BTCV光复资讯 > 数字货币 > 苏打苏打震惊了48小时:当黑客攻击时,巨鲸增加

苏打苏打震惊了48小时:当黑客攻击时,巨鲸增加

来源:btcv-光复资讯  |   作者:btcv-光复资讯  |   时间:2020-09-28 07:14  |   点击量:

短短两三个月,DeFi从一个小网点迅速成长为一个加密世界的基础设施。

DeFi在野蛮生长的同时,也暴露出了存在的问题——合约安全。

作为分散融资,其安全性完全依赖于智能合同。

所以,在DeFi刚爆发的时候,无数项目在FOMO情绪下下了很大功夫,暴露了合同安全问题。

根据PeckShield的统计,自从Compound在6月份开始流动性挖掘以来,由于合同安全问题,DeFi领域至少损失了400万美元。

比如故意把超过120万美元的EMD(翡翠)在上线13小时内转移。

当然更多的是意外造成的,比如前两天苏打油事件,400多家ETH被恶意清算。

但是目前合同已经修复,团队已经赔偿了用户的一切损失。

连锁茶楼以苏打粉为例,从发现到修复到付款,复工合同漏洞震惊了48小时,希望能让DeFi参与者引以为戒,规避本不该发生却偏偏很常见的风险。

Soda苏打水——出道即巅峰

抵押贷款平台Soda于9月15日在Ethereum成立,9月20日正式挖掘第一个矿。

Soda开盘不到6个小时,就暴涨到了500美元,锁仓金额更是超过8000万美元。

其实很多大组织认可的DeFi项目都没有达到这样的效果,更何况是一个匿名团队开发的。

因为苏打金的采矿规则真的很吸引人,——双币制。

具体来说,用户可以用wet开采SODA,然后在开采中抵押wet,借出平台发行的合成资产SoETH,然后用更多的wet替换SoETH,挖掘更多的SODA。

简单来说就是……可以把本金放大3.5倍。

所以苏打一出道就站在C位,却万万没想到这是巅峰,因为合同漏洞很快就被发现了。

吹哨人预警代码漏洞

9月20日下午5点,一位名叫废X废的微博用户发出了一条关于苏打粉金融协议的风险警告。

“不要抵押我们借钱,合同有漏洞,别人可以随意清算你的借款单。”

刮痧X第一时间发现了漏洞并通知了官方Soda,但他本人并没有利用漏洞攻击牟利(只是清算了一家ETH做示范)。

因为汽水官员在第一时间没有回应,废物X选择将风险预警公之于众。

据《链家茶馆》报道,苏打天下官方是从苏打天下的不和群那里得到消息的,因为有用户把上面的微博截图转到了群里。

但是当时用户普遍认为是因为项目的普及才被黑的,所以并不在意。

但是在1个小时后,Soda官方确认了Bug的存在,引起了恐慌性的资金出逃。

当时WETH池抵押资产超过1000万美元,贷款SoETH接近700万美元。

换句话说,理论上黑客可以通过发起清算,以危害超过1000万美元的资产来获利几百万美元。

于是在接下来的几个小时内,SODA的货币价格从400美元跌至50美元,大量锁定仓位的资金逃离,直接被腰斩。

惊魂时刻——黑客与巨鲸的博弈

虽然当天凌晨4点Soda正式发布补丁,部署新的智能合同,但用户还是无法松一口气。

因为智能合约有时间锁,这意味着补丁生效还需要至少48小时。

因此,在这48小时内,黑客随时会利用漏洞牟利。

事实上,那天晚上至少有六名黑客试图从攻击中获利。

同时,有些人很勇敢。他们没有撤退,而是增加了阵地。

因此,当时仍有一两千家国有企业在流通。

举个例子,一条巨鲸当晚一次性直接借出了约861 SoETH,这意味着他至少要抵押1,230 WETH,随时可能被黑客清算。

这位巨鲸的火中取栗自然也会带来高回报——未来两天SoETH-ETH-UNI-V2-LP池子中的一半以上的收益。

那么黑客和鲸鱼的较量谁会赢呢?

48小时后——偏逢连夜雨

经过48小时的漫长等待,补丁终于生效了。

黑客和巨鲸的较量终于尘埃落定。

根据本次合约漏洞受损用户共14位,被清算的WETH总量为448 个,实际受损为134.5 WETHSoda官方统计(因为用户借出的SoETH 70%已经不用还了,而且SoETH的货币价格略高于wes)。

汽水官员还提出了一个赔偿方案:以SoETH赔付用户损失掉的WETH,相当于清算总额的30%。

据链家茶馆介绍,截至发稿时,大部分用户已经接受了上述补偿方案。

所以事情本来是应该解决的,但是SODA受此重创,Soda的货币价格从原来的300美元跌至7美元,缩水近50倍。

更糟糕的是屋漏偏逢连夜雨,Soda又遭遇了“机枪池”的阻击。

YFV在修复苏打粉的Bug之前打开了苏打粉的机枪库,并注入了数百万美元。这意味着苏打池的收益很容易被机枪池无情的挖走卖掉。

讽刺的是,YFV抄走了部分SODA的代码,并且命名为Drink SODA。

SODA的官方回应是将SODA-ETH-UNI-V2-LP池的开采倍数从5倍提高到20倍,并承诺在最初的10万枚发掘完毕后,将举行社区投票,决定剩余90万枚Soda币的投放方案。

苏打粉的合同安全问题已经告一段落,那么能否凭借之前的优势重回巅峰?

对于DeFi用户和项目方来说,最大的教训是——一定要审计合约。

审计可能不是万能的,但毕竟可以规避一些不该有的常见风险。

btcv注册
苏打苏打震惊了48小时:当黑客攻击时,巨鲸增加
网站分类
友情链接
    热门文章
    标签云
    btcv注册