在Aave、Compound等以太坊借贷平台的推动下,ETH等主流加密资产流动性得到充分利用与开发,用户可以利用手中的USDT、ETH等资产进行储蓄获得可观利率,同时资金需求方可以抵押资产而借出目标资产,大幅提升资金利用效率。
目前,DeFi借贷市场的行业格局已基本稳定,但仍然存在两个明显痛点。第一是大部分借贷平台提供给储蓄用户的利率为浮动利率,用户难以知晓其实际的年化利率;
第二,BTC资产的流动性仍未得到充分开发,由于BTC资产桥接过程较为复杂,同时许多BTC持有者仍然对以太坊较为排斥,BTC作为全球市值最高的加密项目,在借贷市场的份额仍然很低,以Aave为例,WBTC供应量为17亿美元,在该平台总供应量中仅占9%。
因此,这个方向仍然蕴藏着加密借贷市场的巨大潜力,基于Stacks公链的开源DeFi协议ALEX则试图解决前述问题,即帮助用户便捷地通过BTC获得预定期限的固定利率收益,进而加速释放价值超过1万亿美元的BTC市场的流动性。
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
如何集成原生BTC?
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
据了解,ALEX底层集成的Stacks公链旨在打通原生比特币以获得最高安全性的同时,也支持去中心化应用程序和智能合约。该区块链上成千上万笔交易在比特币上会产生一个散列,作为共识的一部分,Stacks?交易会自动在每一个比特币区块上「结算」,从而连接了比特币网络和?Stacks?区块链,并扩展了比特币的功能。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
正是由于Stacks的前述特性,可以使得ALEX低成本打通原生比特币成为可能。在以太坊生态,目前用户需要通过第三方服务商将BTC转为WBTC、tBTC等包装资产,过程繁琐且成本较高。以WBTC的桥接过程为例,用户需要经过在WBTC商户开户、将BTC转移到WBTC商户、商户寻找BTC托管人、商户将BTC转给托管人、托管人将WBTC转给持有人、持有人再将WBTC转至以太坊等至少6个步骤。
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
而在ALEX的解决方案中,BTC持有者可以直接使用其BTC参与DeFi生态,尽管其中也存在包装过程,但对用户是不可见的,不影响其使用体验。同时,该解决方案也不存在中介风险、KYC流程,同时大幅降低成本。
此外,ALEX未来还将支持?Stacks?上的所有本地/SIP10?兼容代币,以拓展自身满足Stacks?DeFi生态不断发展的需求的能力。
如何实现固定收益?
在?ALEX?上,固定利率通过基于远期合约的代币“ayToken”实现。它类似于传统金融市场中的场外交易双边远期合约,指定标的资产“Token”和到期日。
借款用户可以通过向抵押品池中添加符合条件的抵押品来铸造ayToken,并在第一天以低于现货代币价格的折扣出售ayToken,并在到期时返还?Token,借出用户以低于现货代币价格的折扣购买?ayToken,并在远期价格与现货价格趋同时在到期时收回标的资产。
购买?ayToken等同于以?ayToken?的价格隐含的利率借出代币,出售?ayToken?则允许持有者以固定利率借入了ayToken,隐含利率取决于远期价格与交易时现货价格的折让程度。
如何利用AMM机制?
同时,ALEX使用了AMM机制来进一步提升生态系统内的交易效率,目前设定了流动性引导池、收益代币池、抵押品再平衡池等池类型。
其中,流动性引导池使用加权方程,旨在促进一种代币相对于另一个代币的资本效率启动;收益代币池使用?Yield?Token?方程,专门用于促进?ayToken?和?Token?之间的高效交易;抵押品重新平衡池使用加权方程并在代币和抵押品之间动态重新平衡,以确保铸造的?ayToken保持偿付能力,尤其是在不利的市场环境中。
以?ayBTC?/?USD?池为例,该池将针对?BTC?上涨实施动态对冲策略,即随着?BTC?现货上涨,卖出美元并买入?BTC,反之亦然。由此产生的美元和?BTC?之间的重新平衡将由参与池定价曲线的套利者执行。借款人实际上是一个?LP,所提供的美元抵押品将自动转换为一篮子美元和?BTC。
该机制的主要好处是ALEX可以更有效地处理?LTV?,并在使用适当LTV与储备基金的情况下完全取消清算。不过,该机制也会导致贷款人在还款时收到的抵押品的美元价值将与原始价值不同。
此外,ALEX还推出了?Vault?持有和管理所有?ALEX?池的资产,即Vault与资金池是分离的,这使得在?ALEX?上构建自定义池时用户的交易成本更便宜和开发人员的学习速度更快。由此,ALEX允许用户使用闪电贷功能,利用两个或多个池中的任何价格差异进行套利,而无需持有任何代币。
总结
通过上述设计,ALEX生态主要存在四种角色,第一种角色是贷方,在固定期限内以固定收益率存入代币;第二个角色是借款人,在固定期限内发布抵押品并借出代币;第三个角色是流动性提供者,为资金池提供流动性并确保?ALEX?池的顺利运作;第四个角色是套利者,减少?ALEX?池再平衡后代币与市场价格的差异。
这些角色的充分运作可以保证ALEX借贷机制的顺利运作,同时实现低成本、高效率、固定收益、无清算风险等优势,进一步丰富DeFi生态的用户选择。
目前,ALEX的产品尚未正式上线,不过作为?Stacks?公链上最早的?DeFi?项目之一,以及整合了原生BTC流动性、固定利率借贷以及AMM机制的创新型产品,仍然值得期待未来的具体表现。
?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。