CertiK：DeFi项目又双叒叕出幺蛾子，BZRX IDO事件解析及防范建议

当你得知乔丹某款限量球鞋AJ今晚6点正式发售，从早上就搬好了小板凳在店面还排到了一个不错的位置，正准备摩拳擦掌势在必得时，发现前面的某几个排队者根本不是真粉而是黄牛。黄牛包下了店里所剩的全部新款AJ，于是你赶紧转战网购。然而并不意外，还是像原来一样，由于没有置办高配电脑，也没有专门为了抢购的小程序助力，网速更是没有花钱去升级，于是网络首批发售的AJ也全部抢购一空。

CertiK：holoride项目Discord服务器遭入侵:金色财经报道，据CertiK官方推特发布消息称，holoride项目Discord服务器遭入侵，有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前，请勿点击任何链接。[2023/7/10 10:12:49]

一双原本原价小几千人民币的鞋子，突然在网上飙到了上万人民币，而卖价早已不是官方店家，而是这些黄牛。这样的事件也许在你剁手时屡见不鲜，然而区块链领域也不断有同样的事情发生。北京时间7月13日晚10点28分，BZRX在Uniswap上市，一位用户通过智能合约于第一时间用650个ETH购入逾196.61万个BZRX，兑换了流动池中39.3%的BZRX。两分钟后，币价因为大量购买而上涨，该用户开始进行一系列出售行为，共计获利2030枚ETH和30万个BZRX代币。不过，这个行为其实是攻击者承担了巨大的成本风险来进行的。在实际攻击过程中，攻击者并不清楚他又双叒叕进行交易，哪些会被矿工挖掘并记录到区块中。

Messari：2022年Balancer锁仓量下降57%:1月10日消息，加密分析公司Messari发布《2022四季度Balancer状态报告》。数据显示，四季度Balancer在以太坊上的锁仓量下降了10%，但是在Polygon、Arbitrum和Optimism上的锁仓量却分别增加了42%、71%和20%，这些Layer 2上的锁仓量增长大部分归功于来自Lido和Rocket Pool的外部激励，这两个DeFi协议在Arbitrum和Optimism链上Balancer流动性池锁仓量中占比达到约50%。

纵观整个2022 年，Balancer总锁仓量下降了57%，但表现仍好于整体加密货币市场和其他DeFi协议，其跌幅小于竞争对手Uniswap（-61%）、Sushiswap（-90%）和Curve（-84%）。[2023/1/10 11:04:11]

Balancer发起投票欲将AMPL流动资金上限提高至300万美元:11月26日，基于以太坊的去中心化金融协议Balancer官方宣布，将于北京时间11月27日7:00-11月30日7:00进行治理投票，投票表决内容为将AMPL流动资金上限从100万美元提高到300万美元。[2020/11/26 22:11:05]

根据安全工程师Romanstorm的推特信息，实际上在所有发送的抛售BZRX的交易中，有14笔交易失败了，并且这些失败的交易每一笔都支付了昂贵的gas费用。当然其中15笔交易是成功的，这也就相当于成功的概率能有一半左右，在实施攻击中其实是承担了很大风险的。如果攻击者现在是在抢购限量AJ球鞋，每买一双，都要支付手续费，并且在每一次购买的同时就要扣除手续费。然而并不是每次购买动作都能成功，一旦购买失败，手续费也随之打水漂。从攻击的思路上来看，其实这更像一个经济学问题：通过程序监控获得BZRX上线消息单笔大量购入低价BZRX急剧提升BZRX价格多次抛售BZRX攻击者以令人迅雷不及掩耳盗铃之势完成了这一系列操作，从而获利。今年6月底，有一类似事件想必大家有所耳闻。Balancer上两个流动性池遭闪电贷攻击，损失达50万美元。CertiK天网系统(Skynet)检查到BalancerDeFi合约异常后，对其进行了分析。请点击《空手套以太：Balancer攻击解析》《DeFi还有未来吗？Balancer再遭攻击》进行详细了解。在BZRX代币刚被Uniswap列入交易名单之后，攻击者立刻大量买入BZRX。因为Uniswap的交易所设立的某种市场机制，当某一种代币被大量购买后，单价会升高。然后攻击者通过大量交易，多次将手中的高价BZRX卖出获得ETH，最终获得大量利润。其攻击成本和最终获利如下：

dHEDGE完成治理代币DHT拍卖 将在Balancer上开启流动性挖矿:9月20日，基于Synthetix生态的资产管理交易协议dHEDGE官方宣布，已完成其治理代币DHT拍卖。此后，dHEDGE将开启Balancer流动性池激励计划，将以拍卖会上剩余的500,000个DHT作为挖矿激励，在Balancer上创建DHT池。此前消息，dHEDGE（DHT）已上线火币、OKEx交易所。[2020/9/20]

动态 | NBA球员Spencer Dinwiddie表示将于1月13日启动其代币投资平台:据Decrypt消息，NBA球员Spencer Dinwiddie本周表示，尽管NBA威胁禁止他进入职业篮球联盟，但他的代币投资平台将于1月13日启动。据悉，联盟仍在审核Dinwiddie的修订提案，这意味着该平台不能保证在1月13日启用。此前消息，Dinwiddie于2019年10月宣布计划推出区块链投资平台DREAM Fan Shares，出售90种名为SD8 coins的代币，代币持有者将在未来三年内以4.95%的基本利率每月收到还款。但NBA对这一提议并不感兴奋，称这种平台违反NBA球员的集体谈判协议。[2020/1/11]

这两次事件的相同之处在于，攻击者都是利用了DeFi金融模型的机制“缺陷”，用低买高卖的方式进行套利。而此次事件与Balancer攻击不同的地方是，在Balancer攻击中，攻击者是恶意控制并压低代币的数量来对价格进行控制。而在此次攻击中，攻击者则是通过利用BZRX刚刚被Uniswap列入交易名单并且价格较低的那段时间，通过了正常的流程购买从而获利的。因此Romanstorm在之后的推特中发布信息称BZRXIDO事件既不是协议利用，也不是黑客行为。然而，与传统智能合约不同的是，DeFi智能合约存在金融模型漏洞。

即便代码没有漏洞，合约部署没有漏洞，问题也可能出在金融模型漏洞上。听起来有些防不胜防？

CertiK在此给出一些基本的方法措施，希望能够帮助DeFi项目防范此类问题的再次发生：发售新币时，可以参考交易所上币的流程。交易所在币开售之前，根据某种指标，给用户一个购买额度，在币开售之后，用户只能购买某额度以内的货币。这样就不会出现一个用户抢购了近40%的新发售的币从而“哄抬物价”。采用Ringtrading方法，设定交易活动间隔时间，分批次出售。采用dFusion类似的批量拍卖，或是类似于荷兰式拍卖等交易方式进行出售。此次事件既不是DeFi项目被黑，也不是DeFi合约有漏洞。但其过程中被攻击者钻了巨大的空子，也侧面反映出了DeFi在金融层面而非技术环节本身的不成熟。正如之前CertiK团队专家分析的，这更像是一个经济学问题。因此CertiK建议广大用户，除了要加强DeFi项目的风险排查，随时监测安全漏洞与风险，更有必要借助第三方安全公司协助其完成攻击测试和全方位安全防御部署，帮助其排查其他任何原因所带来的问题。

标签：CERNCEBalancerLANCcere币合约地址balance币怎么挖Magic Balanceravalanche币

PEPE币热门资讯