北京时间2020年08月05日,DeFi期权平台Opyn的看跌期权智能合约遭到黑客攻击,损失约37万美元。Opyn是一个通用期权协议,于今年2月份转型为保险平台,通过oTokens为DeFi平台提供可交易的ETH看跌期权,以此锚定ETH市场价格,为高波动性的DeFi市场提供相对的稳定性。PeckShield安全团队获悉Opyn平台遭受攻击后,迅速定位到问题关键点在于:攻击者发现Opyn智能合约行权接口对接收到的ETH存在某些处理缺陷,其合约并没有对交易者的实时交易额进行检验,使得攻击者可以在一笔对自己发起真实的交易之后,再插入一笔伪装交易得卖方所抵押的数字资产,进而实现空手套白狼。简单来说,由于OpynETHPut智能合约中的行权函数exercise()没有对交易者的ETH进行实时校验。根据Opyn平台的业务逻辑,看跌期权的买方给卖方转移相应价值的ETH,即可获得卖方抵押的数字资产。狡猾的攻击者,先向自己发起伪装的交易,利用这笔ETH可以重复使用的特性,再次向卖方用户发起转账,进而取卖方已经抵押的数字资产。下面为您详细分析漏洞原因及攻击过程。漏洞详细过程分析
DeFi借贷平台Teller Finance推出NFT的先买后付功能:7月8日消息,DeFi借贷平台Teller Finance推出NFT的先买后付功能,支持的NFT项目包括Bored Ape Yacht Club、Mutant Ape Yacht Club、Moonbirds、Doodles、CoolCats、Azuki、Meebits、Adidas Originals:Intothe Metaverse、RTFKT-MNLTH以及Murakami.FlowersSeed。该功能名为ApeNow,PayLater,建立在Polygon上。(Decrypt)[2022/7/8 1:59:45]
先来说说,Opyn平台的业务逻辑:当用户使用Opyn合约行权即买卖期货时,需要买方向卖方转入相应数量的ETH或者ERC20Token,然后合约将销毁买方对应的oToken,而后买方将获得卖方已经抵押的资产。例如:小王认为行情进入了下跌趋势,看到Opyn上挂着一个小李对ETH330美元的看跌期权,于是进入交易系统,向小李转账一个ETH,获得小李抵押的等额数字资产。若此刻行情已经跌至了300美元,小王便可获得其中的差价。
Cadano基金会IOHK将在2022年在非洲推出DeFi贷款服务:12月27日消息,Cadano基金会IOHK创始人查尔斯·霍斯金森 (Charles Hoskinson) 表示,他将在2022年第二季度“建立一个金融操作系统”,使非洲人获得DeFi等贷款服务。据悉,IOHK在8月与卢森堡欧洲商业大学达成合作,为非洲国家的学生扩大教育机会。(nairametrics)[2021/12/27 8:07:32]
图1.exercise()函数中循环执行传入的vaults地址列表如上面的合约代码片段所示,行权函数exercise()的内部是一个循环,依据参数中传递的vaultsToExerciseFrom中的地址数量依次调用真正的行权逻辑_exercise()函数。
数据:2020年DeFi中BTC锁定数量增加10000%,ETH数量增加194%:据EWN消息,加密资产数据公司CryptoRank数据显示,锁定在DeFi中的以太坊(ETH)和比特币(BTC)的价值已经达到47.8亿美元,占锁定在DeFi中的代币总价值的43%。此外,自年初以来,锁定在DeFi中的ETH数量增加了194%,而同期锁定在DeFi中的BTC增长了10,000%以上。[2020/10/18]
