ANC:解析智能合約失效與資金損失后對協議壽命的社會影響_COM

DAOrayakiDAO研究獎金池：

資助地址:?DAOrayaki.eth

投票進展：DAOCommittee?3/0通過

賞金總量：120USDC

研究種類：DAO,Constitution,Governance

原文作者：0xVisionxry

貢獻者：Natalie,DAOctor@DAOrayaki

原文：TheSocialImplicationsonProtocolLongevityafterSmartContractFailureandLossofFunds

智能合約和區塊鏈技術幫助推動了去信任基金托管的新時代。許多投資者傾向于將“代碼即法律”一詞視為完全積極的詞，但自動化技術帶來的風險不容忽視。在過去的幾年里，加密世界發生了不同程度的黑客攻擊，損失的資金總額估計超過10億美元。更重要的是，這個數字只是冰山一角。在所有被黑客入侵的協議中，除了鮮為人知的一次性項目和分叉解決此問題之外，還有一些是著名的DeFi藍籌。考慮到這個行業的新興狀態，似乎很明顯，盡管有歷史上的保護措施、大量的審計和極端的預防措施，所有協議仍然容易受到某種黑客的攻擊。

黑客和漏洞對于任何試圖長期構建的合法協議都是毀滅性的，但很少有人重視黑客攻擊帶來的社會影響。雖然有些案件已經結束，部分資金被退回。無論是由于可疑的dox，還是由于在沒有預先警告的情況下進行的白帽行動的結果，但大多數情況下，這些資金確實是丟失了，導致受害者協議處于劣勢地位。

OKX建立行業BRC-20解析新標準:5月16日消息，據OKX官方公告，OKX正式建立行業BRC-20解析新標準，該標準已通過安全審計機構慢霧的安全審計，旨在逐步完善和增強BRC-20生態的完整性和穩健性。

據悉，OKX持續關注并投入BRC-20基礎設施建設，OKX Web3錢包即將上線Ordinals交易市場，是首個支持Ordinals代幣及NFT交易的多鏈錢包。OKX此前已與UniSat達成官方合作支持雙重驗證，并上線首個BRC-20瀏覽器。[2023/5/16 15:06:48]

在本文中，我們試圖調查持有者和社區在黑客攻擊前后發生的變化。我們關注的指標包括用戶數量、存入和/或提取的資金水平，以及包括情緒分析在內的社交參與度指標。我們的研究表明，各協議在黑客攻擊后的恢復在很大程度上取決于每個協議的背景，可以強也可以弱。通常，協議本身的合法性以及團隊修復損壞的動力是成功社區的領先指標，也是從投資中收回成本甚至獲利的潛力。

資料來源：RektHQ，截至2021年11月3日，*Compound的損失更像是一個錯誤而不是hack*

迄今為止，PolyNetwork遭受了迄今為止最嚴重的加密貨幣黑客攻擊，2021年8月中旬有6.11億美元的資金被盜。觀察上圖的其他值得注意的數據是前5名最嚴重的黑客協議，所有在攻擊/丟失時未經審計，而此圖表上的后5個協議已由信譽良好的公司審計。這揭示了兩個基本概念：投資者至少應該關注項目的審計狀態，審計完成并不能保證協議安全。在這一點上，許多人在思考審計的完成是否更像是一種市場信號，而不是對潛在攻擊的防御能力的切實增強。考慮到這個行業的新興狀態，似乎很明顯，盡管有歷史上的保護措施、大量的審計和極端的預防措施，所有協議仍然容易受到某種黑客的攻擊。

Beosin：Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示，Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊，Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押，該函數會為攻擊者鑄造等量的LP-USDC，隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中，然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額，_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限，利用該返回值通過borrow函數鑄造了大量USP（獲利點），由于攻擊者自身存在利用LP-USDC借貸的大量債務（USP），那么在正常邏輯下是不應該能提取出質押品的，但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題，僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP（借貸上限）而沒有檢查用戶是否歸還債務的情況下，使攻擊者成功提取出了質押品（4400萬LP-USDC）。歸還4400萬USDC閃電貸后， 攻擊者還剩余41,794,533USP，隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]

