11月26日下午,去中心化借贷平台Compound遭遇黑客攻击,价值约9千万美元的加密资产被系统强制清算。除了用ETH等非稳定加密资产贷出DAI的用户遭受影响外,抵押其他稳定币借DAI的用户也被殃及。
Compound开创了今年DeFi流动性挖矿的先河,目前平台总锁仓的加密资产高达14.7亿美元,略高于Aave但低于Maker,在DeFi借贷平台中排名第二。
图:DeFi借贷平台TLV排名;来源:https://defipulse.com
Compound的此次巨额清算,罪魁祸首不是项目本身的代码漏洞,而是被很多人忽略的预言机数据源。事实上,在过去的几年里,因为代码漏洞遭遇黑客攻击的比例有所下降,但基于价格预言机操纵的漏洞攻击正在逐步上升。
无论是开发者,还是我们普通用户,都需要关注预言机的数据源,重视预言机的安全性。今天这篇文章,我们将通过通俗易懂的语言,带领大家了解:
Web3游戏公司Mythical Games完成3700万美元融资:金色财经报道,Web3视频游戏开发公司 Mythical Games 在由数字资产管理公司 Scytale Digital 领投的 C1 轮融资中筹集了 3700 万美元。该公司的新投资者包括 Cathie Wood 的 ARK Invest、Animoca Brands、PROOF、Stanford Athletics 和 MoonPay。现有资助者 Andreessen Horowitz、WestCap、Gaingels、Signum Growth 和 Struck Capital 也参与其中。[2023/6/27 22:03:43]
1、什么是预言机?
2、黑客是如何操纵预言机数据源,导致Compound发生巨额清算?
3、普通用户如何自我保护?
什么是预言机?
过去一周NFT项目Vahalla和Cockpunch交易额共计1860万美元:金色财经报道,在过去七天内,Vahalla和Cockpunch两个NFT项目的交易额共计1860万美元,在NFT排行榜上分别排名第三和第四。
CryptoSlam数据显示,Vahalla是过去一周第三大受欢迎的NFT项目,交易额为940万美元,交易数量为6774笔。Valhalla是一款基于NFT的战术策略游戏,由初创公司Stacked创建。第四大最受欢迎的NFT项目Cockpunch,交易额为920万美元,交易数量为9554笔。Cockpunch是由作家兼企业家Tim Ferriss创建的叙事奇幻小说NFT系列。(The Block)[2022/12/15 21:45:11]
提到预言机,大家可能第一时间想到预测市场。事实上,预言机并不作任何预测,相反,它只是一个提供数据、提供信息的桥梁。
1inch已支持直接从Rocket Pool智能合约铸造或销毁rETH:11月1日消息,聚合交易协议1inch针对Rocket Pool的rETH兑换进行了优化,将Rocket Pool的质押合约直接集成到1inch聚合协议中,允许直接从Rocket Pool的智能合约铸造或销毁rETH。也就是说,用户不再需要手动将rETH的市场价格与直接从Rocket Pool铸造/赎回它的成本进行比较,1inch将通过使用这两种来源的任意组合来提供较优价格。[2022/11/1 12:05:38]
举一个生活中的常见例子。你早上刚睡醒睁开眼,想知道外面是否下雨,你对着iPhone说“HiSiri,今天的天气如何,会下雨吗?”语音助手Siri回复你:“主人,现在外面正下着小雨,出门请记得带伞。”
在这个例子中,Siri就扮演了预言机的角色,扮演了现实世界和你之间的桥梁,通过它,你知道了外面正在下雨。
安全团队:Slope Wallet (Android, Version: 2.2.2)的sentry服务存在私钥泄露:8月4日消息,慢雾发布对 Solana 攻击事件的分析,据 Solana 基金会提供的数据,被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope,其余使用 Trust Wallet、Coin98 Wallet 等,IOS 和 Android 均未能幸免。
在分析 Slope Wallet (Android, Version: 2.2.2) 时,发现其使用了 sentry 的服务。Sentry 是一项广泛使用的服务,在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据,并在创建钱包时将其发送到 https://o7e.slope[.]finance/api/4/envelope/,并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”,而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布,所以 Slope 该日期之后的用户受到影响。
