banner
banner

DeFi的现状:SYFI的利用和来自Crypto的新狂野西部的经验教训

深入研究智能合约漏洞,显然使一个交易者立即获得了747 ETH的利润-这对加密货币意味着什么. 

今年夏天,加密货币行业见证了鲁re投资的复兴,这是2017年首次代币发行热潮的典型代表。 DeFi或分散式金融已迅速成长为数十亿美元的利基市场,这在很大程度上要归功于其吸引力(但可以说是有争议的) 不可持续的)保证收益,投机驱动的市场行为以及没有看门人的模块化生态系统.

DeFi生态系统包括分散式交易所,与集中式交易所不同,它们没有上市政策或验证要求,从而进一步加剧了市场投机活动。由于缺乏监督,分散交易平台上列出的许多项目的实际价值自然值得怀疑。但是,渴望获利的投资者并不一定会受到困扰。如果令牌周围有一些炒作(和/或 模因势),这可能代表值得一游的过山车-是否存在有缺陷的智能合约.

最新的DeFi "开发"

领先的去中心化交易所Uniswap已成为加密货币领域这种新的猜测的剧院之一。该特定的DEX是本文OKEx Insights研究的事件的中心。最近 "开发" 涉及一个晦涩的 非常需要的 yearn.finance代币(YFI)和一个看似非常幸运的匿名机会主义者。 Twitter用户 放大 声称通过纯粹的机会利用了Soft Yearn Finance(SYFI)智能合约代码中的错误来装箱747 ETH,而无需事先知道该漏洞. 

尽管Amplify的债权尚未得到证实,但一名参与者的确确实在9月初从Uniswap SYFI / ETH资金池中抽走了几乎所有的流动资金。当然,他们的收益对所有其他代币持有者都是一种损失。立即交易 崩溃了1 SYFI的值 至少于0.0001 ETH(从近0.4 ETH),以及CoinGecko 表演 漏洞利用之后,SYFI的价格跌至不足$ 0.001.  

SYFI价格暴跌SYFI智能合约中利用的一个漏洞导致价格暴跌。资料来源:CoinGecko

如果孤立地看,该事件对于加密空间来说并不是什么新鲜事-以快速上升和所谓的出口骗局而闻名。但是,它确实代表了DeFi利基市场中普遍存在的一些主要问题,需要仔细研究,从而开启了有关这一新的投机浪潮中固有风险的讨论。.

有点背景

8月30日,一个名为Soft Yearn Finance的项目宣布了 网站开通 通过Twitter。该项目的 白皮书, 同时发布的详细介绍了一种称为SYFI的新数字货币。该文件解释说,每个SYFI令牌都是 "软钉" 到上面提到的大获成功的yearn.finance代币的价值,YFI-即1 SYFI等于0.0003 YFI.

虽然将YFI与SYFI挂钩的选择显然是由后者的价格表现驱动的,但大多数投机者并不了解确保这种挂钩的机制,即所谓的变基,这是正在讨论的事件的核心.

在另一个DeFi项目Ampleforth(AMPL)的普及下,一种变基机制可以通过破坏或铸造令牌来自动平衡令牌供应,以维持预设的挂钩。例如,如果SYFI的价格跌至0.0003 YFI钉以下,将燃烧代币以支持价格升值,直到再次实现钉。同样,如果价格上涨超过钉住汇率,则将铸造新代币以稀释供应并降低价格.

整个机制通过智能合约实现自动化,虽然令牌余额随每个基础的变化而波动,但其美元价值却没有变化。.

除了钉住一个广受欢迎的项目外,SYFI的吸引力还不清楚。由Soft Yearn Finance的判断 电报组, 但是,Uniswap交易者在代币周围有足够的炒作,让农民都感到兴奋. 

SYFI的初步成功

在白皮书发布后的第二天,8月31日,SYFI通过其发布了一项预售活动。 推特, 不和谐 和电报组。但是,该活动的白名单申请仅在9月1日开放一分钟,这意味着大多数购买者错过了预售,并在Uniswap上将其购买时购买了该代币。 明天.

交易员的大量涌入导致上市后四个小时内的交易量超过600万美元,这促使团队在Telegram上发布了正式公告,并提供了各种路线图摘要.

