金色财经近期推出金色硬核(Hardcore)栏目,为读者提供热门项目介绍或者深度解读。
2月16日,bZx被爆遭到“攻击”,“攻击者”操纵多个DeFi项目上的代币价格,从而实现15秒内套利36万美元。涉及多个DeFi明星项目如Compound,DyDx,Uniswap,kyber,bZx。这个“攻击”利用了DeFi上最新的闪电贷(flashloans)功能。正如bZx所说,这种“攻击”是所见过的最复杂的攻击之一,只有对每种DeFi协议及其各种工具有非常深入的了解才有可能,传统金融体系中没有类似的东西。
什么是闪电贷(flashloans)?怎么利用闪电贷(flashloans)来套利?本期金色硬核(Hardcore)综合编译AbitrageDAO和PeckShield最早和最新的闪电贷套利研究。
AbitrageDAO是Stake资本团队建立的一个DeFi套利基金,联合链上流动性和链下机器人来寻求套利机会。PeckShield为区块链安全公司。
最新进展:2月18日bZx发推宣布再次暂停,疑似再次被“攻击”,“攻击”者或获利2388个ETH。
在交易世界中,套利是一种利用市场之间的价格差异来获利的策略。套利机会在金融市场中以各种形式存在。加密货币也不例外,很多交易所之间有着套利机会。套利有助于减少资产在不同市场中的价格差异,它还有助于提高流动性。
我们(AbitrageDAO)专注于在以太坊上运行的具有合约可填充流动性(Contract Fillable Liquidity ,CFL)的去中心化交易所。有CFL的去中心化交易所包括Oasis,0x relayers,Uniswap,Bancor和Kyber。有CFL的交易所允许交易者在以太坊区块链的一个区块交易中利用套利机会。
金色午报 | 6月21日午间重要动态一览:7:00-12:00关键词:共为2020·创新大会、福布斯、吴忌寒、河南
1. 共为2020区块链应用·创新大会(深圳)今日开幕;
2. V神:去中心化金融不应该是为了最大化收益;
3. 吴忌寒方声明:香港比特已暂停向詹克团亲属所控的世纪云芯的芯片供给;
4. 福布斯:到2030年加密交易所和比特币有望实现大规模增长;
5. 深圳市科创委包宇:区块链项目把自己打扮成一个金融项目不利于行业发展;
6. 工信部相里朋:预计2022年产业规模有望达到4.59亿美元;
7. 分析师:部分以太坊DeFi用户正在实现100%年收益率,但存在多重风险;
8. 河南厅:目前市场上所谓“数字货币”均非法定数字货币;
9. 金色财经CEO安鑫鑫:共话区块链行业下一个十年的发展与突破。[2020/6/21]
什么是闪电贷(flash loans)
闪电贷(flash loans)是为开发人员设计的,可以在无需提供任何抵押的情况下立即进行贷款。所有这些都要在一个交易(一个以太坊区块)中完成。开发人员可以从Aave储备池中借钱(注:flash loans最早讨论来自Aave协议,第一笔flash loans也来自Aave),条件是在交易结束之前将流动资金返还到资金池中。如果这种流动性未能及时返回储备库,则交易将被撤回,从而确保储备池的安全。
闪电贷有许多有趣的用例,包括:
去中心化交易所之间的套利
多个借贷平台如Compound,dYdX或Nuo上清算贷款
再融资,例如从Aave提取DAI,关闭MakerDAO CDP,获取抵押品,在Compound上存款,开仓,取回DAI,退还DAI加手续费
这使得更多参与者可以在套利和清算间发挥作用,因为不需要任何资金就可以开始。套利机会通常不需要太多资金(在100-10000美元之间)。另一方面,清算需要大量资金来清算借款人头寸。Compound或单抵押DAI(SAI)的许多清算需要ETH或DAI超过100万美元。
金色相对论 | 李彦东:围绕核心不偏离 监管问题可以迎刃而解:在今日举行的金色相对论中,针对“Filecoin会不会遇到监管问题?然后影响Filecoin的落地应用”的问题,星际大陆董事长李彦东表示,1.filecoin是一个工具,或者叫菜刀,几乎没有国家因为内容监管封锁http等协议的,一般会在用户端监管。谁上传谁担责,谁传播谁担责。矿工可以主动避免这种情况发生 一者在前期垃圾数据为主 二者中期开拓企业订单(安全可控数据)增加收益为主。
2. 三者目前矿工接单存储的模式下,矿工可以选择接受或者拒绝存储。
