审计不是灵丹妙药,bZx协议漏洞再现 & Pickle(酸黄瓜)火了,最高涨了1832%
大白高国·2020-09-15 阅读 7

9月14日,在DeFi 生态上去中化的借贷协议bZx出现漏洞。

随后 bZx 联合创始人 Kyle J Kistner 发布博客,称在北京时间 9 月 13 日该协议 TVL 出现不正常波动,随后团队经过研究发现有部分 iToken 发生重复的情况。于是 bZx 暂停了借贷服务。Kyle J Kistner 称此次漏洞没有借贷和交易受到影响。部署了受影响的 iToken 合约的新版本,并对重复的地方进行了修正。

这次事件是bZx历史上 第三次受到漏洞影响的“黑天鹅事件”,早在今年2月,bZx就曾经遭受了两次攻击。

2月15日 bZx 出现漏洞并已经被他人利用,攻击者通过闪贷从 bZx 借出ETH后获利1000多ETH,随后该平台暂停了借贷和交易,并部署了升级程序。

2月18日,bZx 发推文说,“鉴于有使用可疑贷款和在Synthetix上进行交易的可疑交易,再次按下了暂停按钮。” 不到六小时前完成的另一笔交易的详细信息通过社区共享,据此损失了2,388 ETH(640,000美元)。

根据相关报道:1inch联合创始人AntonBukov发推称攻击者在此次事件中盗取了约4700枚ETH。



什么是 bZx?


简单来说:bZx 是一个去中心化的 DeFi 协议,用于构建借贷与保证金交易。


(图片来源: bZx官网)

根据网上公开资料显示:

在bZx协议上有两个DeFi 产品,分别是Fulcrum 和 Torque 你可以在 Fulcrum 平台进行保证金借贷和交易,而 Torque 平台则提供固定利率的无限期贷款。bZx 在最新版中支持了闪电贷、流动性挖矿、抵押管理、Gas 代币集成、订单记录及清算引擎等新功能。


(图片来源: bZx官网)

在今年7月13日,bZx宣布发行其代币BRZX。团队决定将分配的所用代币置于一个为期4年的锁定合约,最短生效期为6个月,从代币释放的时间(7月13日)开始计算。团队决定将分配给众售所用的代币置于一个为期4年的锁定合约,最短生效期为6个月,从代币释放的时间(7月13日)开始计算,也就是最快将于明年1月开始解锁部分代币。

BZRX 由中继方用于收取交易费用,代币持有人有权决定如何升级 bZx 协议。BZRX 目前已经改用 ChainLink的预言机,部分平台佣金将投入到一个 "保险基金 "的池子,旨在减少智能合约漏洞所造成的损失。

正是这个"保险基金 "的池子,在这次的漏洞起到了作用。


bZx协议漏洞事件梳理


1、bZx团队注意到协议锁定值(TVL)出现了异常变动;

2、发现iToken合约有异常,该异常的发生与 _internalTransferFrom() 函数相关;

3、在确定修复方案后,iToken的铸造和燃烧被暂停(借款和交易不受影响);

4、受影响的iToken合约的新版本得到部署,余额得到更正;

5、团队将补丁代码发送给派盾(Peckshield)和Certik进行审查;

6、iToken的铸造及燃烧恢复;

此外9月14日,针对bZx协议被攻击一事,1inch联合创始人AntonBukov发推表示,我们发现有人在两天前就发现了这个漏洞,将自己的余额增加到1.536亿枚iUSDT,并开始从USDT池中抽走,直到1.519亿枚iUSDT被销毁。bZx协议管理员似乎有170万美元被盗了。

以太坊开发人员RomanSemenov对此评论称,所以bZx协议管理员使用后门将其代币更新为未经验证状态,从而使他们可以销毁任何用户的资金。然后,在销毁一些参与黑客活动的用户的资金后,他们更新为带有bug修复的正常状态。




漏洞事件影响:损失800万美元,代币暴跌


虽然bZx代码漏洞很快得到了解决,但这次安全事故确实造成了协议很大的损失,根据官方公布的信息显示,这次事件导致了以下这些债务:

