流動性挖礦(YieldFarming)是近期DeFi領域中的最熱話題,以各種食物為主題的流動性挖礦似乎每日都能湊成一桌饕餮盛宴,大爆炸式地將新的DeFi概念灌輸給投資者與用戶。
每天新的流動性挖礦項目都會出現,同時舊項目也在退出人們的視野。對于這些項目“新人哪聞舊人哭”的快速交替,身為以建立區塊鏈健康安全生態為己任的CertiK,希望給大家帶來更有價值的問題和答案:當我們在討論流動性挖礦項目安全性的時候,討論點和關注點都應該是什么?
安全這個話題難以簡單概述,非細致的講解不能窺探一二。
本文在此以Harvest.Finance為例,分析作為流動性挖礦項目其存在的安全風險。
Harvest.Finance,它的名字非常直觀的說明了其設計意圖——流動性挖礦。
該項目的代碼已經開源,網站社區等也一應俱全。盡管Harvest.Finance的審計報告已公布,其項目中被審計部分的安全性目前可以被信任,但是這并不能說明Harvest.Finance的整體安全性得到了保障。
百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道,據百度Apollo智能駕駛官方公眾號,百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品,以百度汽車機器人為主體形象,每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉,該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]
CertiK安全研究團隊從該項目智能合約出發,發現了該項目中存在與其他類似流動性挖礦項目同樣的問題:治理中心化,即許多關鍵操作只允許項目管理者來進行,沒有任何對項目限制者的限制手段,例如:
圖1:DelayMinter.sol
參考鏈接:
https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol
首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日,區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈安全提升和產業平穩健康發展。
據了解,在“天眼方案”下,歐科云鏈集團將打造鏈上數據追蹤系統,通過溯源數字資產、監控非法交易等手段,全力遏制洗錢等非法行為;協助執法機關辦案,并為打造法務等區塊鏈系統提供技術支持;為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]
圖2:Governable
參考鏈接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Governable.sol
圖3:Storage.sol
首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道,今日,中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。
區塊鏈技術及軟件安全實戰基地主要涉及領域為:非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等,聯合社會治理、城市安全、前沿技術領域的行業專家,進行警協合作。
據公開報道,近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案,打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙,抓獲犯罪嫌疑人83名,扣押凍結涉案資金2700萬元。[2020/7/21]
參考鏈接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol
首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息,2020年2月17日,嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。
嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作,雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]
圖1中第102行起的函數executeMint()的功能是進行鑄幣操作,由于onlyGovernance的限制,使得只有于onlyGovernance許可的地址可以執行該函數,而onlyGovernance的定義來自于圖2中14行與圖3中27行的代碼,最終從圖3的28行可以看到所謂的“Governance”其實僅是指項目擁有者本身,并不是如名稱所暗示指代一個管理委員會。
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
通過觀察代碼可以了解到,該項目的治理與重要操作的控制權都被項目管理者據有,中心化程度極高,而這一點明顯違背了以去中心化為基本的流動性挖礦項目的本質。
即便項目管理者加入了一個延遲操作的功能,并設置了每一個鑄幣操作都需要提前公布給社區,這依舊無法從根本上解決問題。尤其是當Harvest.Finance項目把延遲的時間期限設置為12個小時,這也違背了大部分人的作息規律。
除了項目的治理中心化程度過高的通病,流動性挖礦項目同樣存在被套利攻擊的風險。
套利攻擊是利用價格差進行低買高賣完成的以獲利為目的的交易行為。已經發生過套利攻擊的著名項目有Balancer和bZx。
10月26日Harvest.Finance項目也發生了套利攻擊事件,損失超3380萬美元。
對于此類攻擊,需要弄清兩個問題:
1.發生套利攻擊的條件是什么?
2.為什么Harvest.Finance項目滿足了這些條件?