3.矿工可以主动拥抱监管,一旦发现非法数据,配合删除。监管确实有可能,但是前期这个项目体量还小,不入监管法眼。以当下政府的开放态度来看,创新与风险并存,矛与盾同时升级是历史趋势。
总之:做好风控、拥抱监管、多做好人好事接好订单。我想,我们国家的目标很清晰,服务实体、改善民生,紧紧围绕核心不偏离,监管问题可以迎刃而解。[2020/5/20]
ArbitrageDAO是低抵押/无抵押闪电贷的最佳用例。但我们相信,在未来几个月中,将看到许多使用闪电贷的激动人心的项目。
第一笔闪电贷
ArbitrageDAO于2020年1月18日完成第一笔无抵押的闪电贷。见下图Camilla Russo的报道。
为了证明闪电贷的巨大潜力,我们决定聚焦于特定的套利策略,但也可应用于许多其他方面。你可以在此处查看ArbitrageDAO从钱包发起的交易:https://etherscan.io/address/0x8645abffe4fad9e0c6c18afff30ef6aea438008c
https://etherscan.io/tx/0x4555a69b40fa465b60406c4d23e2eb98d8aee51def21faa28bb7d2b4a73ab1a9
金色相对论 | 裴庆祺:现阶段的区块链创业公司都非常关注的一个需求“正本清源,行业引导”:在本期金色相对论中,针对“面对现在的周期变化,创业者的需求是什么?有哪些创业因素需要尤为重视?”的问题,陕西省区块链与安全计算重点实验室执行主任裴庆祺表示需求还是很多的,来自市场的真实诉求、政府的政策导向、资金投入、人才引进等等。除此之外,对于现阶段的区块链创业公司都非常关注的一个需求我认为可以用八个字总结“正本清源,行业引导”。很多朋友们对区块链技术非常关注,但是也有很多人对于区块链技术有一定误解,将虚拟货币与区块链技术画上等号,也有很多公司打着区块链的旗号谋取利益,甚至做一些违法的事情,这就需要社会对于区块链技术有一个正确的认识,需要一些典型的有良好社会效益的示范应用来使人们加强对区块链技术的了解。这些都需要政府或者行业头部公司来主动引导。有两个因素在现阶段比较关注,人才因素:区块链技术处于高速发展中,区块链底层平台很多,没有行业标准,涉及的知识领域特别多,现有的高校学科没有直接区块链专业人才输出,以上几个原因导致区块链创业公司人才缺口非常大。如何培养人才留住人才是每个创业公司都要考虑的问题,在现阶段做好人才储备,以图厚积薄发。政策因素:过去几年关注区块链技术的人都知道,伴随着国家对数字货币的政策变化,以及国家和各级政府对区块链技术的关注度变化,区块链行业的投资规模在过去几年起起落落,区块链技术受政策的影响要高于其他行业,现阶段,区块链项目落地也需要政府或者行业巨头的背书和推动,所以区块链创业者要积极关注国家和地方的政策。[2020/3/3]
在上述套利交易中,AbitrageDAO在Aave上借出超过3100个DAI。
更多交易:
https://etherscan.io/tx/0xc47ed2ebce6a23c961e0d9f7e40444412a8a836bc53d5c72611e5d644940a9da
金色晨讯 | 怀俄明州通过认定加密货币为货币的法案 以太坊开发者决定推迟ProgPow升级:1.怀俄明州通过认定加密货币为货币的法案。
2.ADA首席执行官:ADA不受POS v3数字货币漏洞影响。
3.以太坊开发者决定推迟ProgPow升级。
4.Grin全职开发者完成本轮筹款计划既定目标。
5.毕马威:加密资产具有颠覆性潜力 但必须机构化。
6.马来西亚证券委员会修订其“认可市场指南” 引入加密货币交易平台法规。
7.雄安发布《垃圾处理过渡设施项目招标公告》 用区块链进行项目资金管理。
8.马来西亚数字资产交易市场将与股权众筹(ECF)、P2P融资合并。
9.刘强东新年公开信:通过区块链等科技提升用户体验和升级商业模式。[2019/2/2]
https://etherscan.io/tx/0x8b891a8a4fcbcec0fbdff85e0cbb6f425395b1cb43949c2f4641ce2e9cf0e5fc
https://etherscan.io/tx/0xcd774671f1c384d35560ebee21b28aae304adfd3db1fb21dae0d09f4a8a3671c
https://etherscan.io/tx/0x0f98dbea3cbeac172400e19c44623583bbdf974e38bd70fe4156dba624f2f187