对于另外 60% 的使用 Phantom Wallet 用户,分析 Phantom(版本:22.07.11_65)钱包后发现,Phantom(Android,版本:22.07.11_65)也使用 sentry 服务收集用户信息,但目前没有发现任何明显的收集助记词或私钥的行为。[2022/8/4 2:58:18]
在区块链领域,我们最常见的是价格预言机,即为区块链应用提供加密资产的价格信息。
Glassnode:Binance已取代Coinbase成为拥有比特币最多供应量的交易所:金色财经报道,区块链分析公司Glassnode数据显示,Coinbase 继续出现比特币净流出,过去两年累计减少45万枚比特币。Coinbase的比特币余额以1万到3万枚的步骤持续下降。这些比特币正被转移到与Coinbase实体无关的新钱包。鉴于其持有量,这些可能是机构的托管方案。另一方面,在同一时间内,币安的净余额大约增加了30万枚比特币。因此,币安现在已经取代Coinbase成为拥有比特币最多供应量的交易所。[2022/7/11 2:04:33]
需要注意的是,预言机本身并没有数据,它是通过采集不同渠道的数据,然后进行加工处理,其他应用调取预言机处理后的数据信息。就像上面的例子中,Siri本身并不知道外面的天气情况,它是采集了气象服务商的实时天气数据,而我们调取了Siri获得的这个天气数据。
价格预言机,按照获取价格的方式可以分为两种:一种是通过中心化交易所API获取加密资产的实时价格,并将这个链外价格数据带到区块链上;另外一种是直接读取去中心化交易所的实时数据来获取价格。这两种方式各有利弊。
此次Compound因为DAI的价格剧烈波动而触发巨额清算,它所使用的预言机就是采集的中心化交易所DAI的价格信息。
Compound为何会发生巨额清算?
在介绍黑客是如何操控预言机数据源导致Compound触发巨额清算之前,我们先来了解一下DeFi借贷平台的借贷规则。
无论是Compound还是Maker、Aave,主营业务都是抵押贷,即贷款之前你需要有加密资产进行抵押。这个很容易理解,现实生活中你去银行贷款,也需要抵押。如果你偿还不上银行的贷款,银行会把你的抵押物拿去拍卖,用拍卖的钱偿还你的欠债。DeFi借贷平台也一样,如果你偿还不上,平台会卖出你抵押的加密资产用来还债。
DeFi是去中心化的应用,由智能合约自动执行。为了防范风险,这些DeFi借贷平台都会设置:
抵押率
清算门槛
抵押率,指的是你抵押加密资产后,可以贷出多少比例的其他资产。不同的加密资产,因为波动性和市场认可度不同,最大抵押率也可能不同。举个例子,在Compound和Aave上,ETH的最大抵押率都是75%,即你抵押价值100美元的ETH到Compound或者Aave上,你最多可以贷出价值75美元的其他加密资产;UNI最大抵押率,Compound上是60%而Aave上是40%,即抵押价值100美元的UNI在Compound可贷价值60美元的其他加密资产,而Aave上最多只能贷40美元。
清算门槛,指的是你的债务与你抵押的资产之间的比例达到某个数值后,平台会强制卖出你的抵押资产以偿还债务。同样,不同的加密资产,因为波动性和市场认可度不同,清算门槛也可能不同。举个例子,ETH在Aave平台上的清算门槛为80%,意味着当你的债务达到抵押资产价值的80%时,系统就会把你的抵押资产卖出还债。
发生清算时,借贷平台会给清算人奖励,以激励清算人代表借款人去偿还债务,防范后续出风险。举个例子,Aave上ETH的清算奖励为5%,隔壁老王抵押了1ETH,借出了300DAI。过了几天,ETH价格跌到了375USDT,隔壁老王的抵押率达到了80%,就要被清算了。矿矿作为清算人,以5%的优惠折扣,即356.25USDT的优惠价购买被系统清算的价值375USDT的1ETH,系统收到货款后,扣除隔壁老王的债务300DAI,剩余的56.25USDT还给隔壁老王。这个例子为了计算方便没有考虑利息,在实际操作中,因为利息的存在,ETH价格还没跌到375USDT就会被清算。
接下去说是昨天发生的Compound巨额清算。
Compound上的DAI价格来源于预言机,而该预言机的DAI价格采集自单一的交易所——CoinbasePro。根据目前的分析,黑客操纵了CoinbasePro上DAI的价格,下图我们可以看到,DAI的价格短时间内最高拉到了1.34USD。
CoinbasePro交易所DAI价格的上涨,让Compound上抵押其他资产借出DAI的用户债务增加了,一些杠杆率高的用户触发了清算门槛,被Compound清算,而黑客此时扮演清算人的角色,获取系统给的5%清算奖励,最终获利约355万美元。
SamPriestley在推文中分析道:当你的帐户正在清算时,清算人可以选择接受你的任何抵押品,以换取偿还你的债务。所以清算人拿走了DAI。从Uniswap借入DAI,偿还DAI债务,从清算中获取更多DAI,偿还Uniswap,坐收利润。
我们普通人应该如何自我保护?
