火币观察:本月安全问题频出,DeFi项目风控机制有待完善

Huobi Research
Huobi Research 得得号

May 31, 2021 全球财经点评,行业重大事件研究,行情解读,深度研究。

摘要: 火币研习社认为,近期DeFi安全问题频出,这提醒我们目前DeFi生态的发展还处于相对早期,该领域的项目风控机制有待完善。

5月30日,据PeckShield预警显示,多策略收益优化的AMM协议Belt Finance遭到闪电贷攻击。通过追踪和分析,PeckShield发现此次攻击源于攻击者通过重复买入卖出BUSD,利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。

从具体攻击过程来看,攻击者首先是从PancakeSwap中借出8笔闪电贷,并将其中1千万BUSD存入bEllipsisBUSD策略中;其次,他们将贷出的1.87亿BUSD继续存入bVenusBUSD策略,再通过Ellipsis合约将1.9亿BUSD兑换为1.69 亿USDT,并重复7次“提现——兑换——充值”操作。 

由于beltBUSD的价格依赖于所有机枪池余额的总和,因此攻击者将BUSD存入bVenusBUSD策略,再提出BUSD。从理论上来说,由于资产数量不变,即使攻击者重复多次操作,也不会获利。但是,他们如果操纵其他策略的话,beltBUSD的价格就会受到影响。

在此次攻击中,攻击者通过多次买入卖出BUSD,再利用bEllipsis策略余额计算中的漏洞,操纵了价格。随后,攻击者通过Nerve(Anyswap)跨链桥将所获资产分批次转换为ETH。

据统计,2021年5月,至少有15个项目遭到黑客攻击,累计损失已超过2.5亿美元,与2020全年以太坊Defi生态总共损失的1.2亿美元相比,当月损失总额已经超过去年的100%。这是DeFi历史上遭遇攻击频次最高、损失最大的一个月。 

在本月的黑客攻击中,闪电贷是最主要的攻击手法,至少有7个项目因此遭到攻击。而BSC是黑客最活跃的平台,至少有10次攻击都发生在BSC公链。并且,本月受到攻击的涉及金额普遍较大,至少有7个项目的损失金额超过1000万美元,最高的Venus损失金额则超过1亿美元。 

火币研习社认为,近期DeFi安全问题频出,这提醒我们目前DeFi生态的发展还处于相对早期,该领域的项目风控机制有待完善。为提高DeFi项目的安全性,有关方面应确保原始编码安全准确,并利用高级审计和测试工具来进一步提高代码质量;在通过高级安全审核工具进行代码审核之后,项目方还应该使用所有可用的外部资源进行全面的外部安全审核;在审核完成后,项目方还可以进行本地实际网络测试,邀请社区成员和团队测试智能合约,这有助于识别难以发现的隐藏错误;最后,围绕项目本身甚至还可以发起一个寻找漏洞的赏金计划,邀请白帽黑客社区的成员参与并激励他们查找项目的安全漏洞。

行情分析

BTC日内下跌回升,成交量相对萎靡

根据火币全球站数据显示,BTC早间延续凌晨的下跌,最低至34149.63USDT,随后日内开始反弹,目前最高至36388.00USDT。一小时级别来看,早间下跌在34400附近得到了支撑,近期BTC持续在低位震荡,震荡区间上沿在37300一线,下沿在33800一线。日线级别来看,BTC迎来二连阳,处于相对低位。晚间持续关注上涨趋势的延续情况以及上方37300的突破情况和下方34400的支撑情况。

根据火币全球站数据显示,ETH早间小幅下跌,最低至2272.00USDT,随后在2300附近短时横盘,下午开始反弹,目前最高至2521.62USDT,成交量相对萎靡。一小时级别来看,ETH近期持续在低位震荡横盘,日内反弹突破了前期2460的阻力位,上方阻力位在2540一线。日线级别来看,ETH迎来二连阳。晚间持续关注上涨趋势的延续情况以及上方2460的突破情况和下方2300的支撑情况。

合约方面,火币合约大数据显示,BTC合约持仓量相对稳定,合约成交量小幅下降,合约市场不活跃。交割合约基差小幅上升。

ETH合约持仓量相对稳定,合约成交量小幅下降,合约市场不活跃。交割合约基差小幅上升。 

据火币研习社数据监控显示,今日DeFi总锁仓量(TVL)小幅下降达到了752.3亿美元,真实锁仓量小幅下降达到了554.7亿美元。其中,头部项目变化幅度不大。今日Defi总交易量小幅下降,达到了40.0亿美元。其中,PancakeSwap跌幅较大,达到了18.08%。

作者:火币研习社;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 Huobi Research 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信