截止2020年1月23日,AbitrageDAO总共从Aave借了大约9400个DAI,盈利33个DAI。
最新套利案例:bZx 2月15日闪电贷套利过程全披露
bZx 2月15日闪电贷套利过程来自安全公司派盾的分析。
这不是预言机攻击。相反,这是一个非常聪明巧妙的套利,它确实利用了bZx智能合约中的一个错误,以允许本应锁定的bZx资金流向Uniswap,并进一步将泄漏的资金吸收到Compound头寸中。
金色财经现场报道 越南河内共青团学生协会副主席:投资方面与技术方面是有区别的:金色财经现场报道,在2018东南亚区块链创新峰会上,越南河内共青团学生协会副主席Mr.Henry Tran表示,投资方面与技术方面是有区别的,从技术方面来看,区块链领域方面我们需要更多的高端人才,对区块链进行更深入的利用。[2018/4/21]
套利五步骤
交易在这里0xb5c8bd9430b6cc87a0e2fe110ece6bf527fa4f170a4bc8cd032f768fc5219838,它是在2020-02-15 01:38:57 + UTC的区块高度9484688上。如上图所示,此次“攻击”可以分为五个不同的步骤:闪电贷借款、吸筹、杠杆拉盘、出货、偿还闪电贷(Flashloan Borrow, Hoard, Margin Pump, Dump, Flashloan Repay)。
1:闪电贷借款。这一步利用了dYdX的闪电贷功能借入10000个ETH。
执行此步骤后,“攻击”者资产负债如下资产,无收益。
2:吸筹。利用借来的贷款,“攻击”者将5500 ETH存入Compound作为抵押品,借入112 WBTC。这是正常的Compound操作,此吸筹的WBTC将在步骤4中出货。
完成此步骤后,“攻击”者的资产负债表如下,仍然无收益。
3:杠杆拉盘。吸筹之后,此步骤利用bZx保证金交易功能以卖空ETH兑得WBTC(即sETHwBTCx5)。具体来说,“攻击”者存入1300 ETH并调用bZx保证金交易功能,即mintWithEther(连续调用marginTradeFromDeposit)。保证金交易功能利用KyberSwap将借入的5637.623762 ETH交换为51.345576 WBTC。请注意,5倍杠杆借入ETH。实质上将1 WBTC的兑换率提高到109.8 WETH,大约是正常兑换率(~38.5 WETH/WBTC)的三倍。
具体来说,为完成此交易,bZx将订单转发给KyberSwap,后者随后会查询其储备金并找到最佳汇率,实际上KyberUniswap储备库。此步骤实质是将Uniswap中的WBTC价格提高了三倍。
此步骤应由内置的完整性检查阻止,此操作可验证掉期后头寸不会变为默认值。但是,此攻击发生时,没有进行此检查,我们稍后将在智能合约错误部分中检查详细信息。
4:出货。随着Uniswap中WBTC价格的飙升,“攻击”者将Uniswap中从Compound中借来的112 WBTC卖出换成WETH。
此出货步骤获得6871.4127388702245 ETH的净收益,平均兑换率为1 WBTC = 61.4 WETH。执行此步骤之后,攻击者获得可观的利润,资产负债表如下:
5:偿还闪电贷。“攻击”者使用从112 WBTC出货中获得的6871.4127388702245 ETH,将10000ETH的贷款偿还给dYdX,从而完成闪电贷。
这一步后,可以重新计算一下资产负债。最终,“攻击”者获得71个ETH的套利,外加两个头寸,一个头寸为Compound(+ 5500WETH / -112WBTC),另一个头寸为bZx(-4337WETH / + 51WBTC)。当bZx头寸处于缺省状态时,Compound头寸非常有利可图。在利用漏洞之后,“攻击”者立即开始安排偿还Compound债务(112BTC)来赎回抵押品(5500WETH)。对于bZx头寸,“攻击”者不再显示任何兴趣。
考虑到1 WBTC = 38.5WETH(或1 WETH = 0.025BTC)的市场均价,“攻击”者可以获得112 WBTC等价的4300 ETH。结果,“攻击”者获得了71 WETH + 5500 WETH -4300 ETH = 1271 ETH,大约35.59万美元(假设ETH价格为280美元)。
bZx智能合约错误
