北京時間2020年08月05日,DeFi期權平臺Opyn的看跌期權智能合約遭到黑客攻擊,損失約37萬美元。Opyn是一個通用期權協議,于今年2月份轉型為保險平臺,通過oTokens為DeFi平臺提供可交易的ETH看跌期權,以此錨定ETH市場價格,為高波動性的DeFi市場提供相對的穩定性。PeckShield安全團隊獲悉Opyn平臺遭受攻擊后,迅速定位到問題關鍵點在于:攻擊者發現Opyn智能合約行權接口對接收到的ETH存在某些處理缺陷,其合約并沒有對交易者的實時交易額進行檢驗,使得攻擊者可以在一筆對自己發起真實的交易之后,再插入一筆偽裝交易騙得賣方所抵押的數字資產,進而實現空手套白狼。簡單來說,由于OpynETHPut智能合約中的行權函數exercise()沒有對交易者的ETH進行實時校驗。根據Opyn平臺的業務邏輯,看跌期權的買方給賣方轉移相應價值的ETH,即可獲得賣方抵押的數字資產。狡猾的攻擊者,先向自己發起偽裝的交易,利用這筆ETH可以重復使用的特性,再次向賣方用戶發起轉賬,進而騙取賣方已經抵押的數字資產。下面為您詳細分析漏洞原因及攻擊過程。漏洞詳細過程分析
Defrost Finance發布被盜資金退還給受損用戶的具體流程:12月27日消息,據官方公告,Avalanche 生態原生穩定幣項目 Defrost Finance 發布關于退款流程的細節,稱所有 V1 被黑的資金都已經歸還,Defrost 團隊將很快開始將這些資產退還給攻擊前的合法所有者。以下是預計在未來幾天將采取的幾項主要措施:
1. 地址中的所有 ETH 將以鏈上市場價格轉換為穩定幣 (最好是 DAI)。
2. 所有穩定幣將從以太坊轉移到 Avalanche。
3. 該團隊將開始掃描鏈上的數據,找出在黑客入侵之前代幣歸屬信息。詳細情況將在掃描工作完成后公布。
4. 然后將部署一個退款智能合約。合法用戶將能夠將他們的資產以穩定幣的形式要求回相同的地址。[2022/12/27 22:10:25]
先來說說,Opyn平臺的業務邏輯:當用戶使用Opyn合約行權即買賣期貨時,需要買方向賣方轉入相應數量的ETH或者ERC20Token,然后合約將銷毀買方對應的oToken,而后買方將獲得賣方已經抵押的資產。例如:小王認為行情進入了下跌趨勢,看到Opyn上掛著一個小李對ETH330美元的看跌期權,于是進入交易系統,向小李轉賬一個ETH,獲得小李抵押的等額數字資產。若此刻行情已經跌至了300美元,小王便可獲得其中的差價。
DeFi協議Solidly總鎖倉量持續下降至13.7億美元:3 月 4 日,據 Defi Llama 數據顯示,Andre Cronje 主導開發的 DeFi 協議 Solidly 總鎖倉量持續下降至 13.7 億美元,較此前總鎖倉量峰值 23 億美元已下降 40.4%。
此前報道,Andre Cronje 領英頁面顯示,其已從 Fantom 基金會和 yearn.finance 離職。[2022/3/5 13:38:31]
圖1.exercise()函數中循環執行傳入的vaults地址列表如上面的合約代碼片段所示,行權函數exercise()的內部是一個循環,依據參數中傳遞的vaultsToExerciseFrom中的地址數量依次調用真正的行權邏輯_exercise()函數。
歐易OKEx上線DeFi Hub產品,包含NFT市場及資產看板:據官方消息,9月13日,歐易OKEx宣布正式上線DeFi Hub產品,旨在為去中心化生態內的用戶提供完整且強大的一站式服務,深度參與去中心化生態建設。
歐易OKEx DeFi Hub包含NFT市場和資產看板兩部分,前者提供NFT資產的一站式服務,允許用戶在一二級市場參與NFT交易,同時具備各類創新功能和靈活玩法,目前0手續費。后者提供多鏈、多錢包、多種資產的管理功能,允許用戶在一個界面上跟蹤多條公鏈不同DeFi協議的資產組合。[2021/9/13 23:21:02]
Huobi DeFiLabs成立2億美金Heco生態基金 助力火幣生態鏈上項目發展:Huobi DeFiLabs將于12月21日20:00成立2億美金“Heco生態基金(Heco Fund)”用于支持火幣開放平臺和火幣生態鏈上項目發展。Heco生態基金近期將重點關注火幣生態鏈上的DEX、借貸、預言機、跨鏈解決方案、穩定幣兌換、保險等方向的優質項目。
