流动性挖矿(YieldFarming)是近期DeFi领域中的最热话题,以各种食物为主题的流动性挖矿似乎每日都能凑成一桌饕餮盛宴,大爆炸式地将新的DeFi概念灌输给投资者与用户。
每天新的流动性挖矿项目都会出现,同时旧项目也在退出人们的视野。对于这些项目“新人哪闻旧人哭”的快速交替,身为以建立区块链健康安全生态为己任的CertiK,希望给大家带来更有价值的问题和答案:当我们在讨论流动性挖矿项目安全性的时候,讨论点和关注点都应该是什么?
安全这个话题难以简单概述,非细致的讲解不能窥探一二。
本文在此以Harvest.Finance为例,分析作为流动性挖矿项目其存在的安全风险。
Harvest.Finance,它的名字非常直观的说明了其设计意图——流动性挖矿。
该项目的代码已经开源,网站社区等也一应俱全。尽管Harvest.Finance的审计报告已公布,其项目中被审计部分的安全性目前可以被信任,但是这并不能说明Harvest.Finance的整体安全性得到了保障。
LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告,4月9日16:50,LBank蓝贝壳首发BOSON(Boson Protocol),开放USDT交易,4月9日16:00开放充值,4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。
LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ,可按净充值量获得等值1%的BOSON的USDT空投奖励;交易赛将根据用户的BOSON交易量进行排名,前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]
CertiK安全研究团队从该项目智能合约出发,发现了该项目中存在与其他类似流动性挖矿项目同样的问题:治理中心化,即许多关键操作只允许项目管理者来进行,没有任何对项目限制者的限制手段,例如:
首发 | Bithumb将推出与Bithumb Global之间的加密资产转账服务:Bithumb内部人士对金色财经透露,Bithumb推出和Bithumb Global之间的加密货币资产免手续费快速转账服务,每日加密货币资产转账限额为2枚BTC。此消息将于今日晚间对外公布。据悉,目前仅支持BTC和ETH资产转账。[2020/2/26]
图1:DelayMinter.sol
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/DelayMinter.sol
图2:Governable
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Governable.sol
首发 | 刘尧:百度区块链推出天链平台赋能链上业务:12月20日,由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲,他指出:2020年将是区块链企业落地的元年,为了支持中国区块链的产业落地,百度将区块链进行平台化战略升级,依托百度智能云推出天链平台,就是要赋能360行的链上业务创新落地。[2019/12/20]
图3:Storage.sol
参考链接:
https://github.com/harvest-finance/harvest/blob/master/contracts/Storage.sol
图1中第102行起的函数executeMint()的功能是进行铸币操作,由于onlyGovernance的限制,使得只有于onlyGovernance许可的地址可以执行该函数,而onlyGovernance的定义来自于图2中14行与图3中27行的代码,最终从图3的28行可以看到所谓的“Governance”其实仅是指项目拥有者本身,并不是如名称所暗示指代一个管理委员会。
首发 | DVP: Bitstamp交易所存在漏洞 可导致大量KYC等信息被泄露:金色财经讯,近日,DVP收到安全人员提交的全球知名交易所Bitstamp的漏洞,攻击者可以利用该漏洞查看大量用户ID、银行卡等敏感信息,严重威胁用户信息安全。为避免发生KYC泄露的恶性事件,DVP安全团队在收到该漏洞后,第一时间通知该平台进行修复,但未收到回应。DVP提醒相关用户关注个人信息安全,以免造成损失。[2019/8/13]
通过观察代码可以了解到,该项目的治理与重要操作的控制权都被项目管理者据有,中心化程度极高,而这一点明显违背了以去中心化为基本的流动性挖矿项目的本质。
即便项目管理者加入了一个延迟操作的功能,并设置了每一个铸币操作都需要提前公布给社区,这依旧无法从根本上解决问题。尤其是当Harvest.Finance项目把延迟的时间期限设置为12个小时,这也违背了大部分人的作息规律。
首发 | 《一起来捉妖》中玩家达到22级将会接触到专属猫的玩法 ?:今日腾讯上线首款区块链游戏《一起来捉妖》,经金色财经查证,游戏中玩家达到22级将会接触到专属猫的玩法,而非此前官方对外宣称的15级。除了诱猫铃铛召唤出的0代猫以及部分通过运营活动奖励的专属猫以外,游戏中所有的猫默认都是未上链状态。未上链的猫不能出售,也无法进入市场与其他玩家配对;但是你可以使用这些猫与你的QQ/微信好友进行配对,产出新的小猫。使用道具“天书笔”可以将你的猫记录到区块链。当猫被记录到区块链以后,这些猫就可以进入市场,通过配对赚取点券,或者出售赚取点券。专属猫是否上链,并不影响它的增益效果。但只有上链后,它才能面对全服务器所有的玩家进行繁殖、交易。
?
