用CurveFinance流动性资金池打造能够抵御价格操纵攻击的DeFi应用
本文的目的是帮助各个协议安全集成至Curve。Curve本身从来没有受到过攻击,并且不依靠任何预言机。
用CurveFinance流动性资金池打造能够抵御价格操纵攻击的DeFi应用
CurveFinance是采用了先进自动做市商模式的去中心化交易所,其目标是将稳定币的交易滑点降至最低。由于稳定币资产性质相同,因此兑换汇率通常都比较稳定。
然而,我们在过去一个月中发现了一个安全漏洞,那就是资金实力雄厚或通过闪电贷获得资金的攻击者可以在Curve上执行大笔交易,暂时扭曲稳定币的价格,使其偏离实际市场价格。然后攻击者就可以利用价格扭曲操纵使用CurveLP通证作抵押的DeFi协议,协议在执行交易时也会将Curve作为价格预言机。解决这一问题最直接的方案就是放弃使用Curve作为价格预言机,而是选择更为可靠的价格预言机,在流动性资金池中获得准确客观的全球市场价格。
《周六夜现场》在OpenSea拍卖NFT作品“到底什么是NFT”:NBC的《周六夜现场》(Saturday Night Live:SNL)团队正在OpenSea上拍卖NFT作品“到底什么是NFT?”(What the hell's an NFT?)。SNL拍摄的同名短视频颇受欢迎,它使用2000年代初的流行文化为SNL观众揭开了NFT的神秘面纱,三分半的搞笑说唱改编了来自姆爷(Eminem)的《Without Me》,SNL演员还Cosplay了黑客帝国的Morpheus,向观众解释了NFT的简单概念。截至目前,该NFT目前的出价为6.9 ETH,拍卖于4月5日结束。中标者不仅将获得NFT,还将收到在第47季录制《周六夜现场》的两张门票。(decrypt)[2021/4/4 19:44:02]
Curve资金池有所谓的虚拟价格,可以用来安全地为CurveLP通证计价。虚拟价格无法被操纵,将CurveLP通证价值与美元挂钩。然而,虚拟价格并不能反应任何一种稳定币的具体价值,在设计协议时这会成为一个巨大的限制。
播客主持人:当下的孩子们或许知道比特币是什么:播客节目“Magic Internet Money”主持人Brad Mills发推称:“我在万圣节糖果盒里放了一些价值100美元的Rise Wallet比特币卡,捕捉到了一些随机的‘不给糖就捣蛋’的人发现它们的瞬间。‘嘿哥们,我发现了比特币!’我想这些孩子们或许确实知道比特币是什么。”[2020/11/1 11:22:05]
为了维持Curve生态的安全,我们想与使用CurveLP的DeFi协议分享一个解决方案。我们推荐使用CurveLP的DeFi协议按以下方式接入Chainlink喂价,以避免遭到闪电贷攻击。DeFi协议接入单个价格数据源所产生的安全隐患正在不断显现出来,我们强烈建议所有使用CurveLP的DeFi协议都能重视预言机的选择以及闪电贷攻击问题。
听证会 | 扎克伯格:应让Libra发行,看看市场有什么反应:金色财经直播报道,在今日听证会上,议员Frank Lucas,你们如何说服那些没有银行账户的人,让他们不信任银行,却使用Facebook的服务吗?扎克伯格回答说,他现在也不知道如何找到答案,唯一的办法是让Libra发行出来,然后看看市场会有什么反应。[2019/10/23]
1.为你的LP通证找到合适的喂价
首先,你需要为每种LP通证找到合适的Chainlink喂价。比如,如果你想要用以太币为3pool计价,则需要针对资金池中每种通证接入相应的喂价。在这里我们需要的是DAI、USDT和USDC的喂价。因此,你一开始需要接入DAI/ETH、USDT/ETH和USDC/ETH喂价。
2.在你的合约中输入喂价地址
你可以点击此处查看每个喂价及其地址。你还可以发送邮件到integration@chain.link联系Chainlink集成团队,深入了解喂价机制和最佳集成方案。
3.向每各喂价请求最新价格数据,并取最低价格
一旦输入了正确的地址,你就可以向每个喂价请求价格数据,详情请查看Chainlink文档的这一篇文章。请求价格数据后,取所有价格的最小值,公式是min_value=min(price1,price2…priceN)
4.获得LP通证的虚拟价格,并乘以之前获得的最小值
通过取资金池的常量获得虚拟价格,资金池默认每枚稳定币价格为1美元。你可以调用?get_virtual_price?函数来获得每个资金池的虚拟价格。获得价格数据后,将它乘以之前获得的min_value?。因此,min_lp_price=min_value*virtual_price。现在可以将刚刚计算出的价格作为应用中LP通证的价值下限,这种方法既可靠又能抵御任何形式的闪电贷攻击。
如果对于此实现有任何问题,请发送邮件至support@chain.link联系Chainlink团队,将这个可靠的价格机制集成至你的应用。另外,如果你的LP通证应用模式比文中描述的更加复杂,并且你不确定这个模式是否安全,请发邮件至info@curve.fi联系我们。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。