9月20日下午5點,網友「廢X廢」在微博上公開了一個有關Soda.finance(Soda)協議的風險提示,「不要抵押WETH借SoETH,合約有漏洞,其他人可以隨便清算你的借款單」。
公開預警之前,「廢X廢」曾透過Soda公開的官方渠道通知過對方,「不過好像開發人員沒在。」
公開資訊顯示,Soda於9月15日建立在以太坊上,它是一個抵押借貸場景的DeFi協議,國內使用者喜歡用「蘇打水」稱呼該協議。按照Soda設計的規則,一個借貸池內,當借款人的債務和利息費用超過抵押資產的價值和清算比例時,債權人可以透過智慧合約觸發清算,按照協議規定的折現率獲得SoETH(Soda協議上的ETH等價資產)憑證,從而獲得債務人的抵押資產及協議提供的挖礦獎勵。
按照「廢X廢」的說法,他發現的這個漏洞將對SoETH /WETH抵押借貸資金池產生風險,即任何人藉此漏洞對協議發起攻擊,借款人抵押在上述資金池中的WETH將面臨「被擼走」的風險。
在微博上回復其他網友時,「廢X廢」透露,他研究Soda的爆倉清算規則時發現了這個漏洞,「當時該協議上累計有超過2萬個以太坊。」
2萬ETH時值700萬美元,留言網友也對「廢X廢」發現漏洞告知協議方而沒有利用協議「擼走」2萬ETH的行為表示讚許,甚至尊稱他為「廢老師」。
但廢老師也表示,在發現這個漏洞後自己也清算了一個ETH,「之所以不清算所有人的,是不想惹麻煩。」
網友一邊圍觀廢老師的發現,也在等待Soda協議方的反饋。
9月20日近19點時,也就是在「廢X廢」通知協議方險情未獲回覆,又公開提示風險的1個多小時後, Soda釋出公告,提示SoETH/WETH資金池的借款者儘快還款、抵押者及時退出的同時,表示將修補漏洞,暫停前端借款功能,如有使用者因為這個漏洞受損,他們將盡可能推出補償方案。
Soda團隊至今匿名 被疑國內背景
然而,這個漏洞還是被人利用了。「廢X廢」於9月21日凌晨披露的圍觀記錄顯示,至少有5個地址借漏洞嘗試攻擊,共「擼走」了約446個ETH,時值15萬美元。
截至目前,Soda協議的SoETH/WETH資金池內尚有等值ETH的2156個SoETH。對於之前被惡意清算走的資產如何解決,Soda官方還沒有做出迴應。
事實上,Soda協議自9月15日上線後就未公開程式碼審計結果的相關資訊,團隊資訊處於匿名狀態。協議一即上線,中心化交易所Gate.io的平臺幣GT便出現在Soda的流動性挖礦池內,抵押GT可以挖得SODA獎勵,另外兩個挖礦池的抵押資產是USDT和ETH。不過,目前Gate.io還未上線SODA的交易。
有使用者質疑Soda的開發團隊系國內人員,一個依據是,此次漏洞事件後,官方在社交平臺Discord上的公告用中文寫就。該平臺的Soda討論組內,當官方客服用英文釋出資訊時,有使用者調侃,「別發英文了,大家英文都不好,看不懂說什麼。」Soda官方並對團隊背景做出迴應。
9月21日,Soda協議漏洞的後續進展在推特上披露,官方稱,目前漏洞已修補,並部署了新的智慧合約。不過,由於智慧合約有時間鎖,補丁修復後至少需要48小時才能生效。其官網顯示,新的智慧合約生效時間預計在9月22日晚上9點。
部分協議存在「自留後門」惡性
Soda協議的漏洞問題依然只是DeFi領域的一個小小縮影。事實上,自從6月「流動性挖礦」將DeFi送上市場「熱搜」後,安全事故從未在這個板塊中停止。
令人印象最深的恐怕是Yam .finance(YAM),剛出道大火,就因漏洞問題直接導致協議不到兩天就中止執行,YAM一度歸零。1個月後,Yam才在審計後重啟。
區塊鏈安全機構PeckShield的月報顯示,6月、7月、8月三個月內,共計17起安全事件發生在DeFi板塊,至少造成了400萬美元的損失。
進入9月,知名抵押借貸協議bZx被盜走了4700 ETH,好在後來被找回;穩定幣協議Lien也被發現存在程式碼漏洞。
有業內人士透露,部分國內團隊打造的DeFi協議多為以太坊上成熟協議的山寨版,由於照搬開原始碼僅做簡單修改後匆忙上線,常常因修改程式碼而出了岔子,「原來是正確的,結果被改錯了,」其中,增發漏洞是個十分危險的問題。
更可怕的是,市場上已經出現了協議開發團隊主動「留後門」的亂象。不久前,區塊鏈安全公司PeckShield 安全人員在例行DeFi新上線專案風控掃描時發現,SushiSwap的新仿盤專案YUNo修改了代幣發行邏輯,存在惡意留後門,方便給管理員無限增發代幣的許可權。
在這種高知識門檻下,對於普通使用者來說,密密麻麻的程式碼簡直是天書,沒有計算機和網際網路工程職業背景的他們,根本無從判斷協議的安全性。他們參與DeFi挖礦就是在玩一場場碰運氣的遊戲,毫無技術武裝,如同裸奔。
對此,區塊鏈安全機構成都鏈安的創始人楊霞支招,普通投資者在不懂程式碼的情況下,可以看專案方的公開透明程度,比如程式碼是否經過第三方審計,審計結果、專案方團隊資訊是否公開等等,「越公開透明的專案,可信度相對越高」。
楊霞提示投資者,除了檢視專案公開資訊外,還可以分析專案模式,專案方的獲利點是否是完全模仿其他專案等資訊。「如果完全模仿其他獲利專案,且專案方資訊又不明確的,就需要提高警惕了。這種專案團隊的技術能力不是很強,或者乾脆就有意留後門。」她建議,投資者要選擇自己綜合分析後認為有投資價值的專案去參與,切勿在不瞭解專案的情況下盲目跟風。
對於真正想在DeFi領域創業的開發方,楊霞建議,協議未經過安全審計前不要上線,相比起上線時間的推遲產生的影響,程式碼漏洞導致的損失可能更大,「安全審計是目前公認的較好的方法,除此之外,專案方在開發時,可以預先設計好一些挽救措施,安全問題發生時可以讓損失降到最低。」
她舉例,使用代幣轉賬的Pausable功能,在發生安全事件時可以停止資金流動;透過代理實現程式碼邏輯與資金分離也是可以考慮的方法。「但在使用這些方法時,也要保證許可權的合理劃分,避免專案方許可權過大,使其成為一箇中心化的智慧合約」。
匿名網路,漏洞當前,在有價資產的利益誘惑下,並非每個人都願意去做「廢X廢」這樣的「吹哨人」。DeFi挖礦協議層出不窮,與之同行的是一起起安全事件,這一聲聲的警鐘都在提醒DeFi參與者,別被市場熱度「燒光」了風險意識。