Compound发生巨额清算,主要是预言机只采集单一交易所DAI的价格惹的祸。其他借贷平台上的DAI,比如Aave,因为采用的是Chainlink预言机,Chainlink采用的是多家运营商的报价,因而避开了此次事故。
对我们普通人而言,在使用借贷平台时,一定要先了解借贷平台的预言机数据源。数据源越多,黑客操控预言机的难度越大,相对而言越安全。
另外,在抵押借贷时,适当降低自己的抵押率。加密资产价格波动剧烈,黑客操纵价格或是插针砸盘往往在短短几分钟内完成,如果抵押率高了,很多人根本没有时间增加资产抵押,那面临的结果只能是被清算。
最后,也是最重要的一条建议,能场外借贷就不要场内借贷。场内借贷,场内杠杆,被恶意操控、恶意爆仓的例子数不胜数。
风险提示:本文内容仅为作者个人观点,不代表知矿大学的看法或立场,亦不构成任何投资意见或建议。
参考资料:1、《Compound突现9000万美元巨额清算,预言机安全应受重视》2、《Compound一日内清算逾9千万美元,Coinbase预言机难辞其咎?》3、《细数DeFi预言机攻击套路,这六种安全措施你需要了解》4、《什么是区块链预言机》
标签:COMOMPUNDCOMPCOMBI币CompoundCrypto Makers FoundationCompound Basic Attention Token
之前看过几篇关于以太坊黑暗森林的文章,对其中的黑暗、扭曲深感震撼。于是花了几天时间写了自己的机器人,深入体验了其间的险恶.
1900/1/1 0:00:00大家好!我是你们的老朋友趋势论币,每日解读世界经济要闻,K线走势解析,实时交易策略及中长线布局。灰度加密资产管理总规模由11月25日的122亿美元降低至108亿美元.
1900/1/1 0:00:00美国大选可能已经结束,但社交媒体网络仍在努力应对在其平台上传播的猖mis的错误信息。Twitter今天透露,它将警告用户,如果他们试图像推文中包含被认为具有误导性的信息.
1900/1/1 0:00:001inch不仅可以快速找到代币兑换的最佳汇率,还能提高最有效的兑换路径。新推出的1inchv2引入了CHI代币,并在许多方面做出了重大改进.
1900/1/1 0:00:00与美元挂钩的稳定货币Tether(USDT)的市值在最近几周大幅飙升,这可能有助于推动比特币(BTC)最近的反弹,推动价格接近历史高点.
1900/1/1 0:00:00亲爱的晨星群主: 您好!晨星计划5期如期恢复,感谢您的耐心等候。为感谢广大群主在特殊时期给予OKEx充分理解和支持,晨星计划5期现进行权益奖励升级,回馈广大晨星群主!1.晨星5期活动时间调整为:2020年10月11日至2020年12月.
1900/1/1 0:00:00