苏打水Soda惊魂48小时：一边黑客攻击，一边巨鲸加仓

短短两三个月时间，DeFi就从小风口迅速成长为加密世界的基础设施。

DeFi在野蛮生长的同时，也暴露出了存在的问题——合约安全。

作为去中心化金融，它的安全性完全依赖于智能合约。

所以DeFi在刚爆发时，无数项目在FOMO情绪下大干快上，因此也就暴露出了合约安全问题。

据PeckShield统计，自6月份Compound开启流动性挖矿以来，DeFi领域因为合约安全问题至少造成400万美元的损失。

有意而为之的比如上线13小时就转走超120万美元的EMD。

首尔法院批准扣押Do Kwon价值1.76亿美元的资产:金色财经报道，韩国检察官已获得首尔南区法院刑事庭的批准，可以没收 Terraform Labs 联合创始人兼前首席执行官 Do Kwon 拥有的资产。该报告披露，共冻结了价值 2333 亿韩元（1.76 亿美元）的资产，其中包括进口车辆、银行存款和在数字货币交易所持有的加密货币账户。[2023/5/11 14:57:13]

当然更多还是无意间导致的，比如前两天发生的Soda，400多个ETH被恶意清算。

不过目前合约已修复，并且团队赔偿了用户所有损失。

链茶馆以Soda为例，复盘合约漏洞从被发现到修复到赔付的惊魂48小时，希望能让DeFi参与者引以为戒，规避本不该发生却偏偏很常见的风险。

Soda苏打水——出道即巅峰

Soda是一个抵押借贷平台，9月15日在以太坊上创建，9月20日正式开挖头矿。

美联储梅斯特：预计利率将“略提高”，然后保持不变:金色财经报道，美联储梅斯特：预计利率将“略提高”，然后保持不变。美联储官员专注于将通胀恢复到2%的目标。现在判断美联储是否会在5月份加息还为时过早。[2023/4/5 13:46:23]

Soda开盘不到6个小时，就暴涨到了500美元，锁仓金额更是超过8000万美元。

很多由大机构背书的DeFi项目，其实也没有取得过这样的成绩，更何况这是由一支匿名团队开发出来的。

因为Soda的挖矿规则真的很有吸引力——双币制。

具体来说就是，用户可以用WETH挖矿SODA，然后抵押自己正在挖矿中的WETH，借出平台发行的合成资产SoETH，然后把SoETH换成更多的WETH，去挖更多的SODA。

简单来说就是……可以把本金放大3.5倍。

所以Soda刚出道就站到C位，但万万没想到这就是巅峰了，因为很快就被发现了合约漏洞。

比特币闪电网络容量突破5000枚BTC，创历史新高:金色财经报道，数据显示，比特币闪电网络锁定的BTC数量已突破5000枚，创下历史新高，价值约9600美元，过去30天增幅达到6%。[2022/10/4 18:38:51]

吹哨人预警代码漏洞

9月20日下午5点，一个叫废X废的微博用户发出了关于Soda.finance协议的风险提示。

“不要抵押WETH借SoETH，合约有漏洞，其他人可以随便清算你的借款单。”

废X废第一时间发现了漏洞，并告知Soda官方，而他本人却并没有利用漏洞来攻击获利。

Glassnode：以太坊期权未平仓合约历史首次超过比特币期权未平仓合约:金色财经报道，据区块链分析公司Glassnode最新分析显示，衍生品交易商正在关注以太坊“合并”，当前以太坊期权未平仓合约为66亿美元，比比特币的48亿美元期权未平仓合约还要高，属于历史上头一次。虽然还没有达到历史最高点，但ETH期权的未平仓合约已经接近创造新的历史，而比特币的未平仓合约仍然远远低于峰值，仅为历史最高值的35%。市场上已经堆积了巨量的看涨期权，让看跌期权相形见绌，交易者们似乎看好以太坊价格上涨至2200美元，大量未平仓合约甚至达到5000美元。[2022/8/10 12:16:20]