發生套利事件需要的條件其實非常直觀:可以完成低買高賣。
簡化來說就是可以通過自己的交易或者操作來影響交易物的價格。
這種交易影響價格的手段可以是直接改變,也可以是改變交易物的數目來間接的影響價格。
流動性挖礦項目自身通過交易來鑄幣或者燃燒幣的操作,十分容易滿足改變交易物的操作要求。
一旦套利攻擊者發現了可利用的攻擊點,可以在沒有風險的情況下當即利用閃電貸借取大額資金,將套利攻擊的獲利擴大。
圖4:Harvest.Finance套利攻擊的交易之一
參考鏈接:
https://etherscan.io/tx/0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877
圖4所示交易是在此次發生于Harvest.Finance項目的套利攻擊的其中一筆交易,攻擊者通過查看該項目智能合約中控制鑄造fUSDC代幣數目的函數,發現鑄造的代幣數目依賴于其參考的Curve項目的計算公式,繼而依靠閃電貸獲得大量初始資金進行套利攻擊。
攻擊者的執行交易的流程大致如下:
1.閃電貸借貸得到大筆USDC和USDT;
2.利用借貸所得USDT通過Curve轉換為USDC,提高USDC價格;
3.將獲得的USDC存入Harvest.Finance項目的USDC儲藏室(vault)中,同時Harvest.Finance會為該存入的行為攻擊者鑄造一定數目的fUSDC(鑄造的數目受Curve影響);
4.?將初始借貸所得的USDC通過Curve轉換為USDT,提高USDT的價格,同時USDC價格降低;
5.最終攻擊者將持有額所有fUSDC轉換回USDC,此時因為Curve中的USDC價格降低,導致影響了兌換回USDC的數目增加。
最終攻擊者利用類似操作,完成了14筆利用針對USDC的套利交易,然后利用同樣的思路,針對USDT完成了另外13筆套利交易。
根據官方報告,計算了攻擊者返還給項目的1300萬USDC和11萬USDT之后,總損失超過2億人民幣。
在Harvest.Finance這次的套利攻擊事件中,攻擊者通過影響USDC、USDT代幣的價格來進行套利。
因此,項目代幣價格不能簡單的依賴于其相對數目,而應該穩定建立于實時、有效、可靠的價格提供系統之上。例如目前的chainlink的價格預言機便可以一定程度上解決此類隱患。
當討論一個流動性挖礦項目的安全性時,不應僅僅簡單的查看程序代碼、智能合約的安全,而需要查看更加深層的、邏輯性的漏洞,例如治理中心化以及代幣價格控制邏輯可能導致的套利攻擊風險。
傳統的代碼審計并不適合包括流動性挖礦在內的區塊鏈項目。
面對此類項目,需要有經驗豐富的區塊鏈項目專業審計人員,從傳統代碼審計、邏輯審計、金融模型審計等多角度對項目的安全進行逐步且完備的審核,才可確保項目的安全。
迄今為止,CertiK已為超過200名機構用戶提供了優質服務,保護了超過80億美元的數字資產與軟件系統免受安全損失。
歡迎搜索微信關注CertiK官方微信公眾號,點擊公眾號底部對話框,留言免費獲取咨詢及報價!?
IPFS生態圈越發完善 “IPFS提供了我們認為重要的數據完整性,隱私和安全性借助正確的工具,我們知道我們可以提供完整的托管體驗和無縫的工作流程,使IPFS像今天的標準網站一樣易于使用.
1900/1/1 0:00:00親愛BKEXer:? BKEXGlobal舉辦的"FIL主網上線,充值交易瓜分10,000USDT"活動已于2020年10月20日18:00圓滿結束.
1900/1/1 0:00:00尊敬的ZT用戶: 由于CNT法幣交易區的下架,目前用戶可在資金劃轉內將法幣賬戶剩余的CNT劃轉至幣幣賬戶.
1900/1/1 0:00:00NFT?是什么? Defi大勢褪去,加密貨幣投資者們都在琢磨著一個問題:下一個加密貨幣投資熱潮將是什么。有KOL預言NFT將成為下一個加密貨幣投資熱門標的.
1900/1/1 0:00:001.金色好文合輯|數字人民幣全解析從2014年,央行數字貨幣,歷經六年發展,帶來了哪些影響和挑戰?其實真正的央行數字貨幣,不僅僅是發行那么簡單,在發行后的流通和交易過程中.
1900/1/1 0:00:00陸百川10.29比特幣早間多軍東山再起口說不如身逢,耳聞不如目見,留得五湖明月在,不愁無處下金鉤,鬧里有錢,靜外安身,酒中不語真君子,財上分明大丈夫.
1900/1/1 0:00:00