Soft YearnFi发布后的公告SYFI的交易量在Uniswap上市仅几小时后就达到了600万美元。来源:Soft YearnFi公告电报 

输入放大

交易员和Twitter用户Amplify关注SYFI的发布。在与OKEx Insights的通信中,Amplify同意在匿名条件下发言,出于隐私方面的考虑,仅使用其Twitter句柄。他们表示,他们在9月2日通过交易组意识到了SYFI代币,但错过了预售.

这位匿名交易商意识到该代币将很受欢迎,声称在Uniswap上市后购买了价值0.5 ETH的SYFI,并在不久后以1 ETH的快速利润出售.

随着该项目的第一个计划中的基础工作日趋临近,Amplify声称观察到许多SYFI持有人并未完全理解这一概念。贸易商表示:

"在重新设置基准期间,我注意到大多数$ SYFI持有人都不知道重新基准的含义或将要发生的情况。我看到了一个进行改组的机会,看着社区意识到他们新发现的代币(没有意识到它们的价值没有改变),并且[他们]会在购买后立即购买价格."

当Amplify在重新设置基准之前又购买了价值0.5 ETH的SYFI代币时,他们希望获得快速的利润–并不是重新设置代码中的错误会突然使他们的2 SYFI变成15,551 SYFI,在Uniswap上的定价刚刚超过747 ETH.

不确定他们随后的出售交易是否还会进行,Amplify有几秒钟的时间来决定是否尝试进行交易。考虑到风险是0.5 ETH和少于50美元的交易费用,而奖励是价值超过250,000美元的ETH,这位匿名交易员进行了赌注并大举抛售,获得了Uniswap池中持有的整个ETH堆栈。 SYFI的价格立即暴跌至不足一美分.

SYFI的回应

在接下来的几分钟内,一分钱掉落在SYFI的社交团体中。用户意识到Uniswap池中几乎所有的流动性都消失了,尽管现在拥有的SYFI代币比重新定基前要多得多,但它们的价值却几乎下降了100%.

当晚晚些时候,SYFI团队发布了一份正式声明,声称改组资金与Uniswap价格更新之间存在延迟。结合重新计算本身的缺陷,可以 "恶意行为者" 消灭大部分资金池的流动性. 

小组在关闭其Telegram和Discord频道之前, 添加 他们会奖励一个 "大量的ETH" 为的身份 "不法行为."

与OKEx Insights通讯时,一位匿名SYFI核心团队成员和电报频道管理员被称为 "纱" 详细描述了智能合约错误: 

"代码中存在一个问题,其中使用函数getPar来确定挂钩。开发人员未考虑对其参数的调整,以确保将钉子设置为0.0003 YFI。这导致了重新定价,使供应量增加了7,719倍."

他们接着透露,改组合同缺少 "调用以同步Uniswap预留," 导致在去中心化交易所列出错误的价格. 

9月9日,SYFI Telegram集团的下一个公告详细说明了重新启动该项目的计划,其中包括对受影响的交易商进行补偿并重新注入流动性。.

机会主义者或恶意演员?

9月7日,Amplify首先声称是拖延流动性交易的幕后花了很长时间 Twitter线程 他们称自己不是 "安全专家或开发人员." 他们声称不是在适当的时间,正确的时间利用适当的情况,而是SYFI团队发现的经过精心设计的漏洞利用程序。根据交易商的说法,导致他们大约250,000美元意外之财的缺陷对他们来说是完全未知的.  

许多人对该主题表示支持,并表示如果能够这样做,他们也会这样做。在对OKEx Insights讲话时,Amplify说他们选择将这个故事公开 "带来关闭" 对自己和那些亏钱的人。这位交易员重申了保持匿名的愿望,并补充说,他们感谢社区的这种回应。.

当被问及Amplify的事件版本时,SYFI的Yarn告诉OKEx Insights,其他人一直在尝试做同样的事情,尽管有些成功,但Amplify设法从流动资金池中提取了最大的一块.

Yarn还承认,代表该项目的前开发人员的过失导致了智能合约的缺陷。 SYFI团队成员说:

"最后,我们不想逃避这个事实可能是任何人的事实。无论是Amplify还是其他,结果都保持不变,我们承认应该从开发人员的角度进行更彻底的测试."

