注:北京时间11月15日凌晨,去中心化金融协议ValueDeFi遭遇闪电贷攻击,攻击者通过复杂的方式从Value协议的金库中转移走了大约700万美元,随后归还了200万美元,并附上了一条带有嘲讽意味的信息:“你们真的懂闪电贷吗?”,而在攻击发生前一日,ValueDeFi公开宣称自己是DeFi领域最安全的协议,并且能够抵抗闪电贷攻击。
原文来自rekt,作者对这次攻击进行了分析。
他们真的理解闪电贷吗?
声誉的价值是不稳定的,谦虚能够带来稳定,而吹嘘太多,最终只会搞砸。
ValueDeFi今天因为闪电贷攻击被黑了700万美元,这又是一次关于闪电贷的惨痛教训。
Avalanche基金会为GMX推出400万美元的激励计划:金色财经报道,Avalanche 基金会为去中心化交易平台 GMX 提供价值 400 万美元的 AVAX 代币奖励。这些激励措施来自 Avalanche Rush,这是一项价值 1.8 亿美元的流动性激励计划,旨在增加其智能合约平台上去中心化金融 (DeFi) 应用程序的流动性和用户。??
Avalanche 基金会在一份声明中表示,价值 400 万美元的 AVAX 代币将在数月的时间内分发,并与建立在 GMX 之上的合作伙伴平台一起分发。合作平台包括交易所 TraderJoe、YieldYak 和 Dopex。
据悉,GMX 是一个去中心化交易所,在 Avalanche 和另一个扩展协议 Arbitrum 上提供现货和永续期货合约。[2023/3/7 12:46:05]
黑客攻击前的代币价格-2.73美元
黑客攻击后的代币价格-1.87美元
让人啼笑皆非的是,在黑客攻击前一天,项目方发布了这样一条推文:
区块链公司Valereum将寻求收购直布罗陀证券交易所80%的股份:金色财经报道,英国领土直布罗陀证券交易所收到一家名为Valereum的区块链公司的收购要约。这家位于直布罗陀的公司将寻求收购上述交易所80%的股份,其实际所有者全球证券交易所集团将保留该公司20%的股份。如果有效,可能会使直布罗陀证券交易所成为第一个可以用加密货币和股票进行交易的交易所。监管机构目前正在审查这一提议。两家公司早在10月就签署了这项收购的选择权,该公司宣布了完成这项交易的意向。但是,收购的细节还没有向公众公布。该报告还表示,如果交易通过,该集团将寻求将加密货币整合到交易所中。[2022/1/1 8:18:42]
Valkyrie申请在美国推出1.25倍杠杆比特币期货ETF:金色财经报道,Valkyrie Investments周二申请向美国投资者提供1.25倍杠杆的比特币期货ETF。美国证券交易委员会(SEC)有75天的时间做出回应。[2021/10/27 21:00:01]
尽管ValueDeFi团队大胆宣称自己的协议很安全,但他们似乎并不知道提款不仅可以通过主合约进行,还可以通过代理从金库合约中提取。
ValueDeFi使用了Curve现货价格作为预言机。
而攻击的详细步骤如下:
操纵发生在第5步和第6步。
AOFEX即将上线VAL:据官方消息,AOFEX 将于 2021 年 4 月 15 日上线 VAL(Valkyrie Network),并于4 月 15 日12:00(GMT+8)开放充值功能;科创板块USDT交易区将于4 月 16 日15:00开放上线 VAL交易。现举办“VAL全球首发,7000VAL空投福利来袭”活动,活动期间,将不定时快照用户 OT 持仓数据,满足参与条件的用户将自动获得空投资格,用户在活动时间进入聊天室参与VAL币种互动,赢取丰厚奖励,更有额外红包雨。
Vswap是一个集合多链钱包,多链去中心化交易,两层DEX、NFT拍卖市场的defi经济综合体。Vswap拥有质押、加密资产存管,交易,NFT作品收藏,加密资产保险等多种类业务。
AOFEX数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障。[2021/4/15 20:22:05]
第七步的取款使用了错误的Curve函数进行数学运算;
功劳来自@emilianobonassi
算法稳定币FRAX接入Avalanche-Ethereum桥,将FRAX扩展至Avalanche:据官方消息,算法稳定币FRAX宣布,扩大与Avalanche的合作,将其稳定币引入Avalanche的去中心化金融生态系统。FRAX团队将通过将FRAX移至Avalanche-Ethereum桥(AEB)来扩展至Avalanche。[2021/3/9 18:28:13]
功劳来自@FrankResearcher
15:24-这次攻击选择了对ValueDeFi团队非常不利的时间点,时间是在他们要开始一次AMA活动的20分钟前。
在15:41,一名用户提问为什么协议锁仓值出现了下降,当天早些时候,ValueDeFi锁仓值一度超过了1100万美元。
到了15:49,人们的担忧越来越大,而协议团队成员则告知大家这是一个UI漏洞。
然后在15:49,有人在聊天室放出了etherscan链接。
价值700万美元的ValueDeFi金库资金被转移,之后攻击者归还了200万美元,并附上了下面这样一段话:
“你们真的理解闪电贷?”
在16:00,就在AMA即将开始的时候,StaniKulechov发布了以下这条推文,告知了大家发生了什么。
同时,在AMA活动中;
Value团队在16:05的时候,在Discord聊天室承认了这次攻击,而AMA的问题持续了40分钟,讨论的都是无关主题,直到……
$FARM、$AKRO以及$VALUE都成为了闪电贷的受害者,它们因为弱协议而遭到了严厉的教训,并且攻击者都通过返回一些金额来表达一些“善意”。
这些攻击是想要教我们什么吗?
闪电贷在DeFi领域是一个有争议的话题,近几个月来,它们一直是很多攻击及漏洞的主要原因,但是可以说,闪电贷只是在加速我们的学习过程,并有助于消除薄弱的协议。
如果没有闪电贷,未来也可能会有“鲸鱼”能够这样做,我们最好就在去中心化金融的起源阶段经历这个过程,因为准备冒险的人每天都在试验、尝试和发布新产品。
闪电贷是来教导那些冒进者的,告诉他们为何要谦卑,它们处在DeFi的顶点,这在其他任何地方都是不可能的,闪电贷是DeFi这项技术带来的新功能的完美例子。
这是DeFi的一个特性,而不是对代码的利用。
最强大的协议不会受这些攻击的影响,有些甚至能够从中受益。
可以说,闪电贷强行提高了DeFi开发者的门槛。
在新标准得到满足之前,人们和协议会遭到攻击,这将是痛苦的,而它也将是公开的,但正因为如此,我们需要学习。DeFi将变得更强,我们将为未来的用户开发更好的实践、更强的代码以及更安全的环境。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。