受疫情影響,在家隔離的日子已經持續一段時間,延期開工的訊息一再發布,但是沒有一家交易所和區塊鏈公司願意原地等待,一邊與疫情對抗,一邊透過各種方式推進工作。
近期,三大平臺幣敲響戰鼓,各自拉了一把平臺幣,比特幣也在一個相對可觀的高度,投資者們對開春後的行情充滿著希望。
而曾經因為開發EOS而收穫一大批信仰者的BM卻在社交媒體推特上發表了他的碧池言論,拿中國疫情開玩笑,讓社群裡罵的狗血淋頭,同時也讓不少中國投資者對EOS失去興趣,EOS也隨之暴跌。
相信BM不會不明白這樣的言論會帶來多大的經濟損失,但他依然這樣做了,就像他之前多次對社羣不負責任的行為一樣,他再一次讓社羣為他承擔後果。
就在大家還在為BM的言論耿耿於懷的時候,FCoin突然釋出宣告,交易所目前資金困難無法提現,變相“軟跑路”。一瞬間Fcoin上湧出大量提現手續,擠兌嚴重,許多投資者維權無門。
DeFi貸款協議bZx兩次遭受攻擊
作為主流數字資產的EOS和作為主流交易所(至少2018年曾經也是紅極一時)的Fcoin,他們自身擁有大量的信仰者和使用者。這兩件事情可以說對整個數字貨幣領域的大部分投資者都將造成傷害。
接二連三而來的還有DeFi,DeFi協議bZx兩次遭受攻擊,數字資產安全問題再次凸顯。
2月15日,DeFi貸款協議bZx被爆漏洞。聯合創始人Kyle Kistner表示,一部分ETH已經丟失,目前尚不清楚被盜ETH的確切數量,bZx已關閉其Fulcrum交易平臺進行維護。資料顯示,過去24小時內已從bZx協議中提取了3300 ETH(約合932,000美元)。一些市場觀察家指出,被盜ETH金額約為350,000美元。
bZx立刻採取一系列行動,暫時關閉Fulcrum進行維護、部署了合同升級,bZx稱這將使他們的系統對類似攻擊更有抵抗力。
此次bZx被攻擊引發許多投資者擔憂資產安全和質疑去中心化DeFi貸款協議的安全性。
萊特幣創始人李啟威(Charlie Lee)在推特上表示,這就是我不相信DeFi的原因。這是兩個世界中最糟糕的。大多數DeFi可以被一箇中心化的部門關閉,所以它只是一個去中心化的“戲院”。然而,除非我們增加更多的中心化,否則沒有人能夠撤銷駭客攻擊或漏洞利用。
然而,就在三天後,bZx早上剛剛公佈關於被盜35萬美元的事件始末,下午就再次被攻擊,這次造成的損失大約是上次的兩倍,損失2388枚ETH,價值約645,000美元。DeFi生態中鎖定資產價值在數小時內下跌1.42億美元。
bZx聯合創始人Kyle Kistner於官方電報群表示,這種攻擊似乎是Oracle操縱攻擊,與第一次攻擊不同。合同升級顯然沒起到明顯效果,就連公共危機處理也是一踏糊塗。
很快,前谷歌軟體工程師Korantin Auguste在其個人網站Palkeo上發表部落格文章稱,這不是Oracle的鍋。
Auguste解釋稱:“攻擊者利用了bZx中的一個漏洞,導致它以3倍的虛高價格在Uniswap上進行了大量交易。”他補充說,攻擊者能夠以6871 ETH的價格出售112 wBTC,是因為Uniswap的供應完全都被扭曲了。”bzX編碼中的“邏輯錯誤”導致該協議的資產損失約62萬美元,而攻擊者則損失了約35萬美元的利潤,Auguste說:“正是他們開啟鉅額頭寸,導致資金從bZx流向Uniswap,才被他們利用。”所以如果非要論責的話,bZx和Uniswap應該承擔主要責任。
根據bZx釋出的公告,第一次駭客攻擊的步驟為 :
1. 從 dydx , 0 抵押物,借 1 萬個 ETH;
2. 5500 ETH 被派去辦理 112 wBTC 的貸款抵押;
3. 1300ETH 被髮送到支點 pToken sETHBTC5x,開啟了一個針對 ETHBTC 比率的 5x 空頭頭寸;
4. 透過 Kyber Reserve 到 Uniswap WBTC pool 賣 5637 ETH(150 萬美金), 獲得 51.34BTC(51 萬美金);
5. 把 Compound 借出來的 112 BTC,在 Uniswap WBTC pool 賣 112 WBTC, 獲得 6800 ETH;
6. 將 3200 ETH + 6800 ETH(賣 112 BTC 獲利)= 10000 ETH 還給 dydx。
這一系列事件的總利潤為 1193 ETH,目前價值 298,250 美元 ETH。
從整個攻擊來看,駭客分為兩大步驟完成把財富Bzx向Compound上轉移。典型的“空手套白狼”。
這次零成本的“攻擊”涉及到不同DeFi協議和產品。其中包括dYdX、Compound、Uniswap、bZx等。
去中心化預言機和DeFi貸款保險或是救命稻草
此次駭客攻擊簡單來說就是駭客透過借貸和協議之間的漏洞和規則錯位來實現資產轉移和變現。一些網友打趣到:透過DeFi規則光明正大套利,明火執仗地賺錢,手段高明,但無可置喙。
有趣的是作為零成本攻擊其中一環的Compound創始人Robert Leshner針對此次攻擊在推特上直接開懟bZx,稱該團隊最近的表現已經多次證明他們並不能保管好使用者的資產,他們應該立刻暫停業務,好好稽覈一下平臺。
這次事件暴露出一些問題:
1、wBTC等以太坊上的BTC穩定幣,目前體量太小,價格極易操縱,從而暴露牟利漏洞。
2、bZx對Uniswap上的價格太過單一依賴,導致攻擊者透過在Uniswap上大量出貨就輕易地達到了自己打壓bzx上多單裡wBTC價格的目的。估計這是許多投資者懷疑bzx透過Uniswap喂價的重要原因。
3、去中心化預言機和DeFi貸款保險。在攻擊的事後調查中,DeFi貸款的保險經歷了明顯上漲,在Maker、Compound、Dydx和Bzx等協議中,保險金額達到了數十萬美元。bZx也計劃與去中心化預言機專案Chainlink合作,以防止價格操控。
也許正如李啟威所說的:除非我們增加更多的中心化,否則沒有人能夠撤銷駭客攻擊或漏洞利用。駭客攻擊和數字資產相伴而生,有資產的地方就有威脅。去中心化方案明顯有違去中心化協議的初衷,似乎我們能夠做的只有不斷加強技術創新,同時也要不斷完善借貸機制,儘量減少漏洞,不給駭客可乘之機。
目前來看,無論是交易所還是DeFi貸款協議都不能百分之百的保護使用者資產安全。行業的發展需要各方共同推動。開發者需不斷完善規則機制,把使用者財產安全放在首位;加強技術創新,為整個生態發展和前行做貢獻。作為普通投資者,我們要注意甄別安全風險、增強財富安全意識。