SYFI事件突出显示了DeFi问题

这次事件以及越来越多的类似故事引发了人们对由于DeFi繁荣而重新回到加密货币领域的看似漫不经心的猜测的各种担忧。这些包括:

  1. 尽早进入和退出项目的竞赛-甚至那些效用不佳的项目-以前都已经获得了丰厚的回报。这几乎没有时间适当考虑投资.
  2. 缺乏在Uniswap上列出代币的财务或技术障碍,这会鼓励草率的代码实现甚至是彻底的骗局.
  3. 抄袭的代码与即时的Uniswap清单一起可以调用 "害怕错过什么" 在投资者中,不鼓励尽职调查和代码审核.
  4. 尽管出现了新的保险解决方案,但交易者经常在蒙受损失的情况下仍然被发现.
  5. 智能合约漏洞和欺诈风险造成的巨大损失可能会导致整个行业的严厉监管限制.

早期的成功鼓励猜测

在其被动的创收潜力的驱动下,Compound的COMP,yearn.finance的YFI等代币的价格快速上涨,激发了自ICO繁荣以来未曾出现过的投机程度。就像2017年的狂热一样,大量可疑项目与那些具有明显效用的项目一起出现了。但是,许多依赖复制粘贴的代码,已经克隆的平台的克隆非常常见。.

得益于Uniswap的流动性池模型,那些列出新代币的人可以通过将第一流动性添加到新池中来抬高价格。如果他们设法设计出不错的社区炒作水平,例如最近的例子 热狗, 比萨, 青年党其他 -然后,他们可以将大量资产抛给后来者。这种做法让人联想到庞氏骗局,已被称为 "地毯拉" 在行业中. 

当然,考虑到此类项目的发展轨迹通常一开始都是非常向上的,因此许多投机者试图尽早进入市场,以抢占先机。这是Amplify宣称已部署的战略,导致其在失败的基础调整之前实现了有利可图的交易.

在对OKEx Insights的评论中,Amplify渴望区分DeFi和他们所描述的 "模仿狗屎币," 这类似于赌博:

"像对待赌场一样对待它。您不会带着积蓄的钱走进赌场,而期望自己会变得更大。 […]保持很小的赌注,因为Uniswap shitcoin交易的现实似乎是您要么赢了大钱要么一无所获."

快速列表邀请草率或恶意代码

这种新的投机浪潮的骨干是分散交易的Uniswap。与更传统的加密货币交易场所不同,任何人都可以添加 任何ERC-20 平台令牌。上市仅需几分钟,只需最低费用(仅需支付以太坊汽油费),且无需任何审核程序. 

这鼓励了 清单 以及具有实用性,可利用的智能合约甚至恶意后门的代币交易。看到诸如Uniswap之类的平台上交易量的增加,集中式交易所反过来会感到增加针对未经审计的新代币添加交易对的压力,这自然会引起业界的批评。.

最近的一个引人注目的案例是Uniswap叉SushiSwap的案例。该项目的匿名首席开发人员, "主厨能美," 拥有开发者共享SUSHI代币的唯一密钥。这使他们在9月7日套现了约1400万美元,从而使代币价格暴跌并损害了其声誉.

主厨Nomi从那以后 返回ETH 除了公开道歉外,整集都展示了这个新领域的真实面貌.

在一个甚至更大胆的例子中,在9月初出现了另一个晦涩的项目YUNO Finance实际上有一个 后门 在其代码中允许其开发人员铸造无限数量的YUNO令牌。坦率地说,YUNo Finance网站的主页上有一条帖子,显然来自该项目的开发人员。他们在其中评论说,最近启动的各种项目都抄袭了YUNO的 "糟糕的代码," 本身是从SushiSwap复制而来的。帖子继续:

"如果您被烧伤了,那就好好学习一下。 […]对于那些对’mint()’函数感兴趣的人。是的,我可以像热狗一样打电话和打印钱."

许多智能合约是完全未经审核的

SUSHI,YUNO,SYFI和许多其他最近的例子都突出显示了交易未经审计的,急于交换的代币的风险。由于最早的买主和流动性提供者通常会获得最大的收益,并且缺乏许多最大的集中式交易所强制执行的上市标准,因此代币市场可以迅速扩展,然后才能对基础代码进行彻底的审查。.

