CER:CertiK：DeFi項目又雙叒叕出幺蛾子，BZRX IDO事件解析及防范建議_ZRX

當你得知喬丹某款限量球鞋AJ今晚6點正式發售，從早上就搬好了小板凳在店面還排到了一個不錯的位置，正準備摩拳擦掌勢在必得時，發現前面的某幾個排隊者根本不是真粉而是黃牛。黃牛包下了店里所剩的全部新款AJ，于是你趕緊轉戰網購。然而并不意外，還是像原來一樣，由于沒有置辦高配電腦，也沒有專門為了搶購的小程序助力，網速更是沒有花錢去升級，于是網絡首批發售的AJ也全部搶購一空。

一雙原本原價小幾千人民幣的鞋子，突然在網上飆到了上萬人民幣，而賣價早已不是官方店家，而是這些黃牛。這樣的事件也許在你剁手時屢見不鮮，然而區塊鏈領域也不斷有同樣的事情發生。北京時間7月13日晚10點28分，BZRX在Uniswap上市，一位用戶通過智能合約于第一時間用650個ETH購入逾196.61萬個BZRX，兌換了流動池中39.3%的BZRX。兩分鐘后，幣價因為大量購買而上漲，該用戶開始進行一系列出售行為，共計獲利2030枚ETH和30萬個BZRX代幣。不過，這個行為其實是攻擊者承擔了巨大的成本風險來進行的。在實際攻擊過程中，攻擊者并不清楚他又雙叒叕進行交易，哪些會被礦工挖掘并記錄到區塊中。

Larry Cermak：有傳言稱Jump、Alameda等公司又提供了20億美元來拯救 UST:金色財經報道，The Block研究總監Larry Cermak發布推特稱，有傳言說Jump、Alameda等公司又提供了20億美元來拯救 UST。無論這個傳言是真是假，他們的傳播都是非常有意義的。這里最大的問題是，即使他們能通過某種奇跡把它弄到1美元，信任也是不可逆轉的了。我個人認為現在拯救它的唯一方法是完全（或可能非常接近完全）抵押。否則我看不到它再次被使用。[2022/5/10 3:02:58]

Balancer社區投票同意將DEXG流動性挖礦上限提高至300萬美元:剛剛，DeFi協議Balancer（BAL）官方宣布，針對提高DEXG流動性挖礦上限的投票已結束。投票結果顯示，社區支持將DEXG流動性挖礦上限從100萬美元提高至300萬美元。[2021/1/18 16:24:52]

根據安全工程師Romanstorm的推特信息，實際上在所有發送的拋售BZRX的交易中，有14筆交易失敗了，并且這些失敗的交易每一筆都支付了昂貴的gas費用。當然其中15筆交易是成功的，這也就相當于成功的概率能有一半左右，在實施攻擊中其實是承擔了很大風險的。如果攻擊者現在是在搶購限量AJ球鞋，每買一雙，都要支付手續費，并且在每一次購買的同時就要扣除手續費。然而并不是每次購買動作都能成功，一旦購買失敗，手續費也隨之打水漂。從攻擊的思路上來看，其實這更像一個經濟學問題：通過程序監控獲得BZRX上線消息單筆大量購入低價BZRX急劇提升BZRX價格多次拋售BZRX攻擊者以令人迅雷不及掩耳盜鈴之勢完成了這一系列操作，從而獲利。今年6月底，有一類似事件想必大家有所耳聞。Balancer上兩個流動性池遭閃電貸攻擊，損失達50萬美元。CertiK天網系統(Skynet)檢查到BalancerDeFi合約異常后，對其進行了分析。請點擊《空手套以太：Balancer攻擊解析》《DeFi還有未來嗎？Balancer再遭攻擊》進行詳細了解。在BZRX代幣剛被Uniswap列入交易名單之后，攻擊者立刻大量買入BZRX。因為Uniswap的交易所設立的某種市場機制，當某一種代幣被大量購買后，單價會升高。然后攻擊者通過大量交易，多次將手中的高價BZRX賣出獲得ETH，最終獲得大量利潤。其攻擊成本和最終獲利如下：

