BTCV光复资讯 > 数字货币 > 汽水协议爆炸漏洞“汽水”有空的危险

汽水协议爆炸漏洞“汽水”有空的危险

来源:btcv-光复资讯  |   作者:btcv-光复资讯  |   时间:2020-09-23 17:08  |   点击量:

在网友的“曝光”警告下,开发商最终修复了DeFi协议的一个漏洞。暴露出漏洞的协议名字叫Soda.finance(Soda),刚创建一周。目前团队还匿名。

9月20日下午,网友“废x废”在微博上警告DeFi用户,汽水协议存在漏洞,其中一个房贷池的借款单可以“随意清算”。

一个小时后,苏打卡协议方回应,促使借款人还款,抵押人提现,并表示将修补漏洞,暂停前端贷款功能。

尽管如此,截至9月21日凌晨,苏打油抵押池中的400多家ETH已被恶意清算。当天上午,协议负责人在推特上表示,漏洞已经修复,新部署的smart合同预计9月22日21: 00生效。

在DeFi市场火热的同时,安全事故总是接踵而至。“流动性挖掘”在6月份引爆市场后,区块链安全机构PeckShield统计,6月、7月和8月在DeFi发生了17起安全事件,造成至少400万美元的损失。

在DeFi普及的同时,安全事件也在DeFi警告每一个参与者:不要被市场热度“烧坏”。

Soda存清算漏洞 2万ETH遇险

9月20日下午5点,网友“废物x废物”在微博上发布了关于Soda.finance(Soda)协议的风险预警,“不要抵押WETH去借SoETH,合同有漏洞,别人可以随意清算你的借款单”。

废X废在微博爆料。汽水合同有漏洞

在公开警告之前,“废x废”已经通过苏打开的官方渠道通知了对方,“不过好像开发商不在。

据公开信息,苏打于9月15日在以太馆成立。是房贷的DeFi协议,国内用户喜欢称之为“苏打水”。根据苏打所设计的规则,在一个借贷池中,当借款人的债务和利息支出超过抵押资产的价值和清算比例时,债权人可以通过智能合同触发清算,并按照协议规定的折现率获得so ETH证书,从而获得债务人的抵押资产和协议提供的矿业报酬。

按照“废x废”的说法,他发现的漏洞会给SoETH/wet抵押贷款资金池带来风险,即如果有人通过这个漏洞攻击协议,借款人在上述资金池抵押的wet将面临被“带走”的风险。

“废X废”在微博回复其他网友时透露,他是在研究苏打铁的清算规则时发现这个漏洞的。“当时协议上有两万多个以太。

2万ETH的价值是700万美元,留言的用户也对“废X废”发现漏洞并告知协议当事人但没有利用协议“带走”2万ETH的行为大加赞赏,甚至推崇他为“废师”。

不过费老师也表示,发现这个漏洞后,也清算了一个ETH。“她没有清算某人的原因是她不想引起麻烦。

在看被抛弃的老师被发现的同时,网友们也在等待苏打粉协议各方的反馈。

9月20日19: 00左右,也就是“废x废”通知协议方危险未得到解答,风险已公开表明后一个多小时,苏打发公告,提示SoETH/wet基金池借款人尽快还款,抵押人及时退出,表示将修补漏洞,暂停前端借款功能。如果一些用户因这一漏洞而受到损害,他们将尽可能引入赔偿方案。

Soda团队至今匿名 被疑国内背景

然而,这个漏洞被利用了。9月21日凌晨,据Waste X Waste披露的围观者记录,至少有5个地址试图通过漏洞进行攻击,共有约446个ETH被“窃取”,价值15万美元。

废x废看攻击者的操作记录

到目前为止,在苏打油协议的SoETH/WETH资金池中,有2156家SoETH相当的SoETH。苏打官员还没有回应如何解决之前恶意清算的资产。

事实上,Soda协议自9月15日推出以来,一直没有披露代码审计结果的相关信息,团队信息是匿名的。协议一上线,集中兑换Gate.io的平台货币GT就会出现在SODA的流动性挖掘池中,抵押的GT可以得到Soda的奖励。另外两个矿池的抵押资产是USDT和ETH。不过目前Gate.io还没有推出SODA交易。