《一起来捉妖》中的专属猫玩法,基于腾讯区块链技术,游戏中的虚拟数字资产得到有效保护。此外,基于腾讯区块链技术,猫也可以自由繁殖,并且运用区块链技术存储、永不消失。[2019/4/11]
除了项目的治理中心化程度过高的通病,流动性挖矿项目同样存在被套利攻击的风险。
套利攻击是利用价格差进行低买高卖完成的以获利为目的的交易行为。已经发生过套利攻击的著名项目有Balancer和bZx。
10月26日Harvest.Finance项目也发生了套利攻击事件,损失超3380万美元。
对于此类攻击,需要弄清两个问题:
1.发生套利攻击的条件是什么?
2.为什么Harvest.Finance项目满足了这些条件?
发生套利事件需要的条件其实非常直观:可以完成低买高卖。
简化来说就是可以通过自己的交易或者操作来影响交易物的价格。
这种交易影响价格的手段可以是直接改变,也可以是改变交易物的数目来间接的影响价格。
流动性挖矿项目自身通过交易来铸币或者燃烧币的操作,十分容易满足改变交易物的操作要求。
一旦套利攻击者发现了可利用的攻击点,可以在没有风险的情况下当即利用闪电贷借取大额资金,将套利攻击的获利扩大。
图4:Harvest.Finance套利攻击的交易之一
参考链接:
https://etherscan.io/tx/0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877
图4所示交易是在此次发生于Harvest.Finance项目的套利攻击的其中一笔交易,攻击者通过查看该项目智能合约中控制铸造fUSDC代币数目的函数,发现铸造的代币数目依赖于其参考的Curve项目的计算公式,继而依靠闪电贷获得大量初始资金进行套利攻击。
攻击者的执行交易的流程大致如下:
1.闪电贷借贷得到大笔USDC和USDT;
2.利用借贷所得USDT通过Curve转换为USDC,提高USDC价格;
3.将获得的USDC存入Harvest.Finance项目的USDC储藏室(vault)中,同时Harvest.Finance会为该存入的行为攻击者铸造一定数目的fUSDC(铸造的数目受Curve影响);
4.?将初始借贷所得的USDC通过Curve转换为USDT,提高USDT的价格,同时USDC价格降低;
5.最终攻击者将持有额所有fUSDC转换回USDC,此时因为Curve中的USDC价格降低,导致影响了兑换回USDC的数目增加。
最终攻击者利用类似操作,完成了14笔利用针对USDC的套利交易,然后利用同样的思路,针对USDT完成了另外13笔套利交易。
根据官方报告,计算了攻击者返还给项目的1300万USDC和11万USDT之后,总损失超过2亿人民币。
在Harvest.Finance这次的套利攻击事件中,攻击者通过影响USDC、USDT代币的价格来进行套利。
因此,项目代币价格不能简单的依赖于其相对数目,而应该稳定建立于实时、有效、可靠的价格提供系统之上。例如目前的chainlink的价格预言机便可以一定程度上解决此类隐患。
当讨论一个流动性挖矿项目的安全性时,不应仅仅简单的查看程序代码、智能合约的安全,而需要查看更加深层的、逻辑性的漏洞,例如治理中心化以及代币价格控制逻辑可能导致的套利攻击风险。
传统的代码审计并不适合包括流动性挖矿在内的区块链项目。
面对此类项目,需要有经验丰富的区块链项目专业审计人员,从传统代码审计、逻辑审计、金融模型审计等多角度对项目的安全进行逐步且完备的审核,才可确保项目的安全。
迄今为止,CertiK已为超过200名机构用户提供了优质服务,保护了超过80亿美元的数字资产与软件系统免受安全损失。
欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价!?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。