BTC:簡析Stacks生態項目ALEX：原生BTC借貸+固定利率的想象空間有多大？_LordToken

在Aave、Compound等以太坊借貸平臺的推動下，ETH等主流加密資產流動性得到充分利用與開發，用戶可以利用手中的USDT、ETH等資產進行儲蓄獲得可觀利率，同時資金需求方可以抵押資產而借出目標資產，大幅提升資金利用效率。

目前，DeFi借貸市場的行業格局已基本穩定，但仍然存在兩個明顯痛點。第一是大部分借貸平臺提供給儲蓄用戶的利率為浮動利率，用戶難以知曉其實際的年化利率；

第二，BTC資產的流動性仍未得到充分開發，由于BTC資產橋接過程較為復雜，同時許多BTC持有者仍然對以太坊較為排斥，BTC作為全球市值最高的加密項目，在借貸市場的份額仍然很低，以Aave為例，WBTC供應量為17億美元，在該平臺總供應量中僅占9%。

因此，這個方向仍然蘊藏著加密借貸市場的巨大潛力，基于Stacks公鏈的開源DeFi協議ALEX則試圖解決前述問題，即幫助用戶便捷地通過BTC獲得預定期限的固定利率收益，進而加速釋放價值超過1萬億美元的BTC市場的流動性。

Beosin：EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示，ETH鏈上的EthTeamFinance項目遭受漏洞攻擊，攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞，將WTH，CAW，USDC，TSUKA代幣從V2流動性池非法升級到V3流動性池，并且通過sqrtPriceX96打亂V3流動池的Initialize的價格，從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

如何集成原生BTC？

據了解，ALEX底層集成的Stacks公鏈旨在打通原生比特幣以獲得最高安全性的同時，也支持去中心化應用程序和智能合約。該區塊鏈上成千上萬筆交易在比特幣上會產生一個散列，作為共識的一部分，Stacks?交易會自動在每一個比特幣區塊上「結算」，從而連接了比特幣網絡和?Stacks?區塊鏈，并擴展了比特幣的功能。

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

正是由于Stacks的前述特性，可以使得ALEX低成本打通原生比特幣成為可能。在以太坊生態，目前用戶需要通過第三方服務商將BTC轉為WBTC、tBTC等包裝資產，過程繁瑣且成本較高。以WBTC的橋接過程為例，用戶需要經過在WBTC商戶開戶、將BTC轉移到WBTC商戶、商戶尋找BTC托管人、商戶將BTC轉給托管人、托管人將WBTC轉給持有人、持有人再將WBTC轉至以太坊等至少6個步驟。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

而在ALEX的解決方案中，BTC持有者可以直接使用其BTC參與DeFi生態，盡管其中也存在包裝過程，但對用戶是不可見的，不影響其使用體驗。同時，該解決方案也不存在中介風險、KYC流程，同時大幅降低成本。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

此外，ALEX未來還將支持?Stacks?上的所有本地/SIP10?兼容代幣，以拓展自身滿足Stacks?DeFi生態不斷發展的需求的能力。

如何實現固定收益？

在?ALEX?上，固定利率通過基于遠期合約的代幣“ayToken”實現。它類似于傳統金融市場中的場外交易雙邊遠期合約，指定標的資產“Token”和到期日。

借款用戶可以通過向抵押品池中添加符合條件的抵押品來鑄造ayToken，并在第一天以低于現貨代幣價格的折扣出售ayToken，并在到期時返還?Token，借出用戶以低于現貨代幣價格的折扣購買?ayToken，并在遠期價格與現貨價格趨同時在到期時收回標的資產。

購買?ayToken等同于以?ayToken?的價格隱含的利率借出代幣，出售?ayToken?則允許持有者以固定利率借入了ayToken，隱含利率取決于遠期價格與交易時現貨價格的折讓程度。

如何利用AMM機制？

同時，ALEX使用了AMM機制來進一步提升生態系統內的交易效率，目前設定了流動性引導池、收益代幣池、抵押品再平衡池等池類型。

其中，流動性引導池使用加權方程，旨在促進一種代幣相對于另一個代幣的資本效率啟動；收益代幣池使用?Yield?Token?方程，專門用于促進?ayToken?和?Token?之間的高效交易；抵押品重新平衡池使用加權方程并在代幣和抵押品之間動態重新平衡，以確保鑄造的?ayToken保持償付能力，尤其是在不利的市場環境中。

以?ayBTC?/?USD?池為例，該池將針對?BTC?上漲實施動態對沖策略，即隨著?BTC?現貨上漲，賣出美元并買入?BTC，反之亦然。由此產生的美元和?BTC?之間的重新平衡將由參與池定價曲線的套利者執行。借款人實際上是一個?LP，所提供的美元抵押品將自動轉換為一籃子美元和?BTC。

該機制的主要好處是ALEX可以更有效地處理?LTV?，并在使用適當LTV與儲備基金的情況下完全取消清算。不過，該機制也會導致貸款人在還款時收到的抵押品的美元價值將與原始價值不同。

此外，ALEX還推出了?Vault?持有和管理所有?ALEX?池的資產，即Vault與資金池是分離的，這使得在?ALEX?上構建自定義池時用戶的交易成本更便宜和開發人員的學習速度更快。由此，ALEX允許用戶使用閃電貸功能，利用兩個或多個池中的任何價格差異進行套利，而無需持有任何代幣。

總結

通過上述設計，ALEX生態主要存在四種角色，第一種角色是貸方，在固定期限內以固定收益率存入代幣；第二個角色是借款人，在固定期限內發布抵押品并借出代幣；第三個角色是流動性提供者，為資金池提供流動性并確保?ALEX?池的順利運作；第四個角色是套利者，減少?ALEX?池再平衡后代幣與市場價格的差異。

這些角色的充分運作可以保證ALEX借貸機制的順利運作，同時實現低成本、高效率、固定收益、無清算風險等優勢，進一步豐富DeFi生態的用戶選擇。

目前，ALEX的產品尚未正式上線，不過作為?Stacks?公鏈上最早的?DeFi?項目之一，以及整合了原生BTC流動性、固定利率借貸以及AMM機制的創新型產品，仍然值得期待未來的具體表現。

?

Tags：BTCTOKTOKENTOKEAWBTCGrind TokenKuCoin TokenLordToken

火幣APP下載