尽管人们对DeFi一直很感兴趣 生长 在整个2020年,8月看到智能合约锁定的总价值确实在增长。与突然上升有关的是Yam Finance(YAM)的第一次迭代的兴衰。在短短几天内,该项目的总市值达到了创纪录的5700万美元,以其自己的收益农场激励了投资者.  

正如被引用 声电图, 著名的行业专家在8月11日发布的发布会上谴责了YAM。 MyCrypto的泰勒·莫纳汉(Taylor Monahan)将这个项目描述为DeFi的转折点 "有点狂野到彻头彻尾的吓人." 同时,著名的以比特币为中心的软件工程师詹姆森·洛普(Jameson Lopp)呼吁社会排斥那些促进 "不负责任的金融产品."

与SYFY一样,YAM也具有重新设置功能,而与SYFY一样,表示重新设置功能在启动后几天就失败了。相似之处还没有结束,因为在智能合约缺陷导致崩溃之前,这两个项目最初都在Uniswap上吸引了大市场,迫使第二次迭代.  

YAM当前的网站现在具有立即用户警告的功能。但是,它很容易就能说出每天有大比例的Uniswap发行的新代币: 

"审核:无."

Yam网站上的警告弹出窗口。资料来源:Yam Finance. 

但是,在SYFI的情况下,Amplify建议事情要复杂一些,而且要经过深思熟虑。 Amplify告诉OKEx Insights,他们认为SYFI错误可能是其开发人员为启用出口骗局而进行的恶意活动:

"我仍然相信开发人员应对此错误负责。当被问及是否要进行审计时,其中一名团队成员说:“审计很昂贵,会再做一次。”我同意。审计很昂贵,但团队在预售中筹集了400 ETH。很难相信他们曾经打算审核其代码,并且我已经叙述了这种令牌可能是在考虑到此重新设计错误的情况下设计的,从而使开发人员可以毫不留情地退出出口."

当今行业几乎不缺少专业审计师。像Certik和Quantstamp Labs这样的公司只是提供智能合约安全服务的越来越多的公司中的两家。两家公司都拥有令人印象深刻的统计数据,其中许多人将其描述为加密货币行业的更合法方面.

Certik声称已进行了220多次审核,并审查了188,000行代码。同时,Quantstamp Labs由经验丰富的技术和金融行业团队组成,并与Libra,以太坊,Polkadot和Hyperledger等公司合作.

尽管与智能合约安全专家合作的团队数量正在增长,但是许多团队仍在继续使用未经审核的代码来启动项目。自然地,那些故意部署恶意协议的人就在其中.

但是,正如Yarn所建议的那样,声称合法的项目也可以选择退出代码审查。 SYFI核心团队成员声称,渴望推出会影响他们保持未经审核的决定。.

谈到 POV加密 2020年2月的YouTube频道上,Quantstamp的首席执行官Richard Ma评论说,未经审计的智能合约问题在今天和2017年一样普遍。. 

他指出,尽管近年来开发人员的技能得到了很大的提高,但分散式应用程序的日益复杂性创建了新的攻击媒介。后续 "堆放" 新的,通常未经审计的分散式金融应用程序会带来更大的风险.

不幸的是,即使审计也不是结论性的。正如Quantstamp在最近的博客文章Yearn中指出的那样,尽管它具有安全性 由审计事务所审查 7月,在一个月内更新了其代码,从而引发了新的潜在漏洞.

尽管最近使用智能合约的情况越来越多,但Certik的首席以太坊审计师Dominik Teiml在2020年5月的OKEx学院演讲中对当前为DeFi带来更大安全性的努力表示乐观: 

"我们永远不能百分百确定某些事情是安全的。但是,我非常乐观,我们可以通过适当的措施来实现高安全性的保证。广泛而深入的审核,正式验证,大量的漏洞赏金…"

精明的合约安全专家补充说,用户在向新协议投入资金之前应始终寻找审计报告。.

仍然缺乏针对智能合约失败的保护

借助DeFi,流动性挖掘和去中心化交易所仍然是更广泛的加密货币行业中新兴的利基市场,漏洞利用数量众多, "地毯拉" 而且智能合约错误仍在继续增长。尽管可以使用Nexus Mutual,Opyn等保险解决方案,但我们尚未看到它们在投机者中得到广泛采用.