苏打提供GT抵押采矿移动池

有用户质疑Soda的开发团队是国内员工。原因之一是社交平台distance上的官方公告是在漏洞事件后用中文写的。在平台的Soda讨论组里,官方客服用英文发布信息时,有用户调侃说:“别发英文了,大家英语都不好,听不懂说什么。苏打粉正式回应团队背景。

9月21日,在推特上披露了Soda协议漏洞的后续进展。官员们表示,漏洞已经修复,新的智能合同已经部署。但是,由于智能合同有时间锁定,补丁修复后至少需要48小时才能生效。据其官网消息,新的smart合同预计将于9月22日晚9点生效。

部分协议存在「自留后门」恶性

Soda协议的漏洞在DeFi领域还只是一个小小的缩影。事实上,自6月份“流动性挖掘”将DeFi送上市场“热搜”以来,这个板块的安全事故从未停止过。

印象最深的恐怕就是YAM了。刚开始大火的金融(Yam),因为漏洞,不到两天协议就停了,YAM一度归零。一个月后,任审计后重启。

蜂窝金融是根据PeckShield数据组织的

根据区块链安全机构PeckShield的月度报告,6月、7月和8月在DeFi总共发生了17起安全事件,造成至少400万美元的损失。

9月,知名抵押贷款协议bZx被4700 ETH盗走,但后来被追回;留置权,一个稳定的货币协议,也被发现有代码漏洞。

据知情人士透露,一些国内团队创建的DeFi协议,大多是Ethereum成熟协议的山寨版。因为开源代码只是简单的复制修改然后匆匆上线,经常会因为修改代码而出错。"结果证明是正确的,但结果是错误的。"其中,发行漏洞是一个非常危险的问题。

更可怕的是,市场上出现了主动“走后门”的协议开发团队的混乱局面。前不久,在DeFi新上线项目的例行风险控制扫描中,区块链安全公司PeckShield安全人员发现,SushiSwap的新模拟盘项目YUNo修改了令牌发放逻辑,存在恶意后门,方便管理员无限期发放令牌。

在这种高知识门槛下,对于普通用户来说,密密麻麻的代码简直就是天书,他们没有计算机和互联网工程方面的专业背景,根本无法判断协议的安全性。他们参与DeFi采矿是在玩运气游戏,没有技术武装,喜欢裸奔。

对此,证券机构成都联安创始人杨霞建议,普通投资者可以在不了解代码的情况下,看看项目方的公开透明性,比如代码是否经过第三方审计,审计结果和项目方团队信息是否公开等。“项目越公开透明,可信度越高”。

杨霞建议,投资者不仅可以查看项目的公开信息,还可以分析项目模式,项目方的盈利点是否完全模仿其他项目等信息。“如果你完全模仿其他赚钱的项目,项目方的信息不清楚,你需要提高警惕。这种项目组的技术能力不是很强,或者干脆故意走后门。她建议投资者综合分析后选择有投资价值的项目,不要在不了解项目的情况下盲目跟风。

对于真正想在DeFi创业的开发商,杨霞建议协议在通过安全审核之前不要上线。相比于发射时间的延迟,代码漏洞造成的损失可能更大。“安全审计目前被认为是一种更好的方法。此外,项目方可以在开发时提前设计一些救援措施,以便在出现安全问题时将损失降至最低。

比如她使用令牌转账的Pausable函数,在发生安全事件时,停止资金的流动;也可以考虑通过代理将代码逻辑和资金分开。“但是在使用这些方法的时候,也要保证权限的合理划分,避免项目方权限过大,使之成为一个集中的智能合同。”。

匿名网络,目前漏洞百出,在宝贵资产利益的诱惑下,并不是所有人都愿意像“废物x废物”一样做“告密者”。DeFi矿业协议层出不穷,伴随着安全事件,提醒DeFi参与者不要被市场热度“烧坏”。

来源:蜂巢财经新闻(ID:丰巢财经)

==

11万人同时获得最新的市场信息

btcv
汽水协议爆炸漏洞“汽水”有空的危险
网站分类
友情链接
    热门文章
    标签云
    btcv