流动性挖矿(YieldFarming)是近期DeFi领域中的最热话题,以各种食物为主题的流动性挖矿似乎每日都能凑成一桌饕餮盛宴,大爆炸式地将新的DeFi概念灌输给投资者与用户。
每天新的流动性挖矿项目都会出现,同时旧项目也在退出人们的视野。对于这些项目“新人哪闻旧人哭”的快速交替,身为以建立区块链健康安全生态为己任的CertiK,希望给大家带来更有价值的问题和答案:当我们在讨论流动性挖矿项目安全性的时候,讨论点和关注点都应该是什么?
安全这个话题难以简单概述,非细致的讲解不能窥探一二。
本文在此以Harvest.Finance为例,分析作为流动性挖矿项目其存在的安全风险。
Harvest.Finance,它的名字非常直观的说明了其设计意图——流动性挖矿。
该项目的代码已经开源,网站社区等也一应俱全。尽管Harvest.Finance的审计报告已公布,其项目中被审计部分的安全性目前可以被信任,但是这并不能说明Harvest.Finance的整体安全性得到了保障。
LBank蓝贝壳于5月3日20:00首发 CSPR(Casper),开放USDT交易:据官方公告,5月3日20:00,LBank蓝贝壳上线 CSPR(Casper),开放USDT交易,同时并开放充值,资料显示,Casper网络是基于CasperCBC规范构建的第一个实时权益证明区块链。Casper旨在加速当今企业和开发人员对区块链技术的采用,同时确保随着网络参与者需求的发展,其在未来仍能保持高性能。[2021/5/3 21:19:51]
CertiK安全研究团队从该项目智能合约出发,发现了该项目中存在与其他类似流动性挖矿项目同样的问题:治理中心化,即许多关键操作只允许项目管理者来进行,没有任何对项目限制者的限制手段,例如:
图1:DelayMinter.sol
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol
首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道,今日,中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。
区块链技术及软件安全实战基地主要涉及领域为:非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等,联合社会治理、城市安全、前沿技术领域的行业专家,进行警协合作。
据公开报道,近期菏泽市下属机关刚破获一起特大电信网络案,打掉多个涉嫌以网贷和投资“比特币”为名的团伙,抓获犯罪嫌疑人83名,扣押冻结涉案资金2700万元。[2020/7/21]
图2:Governable
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Governable.sol
首发 | 刘尧:百度区块链推出天链平台赋能链上业务:12月20日,由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲,他指出:2020年将是区块链企业落地的元年,为了支持中国区块链的产业落地,百度将区块链进行平台化战略升级,依托百度智能云推出天链平台,就是要赋能360行的链上业务创新落地。[2019/12/20]
图3:Storage.sol
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol
图1中第102行起的函数executeMint()的功能是进行铸币操作,由于onlyGovernance的限制,使得只有于onlyGovernance许可的地址可以执行该函数,而onlyGovernance的定义来自于图2中14行与图3中27行的代码,最终从图3的28行可以看到所谓的“Governance”其实仅是指项目拥有者本身,并不是如名称所暗示指代一个管理委员会。
公告 | 火币全球站6月29日16:00全球首发 Project PAI:火币全球站定于新加坡时间6月29日16:00 Project PAI (PAI) 充值业务。7月2日16:00在创新区开放PAI/BTC, PAI/ETH交易。7月6日16:00开放 PAI提现业务。[2018/6/29]
通过观察代码可以了解到,该项目的治理与重要操作的控制权都被项目管理者据有,中心化程度极高,而这一点明显违背了以去中心化为基本的流动性挖矿项目的本质。
即便项目管理者加入了一个延迟操作的功能,并设置了每一个铸币操作都需要提前公布给社区,这依旧无法从根本上解决问题。尤其是当Harvest.Finance项目把延迟的时间期限设置为12个小时,这也违背了大部分人的作息规律。
除了项目的治理中心化程度过高的通病,流动性挖矿项目同样存在被套利攻击的风险。
IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]
套利攻击是利用价格差进行低买高卖完成的以获利为目的的交易行为。已经发生过套利攻击的著名项目有Balancer和bZx。
10月26日Harvest.Finance项目也发生了套利攻击事件,损失超3380万美元。
对于此类攻击,需要弄清两个问题:
1.发生套利攻击的条件是什么?
2.为什么Harvest.Finance项目满足了这些条件?
发生套利事件需要的条件其实非常直观:可以完成低买高卖。
简化来说就是可以通过自己的交易或者操作来影响交易物的价格。
这种交易影响价格的手段可以是直接改变,也可以是改变交易物的数目来间接的影响价格。
流动性挖矿项目自身通过交易来铸币或者燃烧币的操作,十分容易满足改变交易物的操作要求。
一旦套利攻击者发现了可利用的攻击点,可以在没有风险的情况下当即利用闪电贷借取大额资金,将套利攻击的获利扩大。
图4:Harvest.Finance套利攻击的交易之一
参考链接:
https://etherscan.io/tx/0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877
图4所示交易是在此次发生于Harvest.Finance项目的套利攻击的其中一笔交易,攻击者通过查看该项目智能合约中控制铸造fUSDC代币数目的函数,发现铸造的代币数目依赖于其参考的Curve项目的计算公式,继而依靠闪电贷获得大量初始资金进行套利攻击。
攻击者的执行交易的流程大致如下:
1.闪电贷借贷得到大笔USDC和USDT;
2.利用借贷所得USDT通过Curve转换为USDC,提高USDC价格;
3.将获得的USDC存入Harvest.Finance项目的USDC储藏室(vault)中,同时Harvest.Finance会为该存入的行为攻击者铸造一定数目的fUSDC(铸造的数目受Curve影响);
4.?将初始借贷所得的USDC通过Curve转换为USDT,提高USDT的价格,同时USDC价格降低;
5.最终攻击者将持有额所有fUSDC转换回USDC,此时因为Curve中的USDC价格降低,导致影响了兑换回USDC的数目增加。
最终攻击者利用类似操作,完成了14笔利用针对USDC的套利交易,然后利用同样的思路,针对USDT完成了另外13笔套利交易。
根据官方报告,计算了攻击者返还给项目的1300万USDC和11万USDT之后,总损失超过2亿人民币。
在Harvest.Finance这次的套利攻击事件中,攻击者通过影响USDC、USDT代币的价格来进行套利。
因此,项目代币价格不能简单的依赖于其相对数目,而应该稳定建立于实时、有效、可靠的价格提供系统之上。例如目前的chainlink的价格预言机便可以一定程度上解决此类隐患。
当讨论一个流动性挖矿项目的安全性时,不应仅仅简单的查看程序代码、智能合约的安全,而需要查看更加深层的、逻辑性的漏洞,例如治理中心化以及代币价格控制逻辑可能导致的套利攻击风险。
传统的代码审计并不适合包括流动性挖矿在内的区块链项目。
面对此类项目,需要有经验丰富的区块链项目专业审计人员,从传统代码审计、逻辑审计、金融模型审计等多角度对项目的安全进行逐步且完备的审核,才可确保项目的安全。
迄今为止,CertiK已为超过200名机构用户提供了优质服务,保护了超过80亿美元的数字资产与软件系统免受安全损失。
欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价!?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。