图2.重用传入合约的ETH来获得抵押资产函数处理ERC20Token时,和大部分的DeFi项目做法一样,使用transferFrom(),如代码1882行所示,从msg.sender转账到address(this)。但是当函数处理的资产为ETH时,处理的方式就完全不一样了。因为在Solidity中,msg.value的意思是合约调用者在调用具有payable接口时所转给该合约的ETH数量,仅是一个量值,所以在合约代码的1879行中,检查msg.value==amtUnderlyingToPay仅能确保合约确实收到了amtUnderlyingToPay数量的ETH,并不会对msg.value的值造成任何影响。但是正如上面讲到的在exercise()中会循环调用_exercise()函数,这导致尽管合约实际只收到一次ETH,然而在循环过程中却可以重复使用。攻击点就在这里,由于合约少了一步对ETH实时数量的检验,使得攻击者可以先伪造一笔指向自己的交易,然后再把已经花掉的本金再次利用,和平台其他用户完成一笔正常交易。
AOFEX第二期抵押OT参与DeFi流动性挖矿活动,300万OT额度20秒告罄:据官方消息,AOFEX交易所今日正式启动第二期抵押OT参与DeFi流动性挖矿活动,300万OT抵押额度仅20秒即告罄,OT现报价15.35AQ。据悉,该活动抵押周期为20天,平台使用等值于300万OT的USDT参与UNI(Uniswap)流动性挖矿,所得收益将全部按照用户抵押比例进行分配。
AOFEX将持续为用户筛选优质流动性挖矿项目并实时监控,用户抵押OT即可参与。
AOFEX数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障。[2020/9/18]
图3.攻击交易分析在图3中,我们通过Bloxy浏览器显示的调用过程来展示攻击的过程。由于攻击者吃掉了很多笔订单,我们以其中一笔交易为例,向大家展示其攻击逻辑:1、攻击者先从Uniswap购入了75oETH为进一步调用函数行权做好筹备;2、攻击者创建了一个Vault地址,作为看空期权卖方,并且抵押24,750USDC铸造出75oETH,但并未卖出这些期权,等于自己同时买入了以330的价格卖出75ETH的权利;3、攻击者在Opyn合约中调用了exercise(),在持有150oETH看空期权的情况下,先向自己的Vault地址转入了75个ETH,获得自己事先抵押的24,750个USDC,再重利用了这75个ETH,成功吃掉了另一个用户的24,750个USDC,进而实现非法获利。修复建议
PeckShield安全团队建议,在Solidity中,合约可使用一个局部变量msgValue来保存所收到ETH。这样,在后续的步骤中通过操作msgValue,就能准确的标记有多少ETH已经被花费,进而避免资产被重复利用。此外,我们还可以使用address(this).balance来检查合约余额来规避msg.value被重复使用的风险。
中国传统信息技术已被扼住喉咙,新兴的数据科技或可弯道超车。“如果说在传统的信息技术领域,我们一直被‘卡脖子’,在以区块链技术为代表的新兴数字技术赛道上,我们完全有机会实现弯道超车.
编者按:本文来自金色财经,Odaily星球日报经授权转载。DeFi收益聚合平台yearn.finance在今年七月中旬发行了治理代币YFI,该代币因为发行公平且分配广泛而受到社区称赞,yearn.
编者按:本文来自橙皮书,Odaily星球日报经授权转载。有时候,现实比剧本更难琢磨。两年前,和crypto圈的开发者聊天,大家谈Web3、谈去中心化的新互联网、谈DID,所有这些概念看起来都棒极.
近期胡润独角兽排行榜引发区块链行业关注,其中共有11家加密货币领域的企业上榜,其内容还是一如既往的荒谬,不愧是曾经为IPFS大局星际蜗牛站台的胡润.
推迟了1个小时,波场去中心化交易所JustSwap终于在8月18日晚11点成功上线,不过上线之后的情况却令人大跌眼镜,不少投资者表示在JustSwap上买到了假币.
最近,央行数字货币又出了个大新闻。商务部发文将央行数字货币推广到28个省市,不过这次央行数字货币的说法变成数字人民币。 也就是说,期待了很久央行数字货币终于有了他的正式名称了,数字人民币.