在前10名被黑協議中，截至2021年11月6日，有8個仍在運行，并且除PolyNetwork外，所有協議都具有原生代幣。不出所料，這7種代幣中只有2種在各自的金庫虧損后恢復了積極的價格表現——Compound和KuCoin。

1inch Network：已向解析器激勵計劃發放超150萬枚INCH:2月12日消息，DEX聚合器1inch Network在社交媒體發布項目數據更新，截止目前已向解析器激勵計劃發放1,507,992 INCH代幣，按照當前價格計算超過80萬美元。1inch Network于1月底啟動解析器激勵計劃代幣發放，總計為1000萬枚INCH。

此外，1inch Network還公布了當前主流鏈上數據，按交易額排名：以太坊（2406億美元）、BNB（326億美元）、Polygon（181億美元）、Avalanche（33億美元）、Arbitrum（32億美元）、Optimism（16億美元）、Fantom（7.291億美元）、Gnosis（1.92億美元）。[2023/2/12 12:02:19]

此列表中的其他黑客包括在其他鏈上進行初始發布的協議，這些團隊在調查被盜資金方面沒有那么積極。似乎協議越大，收回損失資金的責任和動力就越大。

Compound的品牌和關鍵績效指標幾乎沒有改變，盡管最初由于漏洞而損失了1.47億美元

2021年9月29日，Compound流失了價值1.47億美元的COMP代幣，這是迄今為止記錄的第二大黑客攻擊。人們發現新更新的獎勵合約中存在一個漏洞，其中許多用戶因提供流動性而被嚴重地過度補償。為了追回資金，首席執行官羅伯特·萊什納(RobertLeshner)在要求用戶返還資金時給予了10%的寬限，同時威脅要通過KYC追蹤對不遵守規定的人采取法律行動。

Beosin解析Reaper Farm遭攻擊事件：_withdraw中owner地址可控且未作任何訪問控制:8月2日消息，據 Beosin EagleEye 安全輿情監控數據顯示，Reaper Farm 項目遭到黑客攻擊，Beosin 安全團隊發現由于_withdraw 中 owner 地址可控且未作任何訪問控制，導致調用 withdraw 或 redeem 函數可提取任意用戶資產。攻擊者（0x5636 開頭）利用攻擊合約（0x8162 開頭）通過漏洞合約（0xcda5 開頭）提取用戶資金，累計獲利 62 ETH 和 160 萬 DAI，約價值 170 萬美元，目前攻擊者（0x2c17 開頭）已通過跨鏈將所有獲利資金轉入 Tornado.Cash。[2022/8/2 2:54:18]

也許對許多人來說令人驚訝的是，盡管資金回收存在不確定性，但協議內的活動保持相對不變：

與預期相反，30天日均存款人僅從183人下降至181人，而每日借款人實際從89人上升至93人，表明用戶對自有資金安全的情緒幾乎沒有變化。

鑒于該漏洞與Compound金庫而非借貸市場本身有關，黑客攻擊使得流通供應量快速增加，這對代幣的估值產生了更大的影響。

盡管存在漏洞，但在過去一個月中，Compound的累計用戶數量繼續穩步增長，這表明繼續與平臺互動的意愿。

在黑客攻擊的消息傳出后，代幣持有者的數量并沒有減少，但實際上在過去幾周內，用戶的數量在增加，增加速度與黑客攻擊發生之前相似。

動態 | 以太坊域名服務ENS將加入多代幣支持，未來可解析至比特幣地址:go-ethereum和以太坊域名服務（ENS）核心開發者Nick Johnson今天在Twitter 宣布，已經提交了ENS以太坊域名的多代幣支持，該提議通過后ENS以太坊域名將支持解析域名到多個區塊鏈地址，其中甚至可以包括比特幣地址。這也意味著，ENS以太坊域名將可能成為跨鏈的域名系統，用戶可以通過一個域名在多個區塊鏈間互通，未來只需要向其他人展示自己的ENS以太坊域名即可。目前已經有多個數字加密貨幣錢包支持ENS以太坊域名，在使用以太坊錢包進行轉賬時，不需要再輸入冗長的以太坊0x 地址，而只需要輸入短地址即可。[2019/9/9]