因为Soda官方没有第一时间回应，所以废X废选择将风险预警公之于众。

据链茶馆了解，Soda官方是在Soda的discord群里获知消息的，因为有用户把上述微博截图转到了群里。

但当时用户群里普遍认为是因为项目火爆而被人黑而已，所以也就没在意。

中央第五生态环境保护督察组：准东经济技术开发区2018年以来招商落户6家违法高耗能虚拟货币“挖矿”企业:金色财经报道，中央第五生态环境保护督察组1日向新疆维吾尔自治区和新疆生产建设兵团反馈第二轮生态环境保护督察情况，督察组表示，准东经济技术开发区2018年以来招商落户6家违法的高耗能虚拟货币“挖矿”企业，一些地方和部门对自治区生态环境的重要性、脆弱性认识不足，存在“重发展、轻保护”情况，盲目上马“两高”项目管控不力。（新华网）[2022/6/3 4:00:26]

但在1个小时后，Soda官方确认了Bug的存在，引起了恐慌性的资金出逃。

当时WETH池中抵押资产超过1000万美元，借出的SoETH也接近700万美元。

也就是说，理论上黑客可以通过发起清算，以危害超过1000万美元的资产来获利几百万美元。

所以在接下来的几个小时里，SODA的币价从400美元跌到了50美元，锁仓资金也大量出逃，直接腰斩。

惊魂时刻——黑客与巨鲸的博弈

尽管Soda官方在当晚凌晨4点就发布了补丁，并部署了新的智能合约，可用户们依然没办法松一口气。

因为智能合约有时间锁，这意味着补丁生效还需要至少48小时。

所以在这48小时内，随时都会有黑客利用漏洞来获利。

实际上当晚已经至少6名黑客尝试了通过攻击获利。

而与此同时，也有人艺高人胆大，不仅没有撤退，反而加仓了。

所以当时依旧有一两千枚SoETH在流通。

比如有位巨鲸当晚直接一次性借出约861枚SoETH，这意味着他至少还要抵押1230枚WETH，而这1230枚WETH随时都可能被黑客清算。

这位巨鲸的火中取栗自然也会带来高回报——未来两天SoETH-ETH-UNI-V2-LP池子中的一半以上的收益。

那么黑客与巨鲸之间的较量，谁会获胜呢？

48小时后——偏逢连夜雨

经过漫长的48小时的等待，补丁终于生效了。

黑客与巨鲸之间的较量，也终于尘埃落定了。

根据Soda官方统计数据，本次合约漏洞受损用户共14位，被清算的WETH总量为448个，实际受损为134.5WETH?(因为用户借出了的70%的SoETH不再需要偿还，而SoETH的币价略高于WETH)。

Soda官方也提出了补偿方案：以SoETH赔付用户损失掉的WETH，也就是被清算总量的30%。

据链茶馆了解，截止发稿已有大部分用户接受了上述赔付方案。

所以事情本应尘埃落定，可Soda经此重创，SODA的币价从当初的300美元跌到了7美元，缩水近50倍。

更糟糕的是屋漏偏逢连夜雨，Soda又遭遇了“机池”的阻击。

YFV在Soda的Bug还没修好的时候，就已经开通了SODA的机池，并且注入了几百万美元的资金。这意味着Soda的池子里的收益，很容易被机池无情地挖提卖。

讽刺的是，YFV抄走了部分SODA的代码，并且命名为DrinkSODA。

Soda官方的应对措施是提高SODA-ETH-UNI-V2-LP池的挖矿倍数——从5倍升高至20倍，并承诺初期的10万枚挖完后将开启社区投票，决定剩余的90万枚SODA币的发布方案。

Soda的合约安全问题算是告一段落了，那么能否凭借此前的优势重回巅峰呢？

对于DeFi用户和项目方来说，最大的教训是——一定要审计合约。

审计也许不是万能的，但毕竟能规避一些本不该却偏偏很常见的风险。

标签：SODAODASODETHSODATSUKodachi TokenSODOetha币的前景

世界币热门资讯