Huobi DeFiLabs是聚焦于DeFi的研究、投資孵化和生態建設的平臺,致力于與全球數字資產社區和DeFi社區共同創建金融新世界。
火幣開放平臺是基于火幣集團的技術資源、流量資源和生態資源,向區塊鏈行業陸續全面開放的基礎設施統一平臺。使去中心化應用的搭建效率更高成本更低,并在推廣、流量、資源等方面進行全方位賦能。2020年12月,火幣開放平臺火幣生態鏈Heco已正式啟動“火種” 階段。火幣開放平臺將為開發者提供更多元的創新設施和基礎服務。[2020/12/21 15:57:02]
圖2.重用傳入合約的ETH來獲得抵押資產函數處理ERC20Token時,和大部分的DeFi項目做法一樣,使用transferFrom(),如代碼1882行所示,從msg.sender轉賬到address(this)。但是當函數處理的資產為ETH時,處理的方式就完全不一樣了。因為在Solidity中,msg.value的意思是合約調用者在調用具有payable接口時所轉給該合約的ETH數量,僅是一個量值,所以在合約代碼的1879行中,檢查msg.value==amtUnderlyingToPay僅能確保合約確實收到了amtUnderlyingToPay數量的ETH,并不會對msg.value的值造成任何影響。但是正如上面講到的在exercise()中會循環調用_exercise()函數,這導致盡管合約實際只收到一次ETH,然而在循環過程中卻可以重復使用。攻擊點就在這里,由于合約少了一步對ETH實時數量的檢驗,使得攻擊者可以先偽造一筆指向自己的交易,然后再把已經花掉的本金再次利用,和平臺其他用戶完成一筆正常交易。
圖3.攻擊交易分析在圖3中,我們通過Bloxy瀏覽器顯示的調用過程來展示攻擊的過程。由于攻擊者吃掉了很多筆訂單,我們以其中一筆交易為例,向大家展示其攻擊邏輯:1、攻擊者先從Uniswap購入了75oETH為進一步調用函數行權做好籌備;2、攻擊者創建了一個Vault地址,作為看空期權賣方,并且抵押24,750USDC鑄造出75oETH,但并未賣出這些期權,等于自己同時買入了以330的價格賣出75ETH的權利;3、攻擊者在Opyn合約中調用了exercise(),在持有150oETH看空期權的情況下,先向自己的Vault地址轉入了75個ETH,獲得自己事先抵押的24,750個USDC,再重利用了這75個ETH,成功吃掉了另一個用戶的24,750個USDC,進而實現非法獲利。修復建議
PeckShield安全團隊建議,在Solidity中,合約可使用一個局部變量msgValue來保存所收到ETH。這樣,在后續的步驟中通過操作msgValue,就能準確的標記有多少ETH已經被花費,進而避免資產被重復利用。此外,我們還可以使用address(this).balance來檢查合約余額來規避msg.value被重復使用的風險。
Tags:ETHDEFDEFIEFIETHA幣是真的還是假的Ramp DeFidefi幣聯合坐莊是騙局嗎pefi幣在哪里可以交易
編者按:本文來自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自風火輪社區,作者:佩佩,Odaily星球日報經授權轉載。大家好,我是佩佩,如果拿一幅圖形容加密圈這兩天的故事,應該就是下圖了: 前天這一大盆冷水潑下來,社群也都安靜了很多,不過目.
1900/1/1 0:00:00編者按:本文來自威廉閑談,作者:陳威廉,Odaily星球日報經授權轉載。“你能想象有一天,銀行的漂亮柜員像推銷一個普通理財一樣推銷給你一個包裝了加密貨幣的衍生理財產品嗎?”這是我看到這個新聞的第.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:王佳健,星球日報經授權發布。以太坊鐵定是這一輪上漲的領頭羊。過去兩周,以太坊暴漲75%,不僅突破了360美金壓力位,更是一路狂奔,觸及400美金高位.
1900/1/1 0:00:00其中Defi.network對不同的Defi項目做了分類 Defi的興起 《人類簡史》里面的一個很重要的思想就是,人類成長的過程中總喜歡通過幻想出來一些對象,滿足自身的某種思想需要.
1900/1/1 0:00:00這兩天,又出現了兩個小熱點,一個是EOS上的DeFi類項目DFS,另一個是跨鏈項目IRIS。DFS是EOS上的一個DeFi項目,圈內俗稱大豐收.
1900/1/1 0:00:00