Cere即將上線 預計在2021 Q1啟動Alpha主網:據官方消息，Cere近期將會公布公募信息、大使計劃，預計在2021 Q1啟動Alpha主網。cere即將上線，少數不法分子盯上了cere，官方在此提醒廣大社區愛好者：所謂的0.009U私募價格，上線33%釋放等都是虛假信息，具體確切的信息請關注官方電報群。

Cere是Polkadot上的去中心化數據云平臺，致力于用戶數據安全并服務于多家大型企業。

Cere的投資方包括Binance Labs、Arrington CRP Capital、NGC Ventures 和分布式資本等。Cere目前正在為媒體，旅游，零售行業的《財富》1000強公司開發商業項目，幫助企業們提升用戶體驗并進行數位化轉型。[2020/12/30 16:04:22]

Dai 供應接近歷史新高，6 月以來 Balancer Labs 流動資金已增長 5.3 倍:DTC Capital 投資者 Spencer Noon 發文闡述了 5 個跡象表明 DeFi 采用正在迅速發展。1）首先在 BTC 美元借貸利率上，DeFi 超過了 CeFi。CeFi 用戶已經開始使用 DeFi 協議（例如 MakerDAO）進行再融資。2）目前去中心化穩定幣 Dai 的供應接近歷史新高 1.23 億；3） TokenSets 在 5 月再平衡達到歷史新高，有價值約 4,700 萬美元的加密貨幣在鏈上完成交易；4）盡管自 4 月以來 Synthetix 解鎖了 1600 萬美元的 SNX 的通脹獎勵，總鎖定價值（TVL）仍持續上升，強烈表明該代幣模型是可行的；5）自 6 月 1 日起，Balancer Labs 流動資金從 600 萬美元增至 3200 萬美元，增長了 5.3 倍。5 個池的流動資金超過了 100 萬美元，有 30 個池至少持有 10 萬美元。該協議中有 2 個資金池進入自動作市平臺資金池的前 5 名。[2020/6/13]

這兩次事件的相同之處在于，攻擊者都是利用了DeFi金融模型的機制“缺陷”，用低買高賣的方式進行套利。而此次事件與Balancer攻擊不同的地方是，在Balancer攻擊中，攻擊者是惡意控制并壓低代幣的數量來對價格進行控制。而在此次攻擊中，攻擊者則是通過利用BZRX剛剛被Uniswap列入交易名單并且價格較低的那段時間，通過了正常的流程購買從而獲利的。因此Romanstorm在之后的推特中發布信息稱BZRXIDO事件既不是協議利用，也不是黑客行為。然而，與傳統智能合約不同的是，DeFi智能合約存在金融模型漏洞。

即便代碼沒有漏洞，合約部署沒有漏洞，問題也可能出在金融模型漏洞上。聽起來有些防不勝防？

CertiK在此給出一些基本的方法措施，希望能夠幫助DeFi項目防范此類問題的再次發生：發售新幣時，可以參考交易所上幣的流程。交易所在幣開售之前，根據某種指標，給用戶一個購買額度，在幣開售之后，用戶只能購買某額度以內的貨幣。這樣就不會出現一個用戶搶購了近40%的新發售的幣從而“哄抬物價”。采用Ringtrading方法，設定交易活動間隔時間，分批次出售。采用dFusion類似的批量拍賣，或是類似于荷蘭式拍賣等交易方式進行出售。此次事件既不是DeFi項目被黑，也不是DeFi合約有漏洞。但其過程中被攻擊者鉆了巨大的空子，也側面反映出了DeFi在金融層面而非技術環節本身的不成熟。正如之前CertiK團隊專家分析的，這更像是一個經濟學問題。因此CertiK建議廣大用戶，除了要加強DeFi項目的風險排查，隨時監測安全漏洞與風險，更有必要借助第三方安全公司協助其完成攻擊測試和全方位安全防御部署，幫助其排查其他任何原因所帶來的問題。

Tags：CEREFIZRXBZRXsoccer幣是什么幣DEFI Szrx幣值得長期持有嗎VBZRX價格

AVAX