RIM:簡析加密貨幣波動率指數：如何利用“市場恐慌”來獲取收益？_GRI

撰文：korpi

編譯：深潮TechFlow

從價格上看，這段時間相當無聊，BTC在很小的價格范圍內波動......這是風暴前的平靜？

加密貨幣波動率指數幾乎在歷史最低。

如果你預測未來將會發生一些波動，那么你就可以利用CVI來賺錢。而且，你不必預測價格是漲還是跌。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

什么是加密貨幣波動率指數？

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

CVI是加密貨幣的VIX指數——一個追蹤波動的指數。它由COTI團隊COTINetwork與原始VIX的創造者DanGalai教授合作創建。其目的是為加密貨幣建立一個「市場恐懼指數」。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

CVI的范圍在0到200之間：0-85≈低波動性85-105≈中波動性105-200≈高波動性。

那么，如何依靠CVI賺錢？

有兩種方法：

1.押注波動率，

2.從別人押注中獲利。

如果你認為波動即將到來，CVI將增加，無論價格的方向如何。

你可以獲取與CVI指數掛鉤的CVOL代幣。通過它們的鑄造網站或者在SushiSwap上購買，如果那里更便宜。

但請注意資金費用。

CVOL代幣有一個內置的資金費用：CVI越低，費用越高。它以每日NegativeRebase的形式實施——你的CVOL代幣的數量會減少。

結論：只有當你預期CVOL代幣很快就會波動上升時，才可以購買。

如果你更愿意成為賭場，請將USDC存入ThetaVault。

ThetaVault就像$GLP之于$GMX——存款人與交易員的盈虧相反。目前的年利率是36%，但當CVI爆增時，你也可能會虧錢。

與CVOL代幣不同，ThetaVault是一種長期投資。交易者可能恰好以Theta存款人的成本為代價獲利。但正如$GLP已經證明的那樣，從長期來看，賭場總是贏家。

最后的想法：

CVI是一個有趣的新的DeFi原語。在無聊的分叉洪流中終于出現了一些創新。該團隊已經展示了他們的高超技能，而且路線圖仍然充滿了創新。絕對值得關注。

分享至微信

本文為PANews入駐專欄作者的觀點，不代表PANews立場，不承擔法律責任。文章及觀點也不構成投資意見。圖片來源：深潮TechFlow如有侵權，請聯系作者刪除。

新項目加密貨幣DeFiBTC分叉USDC

Tags：SWAPGRIVAULTRIMSMBSWAPAgricoinVAULTZRIMAU

比特幣行情