚SoETH，這意味著他至少還要抵押1230枚WETH，而這1230枚WETH隨時都可能被黑客清算。

這位巨鯨的火中取栗自然也會帶來高回報——未來兩天SoETH-ETH-UNI-V2-LP池子中的一半以上的收益。

那么黑客與巨鯨之間的較量，誰會獲勝呢？

48小時后——偏逢連夜雨

經過漫長的48小時的等待，補丁終于生效了。

黑客與巨鯨之間的較量，也終于塵埃落定了。

根據Soda官方統計數據，本次合約漏洞受損用戶共14位，被清算的WETH總量為448個，實際受損為134.5WETH?(因為用戶借出了的70%的SoETH不再需要償還，而SoETH的幣價略高于WETH)。

Soda官方也提出了補償方案：以SoETH賠付用戶損失掉的WETH，也就是被清算總量的30%。

據鏈茶館了解，截止發稿已有大部分用戶接受了上述賠付方案。

所以事情本應塵埃落定，可Soda經此重創，SODA的幣價從當初的300美元跌到了7美元，縮水近50倍。

更糟糕的是屋漏偏逢連夜雨，Soda又遭遇了“機槍池”的阻擊。

YFV在Soda的Bug還沒修好的時候，就已經開通了SODA的機槍池，并且注入了幾百萬美元的資金。這意味著Soda的池子里的收益，很容易被機槍池無情地挖提賣。

諷刺的是，YFV抄走了部分SODA的代碼，并且命名為DrinkSODA。

Soda官方的應對措施是提高SODA-ETH-UNI-V2-LP池的挖礦倍數——從5倍升高至20倍，并承諾初期的10萬枚挖完后將開啟社區投票，決定剩余的90萬枚SODA幣的發布方案。

Soda的合約安全問題算是告一段落了，那么能否憑借此前的優勢重回巔峰呢？

對于DeFi用戶和項目方來說，最大的教訓是——一定要審計合約。

審計也許不是萬能的，但畢竟能規避一些本不該卻偏偏很常見的風險。

Tags：SODODASODAETHSODIUM Vault (NFTX)KODACHISODA幣ethylene

幣安app下載