进入 9 月后,跟着 DeFi 协议流动性挖矿收益锐减,DeFi 市场开端归于沉寂,探索者们向更深广的领域进发。
11 月,凭借 Yearn.finance 创始人 Andre Cronje(AC)的加持,以及管理代币的大涨,去中心化稳妥 Cover Protocol 崭露头角,引领 DeFi 稳妥站在了聚光灯下。
有观念认为:“ DeFi 稳妥项目不只能够减轻投保人的丢失,也让人们能够更放心肠参与 DeFi,且有助于健全 DeFi 生态。”
但是,就在 DeFi 稳妥的概念越炒越热时,Cover Protocol 在短时内遭到两次进犯,其代币价格阅历了一场令人触目惊心过山车。
2020 年 12 月 28 日,DeFi 稳妥项目 Cover Protocol 疑似遭到黑客进犯,其代币价格在进犯的影响下从 700 多美元一度暴降至最低 9 美元。
PeckShield (派盾)经过追踪和分析发现,该进犯主要是因为事务逻辑错误,导致误算质押用户奖赏,并在不同 DEX 兜售套利。
首先在一段运转时间内,进犯者先给 Blacksmith 打一些 LP token,然后直接调用函数 updatePool(),经过异常的 pool.accRewardsPerToken 来核算 COVER 的奖赏;
随后经过 125 和 126 行的函数 _claimCoverRewards() 和 _claimBonus() 记载挖矿者的奖赏;
最后记载挖矿者的状况,包含质押的数量和代码 128 行至 131 行所示的函数 rewardWriteoff 和 函数 bonusWriteoff 。
具体而言,当前协议使用 pool.accRewardsPerToken 来核算第 130 行的 miner.amount.mul(pool.accRewardsPerToken).div(CAL_MULTIPLIER) ,因为 118 行的 pool 类型为 memory, 而 121 行的函数 updatePool()并未对其进行更新,导致终究核算出来的 rewardWriteoff 比预期的数额小。
当下一次同一用户获取质押奖赏时,质押合约例如 Blacksmith 将会铸造更多的 COVER,这将大大提升铸币数量。现在,在流通量中铸造了逾 40,000,000,000,000,000,000 枚 COVER。
第2次进犯者被网络标记为 Grap Finance 白帽子的地址,在获利后,他们将所得收益还给了 Cover 团队,销毁了剩下的 COVER ,并留言:下一次,管好你自己的事。
有评论称,白帽子 Grap Finance 是 DeFi 义侠,将 4350 ETH 还给了 COVER 团队。但经过砸盘,让众多的投资者血本无归,这也引起了不少的争议。
对于 DeFi 稳妥项目而言,其初衷是为其他 DeFi 项目降低风险丢失。跟着 DeFi 生态的强大,以及锁仓值持续增长,DeFi 项目遭到黑客觊觎,特别是新兴的 DeFi 稳妥项目,理应加强安全防护。现在因为自身漏洞遭到黑客进犯,这样的稳妥项目是否能协助用户抵御风险有待调查。
在 DeFi 的国际里,崇尚“代码即法律”(Code is Law),项目方不只要将代码做到极致,还要防患于未然,DeFi 协议开发者应在进犯发生后,自查代码。PeckShield(派盾)提示,假如对此不了解,应找专业的审计机构进行审计和研究。
视野开拓
和老板在一起,一个人必须中规中矩,但和老师在一起,关系就更随便,甚至可以是精神层面的关系。人们可以更自由地讨论自己的问题和弱点,可以承认自己的错误,而不必惧怕引发官方的惩罚。传统的银行官员需要他们的办公室,他们的文件,他们的办公桌,他们的电话,来作为辅助。没有这些道具,他们就会茫然迷失。但是你可以把所有这些东西从一名格莱珉雇员那里拿走,而他或她仍有着一名教师的心态。-《穷人的银行家》