Compound的價格在遭到黑客攻擊的當天下跌了12%，但此后又恢復到與黑客攻擊前的水平相當的價格。

總而言之，盡管協議回收丟失的COMP代幣的能力存在漏洞和不確定性，但Compound的聲譽幾乎沒有改變。對協議團隊的信心可能是協議持續增長的主要驅動力。首席執行官羅伯特·萊什納(RobertLeshner)對他的團隊為收回被剝削資金所做的努力直言不諱，并與執法部門合作確保金庫得到補充。此外，考慮到耗盡的資金與協議的主要功能本身無關，與其他黑客攻擊相比，本次黑客攻擊的感知風險并不高。

CreamFinance是唯一遭受兩次重大黑客攻擊的主要協議，但樂觀情緒仍然存在，認為可能會卷土重來

CREAM第一次被黑是在2021年8月30日，當時所有代幣的總價為1880萬美元，第二天它的價格價格下跌了9%。第二次是在同年10月27日流失了1.3億美元，此后價格下跌了40%以上。

甚至在兩次黑客攻擊之前，協議用戶的增長一直非常停滯，而且自8月初以來，CREAM總共只看到了大約500名新用戶。在第一次黑客攻擊之后，用戶增長繼續保持原先的趨勢，并且在接近10月份時停滯不前，其原因可能與第一次黑客攻擊本身無關。然而，當黑客隨機向multi-sig返還1,760萬美元時，可能就會很快重新為CREAM贏回可能在第一次黑客攻擊后失去的信任。

CREAM已經宣布正在制定計劃，補充部分被盜的1.3億美元資金，并且希望黑客最終決定將部分或全部資金返還到金庫地址。

在CREAM代幣持有者數量的變化方面，第一次黑客攻擊導致2個月后持有者僅減少100人，這正是第二次黑客攻擊發生的時間點。這一次，截至11月7日，代幣持有者實際上已從6501人飆升至6937人，因為許多機會主義者因大幅降價而搶購代幣。正如最右邊的活動所表明的那樣，持有人的增長開始放緩，這表明主要的積累階段已經過去。價格和持有人數量飆升的主要催化劑現在將是資金返還的消息。

預計第一次黑客攻擊后的價格下跌(-13%)遠沒有第二次黑客攻擊(-41%)嚴重，因為第二次黑客攻擊流失的金額要比第一次高出10倍。此外，協議的漏洞被黑客多次利用的心理影響會造成信任損失，而這種損失可能在第二次黑客攻擊后加劇。此外，鑒于黑客攻擊執行得十分完美，所以使用錢包追蹤對他們進行doxx的可能性要小得多。CREAM暫時停止了協議操作。

RariCapital是一個完美的例子，盡管面臨嚴峻挑戰，適應仍然很重要

早在2021年5月，RariCapital在其以太坊聚合器金庫中就遭到了黑客攻擊，損失一千萬美元，這是迄今為止DeFi歷史上第27次最大的黑客攻擊。盡管被盜金額不如其他一些備受矚目的黑客攻擊高，但當時Rari的市值僅為9位數，因此對協議和團隊造成了重大破壞。

在黑客入侵后的幾周內，RariCapital的市值下跌了66%以上，因為許多CryptoTwitter上的人開始質疑領導團隊是否應該先去做好自己在現實世界該做的本職工作，尤其是考慮到大多數人幾乎沒有開始接受高等教育。作為回應，Rari投入了一部分開發者資金來完全彌補用戶遭受的損失，并過渡到DAO格式，讓用戶負責選舉全職團隊成員。

盡管價格大幅下跌，但在黑客攻擊之后的一段時間內，Rari代幣持有者的數量實際上有所增加。在過去的6個月中，持有者在10%的狹窄范圍內波動，這表明價格行動是由頂級鯨魚領導的。

幾個月后，Rari已完全康復，鎖定的總價值已超過10億美元。與此同時，代幣價格自黑客攻擊后的低點上漲了近10倍。

Rari的強勁恢復在很大程度上歸功于團隊在校正情況時體現的無私奉獻精神。Rari還證明，除了追查黑客資金之外，還有其他方法可以擺脫黑客攻擊，這對于向前發展很重要，尤其是在私有和秘密區塊鏈網絡為黑客提供更多退出機會的情況下。