谈到 共价YouTube频道 2020年5月,Opyn的共同创始人Aparna Krishnan表示,DeFi小众市场的投机者仍然不愿接受这些保护措施。自从她发表声明以来,活动激增,而且许多交易或流动性开采中有问题的代币自豪地称自己为 "恶魔" —单词的缩写形式 "退化" -可以断定,像保险这样安全和明智的事情不会引起太大吸引力. 

克里希南总结说: "人们购买像这样的保险还不够令人兴奋."

使这些事情变得复杂的事实是,这些早期保险解决方案本身可能成为智能合约漏洞利用的受害者。 2020年8月上旬, 缺陷 在Opyn的一项智能合约中,攻击者可以从中获得约370,000 USDC的收益。但是,一些针对智能合约漏洞的保护解决方案开始出现参与度上升. 描述 Nexus Mutual由其创始人休·卡普(Hugh Karp)作为风险分担的免费保险,目前向其用户提供的服务不仅限于 2亿美元 价值的保障— 9月13日之后增加了最大的保障.  

虽然这只是迄今为止由于智能合约失败而造成的总损失的一小部分,但总比没有好。奇怪的是,弗罗斯特·布朗·托德(Frost Brown Todd LLC)律师约翰·瓦格斯特(John Wagster)最近 告诉Cointelegraph Nexus Mutual实际上提供了YAM代币的承保范围,但没有任何买家-这一事实表明对该领域的风险管理缺乏认识或关注.

监管机构将如何应对?

由于恶意利用或其他方式利用漏洞而损失的资金越来越多,这肯定会与全球金融监管机构产生共鸣。 密切关注行业.

在最近的OKEx Insights文章中,我们参考了DEX EtherDelta案例,讨论了监管机构迄今对该行业的立场,该交易所在2018年被美国SEC视为未注册交易所。该判决是在该机构发布关于权力下放的自治组织DAO的报告之后进行的, 已确立的 将某些数字货币视为证券. 

最近的许多裁定,例如 紧急限制令 对社交消息公司Telegram的反对表明,该机构最终准备好严厉反对ICO产品。开始审查DeFi项目似乎只是时间问题.

Binnersley Swartz的执行合伙人Kristi Swartz在OKEx Insights的讲话中 & 合伙人质疑监管者最终是否将让精明的合同开发商承担因利用漏洞而损失投资者资金的责任。她补充说:

"同样,应考虑治理问题-合同可能依赖哪个监管者,哪个监管法律?"

Swartz还推测了机构是否甚至能够为代码中的漏洞提供保护。无论监管者是如何进入该行业的,她建议那些使用分散式金融协议的人应始终在向智能合约承诺资金之前研究智能合约。.

DeFi比ICO更具风险?

像之前的ICO一样,DeFi中的收益农业的最新趋势鼓励了新一波的冒险和投机活动。尽管ICO(甚至是骗局)通常都具有合法性,但大多数DeFi协议都是匿名的,公开窃,并在没有网守的情况下立即在分散式交易所中列出.

根据以前的价格表现和有吸引力的被动收入来源,市场参与者感到压力很大。 "立即购买,以后再问问题." 结果,带有后门和可利用代码的代币价格经常以暴涨而告终,从而为不良行为者利用漏洞或为开发商拉开俗套提供了强有力的动力。醒来发现自己一天都没钱的风险在ICO中并不普遍.

话虽这么说,某些责任一定要落在那些急于使用这些全新未经审计的财务协议并从中获利的人们的肩上.

SYFI v2于9月12日推出,而且据CoinGecko称,在重新推出后仅9个小时就吸引了另外220万美元的交易量,这一事实表明,许多人理解风险,但还是选择了承担风险.

鉴于智能合约的失败使大量资金流失,去中心化交易所的交易量不断增长以及该行业的直接骗局数量不断增加,监管机构再次加大力度保护投资者似乎只是时间问题。.

监管上的压制有助于在2017年繁荣之后终结ICO狂潮,可以公平地假设DeFi领域等待着同样的命运。.

OKEx Insights提供了市场分析,深入的功能,独到的研究 & 来自加密专家的精选新闻.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me