注:北京時間11月15日凌晨,去中心化金融協議ValueDeFi遭遇閃電貸攻擊,攻擊者通過復雜的方式從Value協議的金庫中轉移走了大約700萬美元,隨后歸還了200萬美元,并附上了一條帶有嘲諷意味的信息:“你們真的懂閃電貸嗎?”,而在攻擊發生前一日,ValueDeFi公開宣稱自己是DeFi領域最安全的協議,并且能夠抵抗閃電貸攻擊。
原文來自rekt,作者對這次攻擊進行了分析。
他們真的理解閃電貸嗎?
聲譽的價值是不穩定的,謙虛能夠帶來穩定,而吹噓太多,最終只會搞砸。
ValueDeFi今天因為閃電貸攻擊被黑了700萬美元,這又是一次關于閃電貸的慘痛教訓。
私募巨頭KKR部分私募股權基金上線Avalanche:9月13日消息,全球投資公司KKR宣布與Securitize合作,在Avalanche上提供其私募股權基金的一部分。合格的購買者(擁有500萬美元可投資資產)在創建加密錢包并注冊Securitize后,可通過一個Token化的支線基金投資KKR基金。持有一年后,投資者將能夠在由Securitize部門管理的二級市場上將其出售給其他合格的個人。(華爾街日報)[2022/9/13 13:27:09]
黑客攻擊前的代幣價格-2.73美元
黑客攻擊后的代幣價格-1.87美元
讓人啼笑皆非的是,在黑客攻擊前一天,項目方發布了這樣一條推文:
研究人員:EIP-721標準內“setApprovalForAll”函數風險性極高:4月16日消息,在周杰倫NFT被盜之后,研究人員RomanZaikin、DiklaBarda和OdedVanunu開始調查NFT常用的EIP-721標準,結果發現欺詐者可以引誘用戶點擊惡意NFT的鏈接,然后通過該標準內一個名為setApprovalForAll的函數控制受害者賬戶,該函數可以授權任何人控制NFT,其設計初衷是為了讓Rarible和OpenSea等第三方能夠代表用戶控制NFT。
一旦該函數完成授權,攻擊者就可以通過使用合約上的transferFrom函數將受害者名下的所有NFT轉移到自己的賬戶。研究人員表示,該功能在設計上非常危險,用戶并不總是清楚他們通過簽署交易給予了哪些權限。大多數時候,受害者認為這些僅為常規交易。(TheRegister)[2022/4/16 14:28:11]
盡管ValueDeFi團隊大膽宣稱自己的協議很安全,但他們似乎并不知道提款不僅可以通過主合約進行,還可以通過代理從金庫合約中提取。
涉嫌內幕交易的前OpenSea高管Nate Chastain正開發新NFT平臺Oval:4月1日消息,前OpenSea高管Nate Chastain正在開發一個新的NFT平臺Oval。截至2月底,Oval正在尋求以3000萬美元的投資前估值籌集300萬美元的種子輪融資;在更早之前,Oval希望以5000萬美元的投資前估值籌集750萬美元。
此前2021年9月17日消息,涉嫌“老鼠倉”操作的OpenSea高管Nate Chastain的推特個人簡介已變更為“前OpenSea”,這意味著他已從OpenSea離職。Nate Chastain此前為OpenSea產品負責人。近日,此人因疑似利用職務之便進行“老鼠倉”操作而備受爭議。(CoinDesk)[2022/4/1 14:30:41]
ValueDeFi使用了Curve現貨價格作為預言機。
區塊鏈數據API平臺Covalent宣布CQT將于一季度上線單邊質押:1月27日,據官方消息,區塊鏈數據查詢與索引 API 平臺 Covalent 公布了 Covalent Network 的路線圖,宣布其原生 Token CQT 將于今年一季度上線單邊質押。
同時Covalent還公布了其新品 Block Specimen 的白皮書,稱 Block Specimen 將提供一個統一的、規范的模式,可從多個區塊鏈安全提取數據,以解決 Web3 中的讀取擴展性問題。[2022/1/27 9:17:54]
而攻擊的詳細步驟如下:
操縱發生在第5步和第6步。
第七步的取款使用了錯誤的Curve函數進行數學運算;
功勞來自@emilianobonassi
功勞來自@FrankResearcher
15:24-這次攻擊選擇了對ValueDeFi團隊非常不利的時間點,時間是在他們要開始一次AMA活動的20分鐘前。
在15:41,一名用戶提問為什么協議鎖倉值出現了下降,當天早些時候,ValueDeFi鎖倉值一度超過了1100萬美元。
到了15:49,人們的擔憂越來越大,而協議團隊成員則告知大家這是一個UI漏洞。
然后在15:49,有人在聊天室放出了etherscan鏈接。
價值700萬美元的ValueDeFi金庫資金被轉移,之后攻擊者歸還了200萬美元,并附上了下面這樣一段話:
“你們真的理解閃電貸?”