自五月中旬PancakeBunny4500萬美元的黑客攻擊以來，該協議的市值繼續趨向于0，盡管目前鎖定的總價值超過50億美元。盡管市值急劇下降，但該團隊一直非常努力地尋找方法來為那些遭受協議影響的人提供回報。

PancakeBunny嘗試通過返回值來繼續構建協議：

PancakeBunny承諾通過補償池將最多4500萬美元返還給原始持有者，其中資金通過應計協議費用、可能沒收的被盜資金以及其他途徑提供

自8月賠償池關閉以來，價值1,800萬美元已退還給各自的索賠人

此后，該團隊發布了新的協議用例，包括預測市場和玩游戲賺錢的游戲，理論上應該為協議帶來價值

盡管做出了這些努力，導致價格持續下跌的幾個原因包括：

對幣安智能鏈能否繼續作為區塊鏈存在持悲觀態度

隨著新的EVM兼容的第1層越來越受歡迎并提供強大的farming激勵，BSC上的用戶增長已經放緩

與幣安智能鏈上的其他協議相比，PancakeBunny缺乏競爭優勢

對原始持有人的全額5000萬美元補償計劃意味著特定時間段內所有協議賺取的費用并未給PancakeBunny($BUNNY)代幣帶來任何價值，因此從投資的角度來看降低了代幣的吸引力

其他協議，包括AlphaFinance和PickleFinance，在遭受了各自的黑客攻擊后也出現了用戶增長的強勁增長，但這并沒有轉化為積極的價格表現。

在AlphaFinance和PickleFinance的案例中，它們被黑客攻擊后的幾天內，用戶數量的增長給人留下了深刻的印象。盡管如此，這種增長并沒有轉化為代幣價格的增長。也就是說，考慮到DeFi的整體增長，這兩種協議的相對市場份額優勢及其競爭優勢都沒有顯著增長，因此代幣價格與黑客事件并不完全相關。

奉獻——創始人對最大限度地利用有限剩余資源的成果的承諾感如何？

適應——內部團隊愿意以何種方式改變協議和/或運營級別的流程，以保持代幣模型的可持續性？

利他主義——團隊成員是否愿意犧牲之前可能分配給他們的部分資金，并將其重新分配給受影響的用戶？

市場情緒——參與方包括機構投資者、用戶、更廣泛的社區成員和鯨魚影響者的支持程度

除了內部團隊的行動之外，市場對協議未來影響和增值的情緒也在很大程度上促進了價格的復蘇。黑客攻擊后不久代幣持有者和協議用戶的立即變化可以表明市場對協議未來的整體情緒。

基于在用戶采用、協議增長和性價比方面表現良好的協議，可以說強勁復蘇的機會也與林迪效應有關。更成熟和更老的項目往往比新項目更好地回歸，原因包括強大的投資者支持、運行協議背后的內在激勵因素以及影響者的支持。此外，與各自鎖定的總價值或代幣市值相比，黑客攻擊金額越低，只要有強大的團隊行動，恢復的機會就越大。

最近在黑客攻擊后在恢復狀態方面存在問題是CREAMFinance。鑒于大幅下跌，如果出現強勁復蘇，則存在“逢低買入”的機會。根據對其他黑客故事的調查，我想到了幾個問題：

CREAMFinance的黑客是否有可能返還1.3億美元資金中的至少一部分？

內部團隊是否制定了強有力的薪酬計劃，證明團隊部分犧牲了開發商/財政資金？

關于BUNNY案例，該計劃是否會過于關注將價值返還給受影響的用戶，而不是讓當前的代幣持有者獲得未來的現金流？

CREAM是否具有足夠強大的競爭優勢，可以讓用戶繞過目前被拆除的信任因素？

加密中的黑客攻擊將繼續發生，特別是隨著鎖定的總價值隨著時間的推移而擴大。然而，通過正確的行動和執行，再加上一點運氣，黑客攻擊將僅僅只是暫時的挫折。

Tags：ANCREA以太坊COMYefam.Finance$TREAM以太坊價格走勢圖COMP價格

XLM