这次“攻击”背后的魔力是Uniswap WBTC/ETH是如何被操纵至高达61.4的利润的。如第3步所述,当正常市场价格仅为38左右时,WBTC / ETH价格被拉升至109.8。换句话说,这一巨大价差是被有意操纵的。但是,如此巨大的价差会导致bZx头寸处于抵押不足状态。但是为什么要允许抵押不足状态存在,这自然导致在bZx智能合约实现中发现隐藏的错误。
保证金拉升功能从marginTradeFromDeposit()开始。
如上图所示,marginTradeFromDeposit()在第840行将第四个参数设置为true的情况下调用_borrowTokenAndUse()
在_borrowTokenAndUse()内部,当amountIsADeposit为true时,在行1348中调用_getBorrowAmountAndRate()。返回的借款金额将存储在sendAmounts 中。
同样在_borrowTokenAndUse()中,在amountIsADeposit == true的情况下,在1355行中将sendAmounts 的值填充为sendAmounts (将在后面看到)。稍后,在第1370行中调用_borrowTokenAndUseFinal()。
在第1414行中,_borrowTokenAndUseFinal()通过IBZx接口调用takeOrderFromiToken(),以使交易流进入bZxContract。
下面有趣的部分到了。在第145–153行中,有一个require()调用以检查该头寸是否健康。不幸的是,在loadDataBytes.length == 0 && sentAmounts == sentAmounts 的情况下,完整性检查(sanity check)bZxOracle :: shoudLiquidate()被跳过了。这正是触发漏洞以避免完整性检查的条件。
如果我们看一下bZxOracle :: shouldLiquidate(),则第514行中的检查getCurrentMarginAmount()<= loanOrder.maintenanceMarginAmount可以通过捕获保证金提升步骤来完成这项工作,从而可以防止这种“攻击”。
参考资料:
Flash Boys | Arbitrage DAO
https://medium.com/@bneiluj/flash-boys-arbitrage-dao-c0b96d094f93
bZx Hack Full Disclosure (With Detailed Profit Analysis)
https://medium.com/@peckshield/bzx-hack-full-disclosure-with-detailed-profit-analysis-e6b1fa9b18fc
标签:ETH区块链BZXBTCPepeTheGrove区块链适合什么人做bZx Vesting Tokenlbtc币在中币为什么没周交易量了
周线级别,大方向依旧处于17年牛市顶点与19年小牛顶点连线的下降趋势通道内运行,后面只有有效突破站上,长周期才有望迎来真正的大牛市,小级别来看,自今年1月中旬突破19点顶点下来的趋势线压制.
1900/1/1 0:00:002020年2月26日,胡润研究院发布《胡润全球富豪榜》(Shimao Shenkong International Center·Hurun Global Rich List 2020).
1900/1/1 0:00:00一位备受瞩目的比特币鲸鱼表示,他已停止做空比特币。 图片来源:Pixabay这条鲸名为Joe007,从2019年12月到2020年1月在加密货币交易所Bitfinex上实现了2000万美元的实现.
1900/1/1 0:00:00文/孟永辉资本大佬的振臂一呼让我们开始关注区块链行业,并且引发了一波区块链的创业浪潮。从本质上来看,这场区块链创业浪潮依然是“互联网+”模式的延续.
1900/1/1 0:00:00文/孟永辉区块链时代的来临让越来越多的人感受到了前所未有的机遇,这个比互联网更具颠覆性的物种一旦被人们关注便开始爆发出惊人的力量。于是,越来越多的人开始投身到区块链创业的浪潮里.
1900/1/1 0:00:00根据加密货币分析公司IntoTheBlock的数据,随着以太坊现货和衍生品市场出现爆炸性增长,有43%的ETH地址在盈利.
1900/1/1 0:00:00