在16:00,就在AMA即將開始的時候,StaniKulechov發布了以下這條推文,告知了大家發生了什么。
同時,在AMA活動中;
Value團隊在16:05的時候,在Discord聊天室承認了這次攻擊,而AMA的問題持續了40分鐘,討論的都是無關主題,直到……
$FARM、$AKRO以及$VALUE都成為了閃電貸的受害者,它們因為弱協議而遭到了嚴厲的教訓,并且攻擊者都通過返回一些金額來表達一些“善意”。
這些攻擊是想要教我們什么嗎?
閃電貸在DeFi領域是一個有爭議的話題,近幾個月來,它們一直是很多攻擊及漏洞的主要原因,但是可以說,閃電貸只是在加速我們的學習過程,并有助于消除薄弱的協議。
如果沒有閃電貸,未來也可能會有“鯨魚”能夠這樣做,我們最好就在去中心化金融的起源階段經歷這個過程,因為準備冒險的人每天都在試驗、嘗試和發布新產品。
閃電貸是來教導那些冒進者的,告訴他們為何要謙卑,它們處在DeFi的頂點,這在其他任何地方都是不可能的,閃電貸是DeFi這項技術帶來的新功能的完美例子。
這是DeFi的一個特性,而不是對代碼的利用。
最強大的協議不會受這些攻擊的影響,有些甚至能夠從中受益。
可以說,閃電貸強行提高了DeFi開發者的門檻。
在新標準得到滿足之前,人們和協議會遭到攻擊,這將是痛苦的,而它也將是公開的,但正因為如此,我們需要學習。DeFi將變得更強,我們將為未來的用戶開發更好的實踐、更強的代碼以及更安全的環境。
本文來自?TheBlock,原文作者:FrankChaparro譯者:念銀思唐Odaily星球日報 摘要:-據Grayscale報告,第三季度有超過10億美元的資金流入其加密基金.
1900/1/1 0:00:00作者?|?AdelynZhou翻譯|?Olivia??自今年年初以來,去中心化金融生態系統已經迅速發展到鎖定總價值超過120億美元.
1900/1/1 0:00:00原文作者:NathanielWilliams原文鏈接:https://www.coindesk.com/digital-voting-privacy-blockchain在我寫這篇文章的時候.
1900/1/1 0:00:0011月3日下午,中國未來區塊鏈創新中心舉行了首場活動——Chainge技術沙龍·開放金融全國行第三站.
1900/1/1 0:00:00一個月前失竊的加密資產交易平臺庫幣的被盜資金又出現異動。據加密資產追蹤器WhaleAlert分析,11月4日,黑客將共計價值超826萬美元的REQ、DRGN、DX、DENT和TRAC五種資產轉移.
1900/1/1 0:00:00比特幣(BTC)價格正經歷一個不穩定的時期。在自2017年以來首次達到14100美元后,隨之而來的是大幅回調。然而,關鍵的鏈上數據和鯨魚集群顯示,高凈值個人投資者仍在持倉.
1900/1/1 0:00:00