时间:2023-08-28|浏览:147
用戶喜愛的交易所
已有账号登陆后会弹出下载
然而,DeFi的迅速发展也暴露出了存在的问题,其中一个重要问题就是合约安全。DeFi的安全性完全依赖于智能合约。因此,在DeFi刚爆发时,无数项目在FOMO情绪下盲目行动,导致了合约安全问题的暴露。
据PeckShield统计,自6月份Compound开启流动性挖矿以来,DeFi领域因合约安全问题至少造成了400万美元的损失。有的项目甚至上线仅13小时就转走了超过120万美元的资金。当然,也有一些问题是无意间造成的,比如前两天发生的Soda,400多个ETH被恶意清算。不过目前该合约已修复,并且团队赔偿了用户的损失。
以Soda为例,复盘了合约漏洞从发现到修复到赔付的惊魂48小时,希望能让DeFi的参与者引以为戒,避免那些本不该发生但却很常见的风险。
Soda是一个抵押借贷平台,在9月15日在以太坊上创建,在9月20日正式开启挖矿。Soda的短期表现非常出色,开盘不到6个小时就暴涨到了500美元,并且锁仓金额超过了8000万美元。尽管许多得到大机构支持的DeFi项目也没有取得这样的成绩,但Soda却由一支匿名团队开发。这得益于Soda的挖矿规则,即双币制。用户可以用WETH挖矿SODA,并抵押正在挖矿中的WETH,借出平台发行的SoETH,然后将SoETH换成更多的WETH,继续挖矿。简单来说,就是可以将本金放大3.5倍。
然而,Soda的巅峰很快就被发现了合约漏洞。一个名为"废X废"的微博用户在9月20日下午五点发出了关于Soda协议漏洞的风险提示。他第一时间发现了漏洞并告知了Soda官方。尽管Soda官方没有第一时间作出回应,"废X废"选择将风险公之于众。当时,用户群里普遍认为这只是因为项目火爆而被黑而已,所以没有太在意。然而,一个小时之后,Soda官方确认了漏洞的存在,引发了恐慌性的资金出逃。当时WETH池中的抵押资产超过了1000万美元,借出的SoETH也接近了700万美元。换言之,理论上黑客可以通过发起清算,对超过1000万美元的资产造成几百万美元的损失。因此,在接下来的几个小时里,Soda的币价从400美元跌到了50美元,锁仓资金大量流失。
尽管Soda在当晚凌晨4点发布了补丁并部署了新的智能合约,但用户们依然担心,因为补丁需要至少48小时才能生效。实际上在那个晚上就有至少6个黑客试图利用漏洞来获利。与此同时,也有一些用户冒着风险不断增加投资。因此,48小时内黑客与巨鲸之间进行了激烈的博弈。
经过漫长的48小时等待,补丁终于生效。据Soda官方统计数据,本次漏洞共导致14位用户受损,被清算的WETH总量为448个,实际损失为134.5个WETH。Soda官方提出了补偿方案,用SoETH赔偿用户损失的WETH,即被清算总量的30%。据了解,大部分用户已经接受了这个方案。
然而,Soda经历了这次重创,币价从300美元跌到了7美元,缩水近50倍。更糟糕的是,Soda遭遇了"机枪池"的阻击。在Soda的Bug还没有修复的时候,YFV就已经开通了Soda的机枪池,并注入了几百万美元的资金。这意味着Soda的挖矿收益很容易被机枪池挖走。更讽刺的是,YFV复制了一部分Soda的代码,并命名为DrinkSODA。Soda官方的应
趣开心资讯