1、219,199.66 LINK

2、4,502.70 ETH

3、1,756,351.27 USDT

4、1,412,048.48 USDC

5、667,988.62 DAI


以当前市场价计算,这些损失的代币的价值达到了800万美元。

根据CMC提供的数据,在本文撰写之时,其代币BRZX报价为0.454美元,24小时下降-27.42%。


8月31日BRZX最高报价为1.66美元,随后一路下滑,受到漏洞事件影响,币价再次下行,创下自8月10日的新低。



协议用户并没有受到资金损失


针对 Anton Bukov在推文中所提到的盗取了约 4700 枚 ETH。bZx也作了回应,称资金目前没有风险。列出的那些资金已从保险基金中扣除。

这说明,对于用户来说,这次事件并没有造成损失。

根据最新消息:14日晚间,bZx官方推特发布称,9月13日因合约漏洞而被盗4700枚ETH已被归还,这是一个皆大欢喜的结果。


派盾(Peckshield)和Certik提供了全面的审计工作


bZx协议最新的审计报告审计工作由顶级的审计公司派盾和Certik来完成的,现在我们在流动性挖矿协议中也经常能看到派盾的审计报告,在业界的口碑也不错。

虽然有顶级的安全公司助力,但也没有能阻止这次漏洞事件的发生。

而针对此次攻击,Peckshield及Certik也在推文中指出:在审核过程中发现了一系列问题并纠正,一次审核不能保证找到所有潜在的问题,但是在开发人员和审核员的不断努力下,我们越来越接近于将安全风险降至最低的目标。



总结:


在当前形势下,大量的DeFi新项目涌入这个市场,流动性挖矿已经成为币友的标配。在一片叫好声之下,bZx漏洞事件却给我们再次敲响了DeFi安全警钟。正如安全公司派盾所说,“一次审核不能保证找到所有潜在的问题,审计让安全风险降至最低”。即使项目通过了安全公司的审计,也不能保证100%的安全。

更令人担优的是现在很多流动性挖矿并没有能过安全审计就匆匆上线,在高额利润的引诱下,很多人变的失去理智,最后的结果可能是你的本金归零,维权无门。


在参与流动性挖矿之前,恪守一个原则:没有通过安全审计的矿,坚决不挖。


农民新作物:PICKLE(酸黄瓜)来袭,暴力拉升,最高涨1832%


9月14日,一个由Pickle Finance开发的PICKLE(酸黄瓜)农作物又受到了大家的热捧,24小时币价飞涨至85.24美元,涨幅超过1000%。如果你投1000元变10000元,投1万变10万,投10万变百万,一个真正的10倍币。


根据CoinGecko提供的数据,PICKLE在今天出现了暴力拉升,PICKLE(酸黄瓜)最高涨至85.24美元,按其开盘价来算,24小时已超过1000%。如果以4.41美元的低价来算,最高涨幅达到1832%。


冲高必回落,这几天矿币的价格都会走这一个大涨大跌的模式。

在本文撰写之时,PICKLE已经出现了大幅的回落,现报51.99美元,24小时涨幅下降至169.3%。24小成交量为3093万美元,其交易基本集中在Uniswap (v2)平台。



简单来说,PICKLE做的就是让稳定币更加稳定。

根据相关报道:Pickle Finance在9月11日启动,主打通过自动做市让稳定币的价格趋于稳定,Pickle希望通过流动性挖矿来解决溢价问题。

该项目没有VC,没有预挖,没有ICO,并采用V神所提倡的「平方投票法」(Quadratic Voting)机制进行治理,以防止鲸鱼对治理产生较大影响。


例如,以下两种情况具有相同的投票权:1. 鲸鱼投了100票。2. 10个普通人,每个人投1票。若需投票,用户需要将ETH/PICKLE UNIV2 LP代币质押到Pickle Finance上的ETH/PICKLE池中。


在Pickle上,提供了ETH对DAI、USDC、USDT和sUSD 4种稳定币的交易对,以及ETH/PICKLE交易对,矿工只要将代币注入相应资金池即可而获取PICKLE奖励。

当前Pickle的分配计划是,每个区块分配1个PICKLE代币,一共有五个池瓜分PICKLE代币,其中四个稳定币/ETH池获得其中的50%,剩余的50%分配给PICKLR/ETH代币池。刚发布时,在最初的两周有10倍乘数的效应,也就是最初的两周每个区块可以分配到10个PICKLE。两周后回归到正常,也就是回到1个区块1个PICKLE的分配模式。

2%代币留给团队,用于项目后续的开发与迭代。


Pickle正是通过对资金池挖矿奖励进行调控,来调节稳定币的交易量,从而让其价格趋于稳定。

PICKLE的初始分配基于Curve的sUSD池:各池初始挖矿代币激励份额是Curve.fi各稳定币的资金量来确定,USDT最多,占比高达38%,USDC为34%,sUSD 和 DAI分别为16.23%和11.57%。



Pickle Finance推出的PICKLE(酸黄瓜)挖矿跟现在加密市场上的流动性挖矿有很大的不同,是一个非常新颖的创意,它的主要方向在于以蓬勃发展的DeFi稳定币为市场基础。

不过就目前来说,这种创新并没有得到市场的认同,对于PICKLE(酸黄瓜)能不能通过流动性挖矿来让稳定币更加趋近锚定价格还需要时间来验证。


比特币DeFi项目DeFi协议审计
本文仅代表作者观点,不代表本站立场,若侵犯了您的合法权益,请点击联系我们。