最近CipherTrace的一项研究描绘了一幅悲惨的景象:尽管加密用户在犯罪袭击中的损失在2020年大幅下降了57%,降至19亿美元,但DeFi领域的欺诈行为仍在继续增长,导致更多的用户上当受。
CipherTrace的CEODaveJevans表示,“随着这些金融机构的成熟并采取更强大的安全措施,针对中心化交易所的黑客盗窃继续减少。监管和执法正在减少中心化欺诈计划,这些计划促使犯罪分子利用去中心化金融服务。DeFi平台享有中心化交易所、货币服务企业和银行面临的传统监管执法制度的豁免。这使它们成为转移和的理想场所。”
DEX用户应该意识到这种恶性行为,例如去中心化交易所不将资产托管交给第三方。由于其去中心化性质,DeFi没有来自国家政府的监管,使无知的交易者暴露于掠夺性的做法和行为,例如抢先交易、暴涨暴跌和洗牌交易。
慢雾:上周Web3安全事件中总损失约1996.3万美元:金色财经报道,据慢雾区块链被黑档案库统计,2023年8月14日至8月20日,共发生安全事件10起,总损失约1996.3万美元。具体事件:
8月14日,Hexagate发推表示,过去几天单个MEV Bot被利用了约20万美元。以太坊上Zunami Protocol协议遭遇价格操纵攻击,损失1,179个ETH(约220万美元)。
8月15日,以太坊扩容解决方案Metis官方推特账号被盗。Sei Network官方Discord服务器遭入侵。Base生态项目RocketSwap遭遇攻击,攻击者窃取了RCKT代币,将其转换为价值约86.8万美元的ETH并跨链到以太坊。
8月16日,借贷协议SwirlLend团队从Base盗取了约290万美元的加密货币,从Linea盗取了价值170万美元的加密货币。BAYC推出的链上许可申请平台Made by Apes的SaaSy Labs APl存在一个问题,允许访问MBA申请的个人详细信息。
8月18日,DeFi借贷协议Exactly Protocol遭受攻击,损失超7,160枚ETH(约1204万美元)。
8月19日,Cosmos生态跨链稳定币协议Harbor Protocol被利用,损失42,261枚LUNA、1,533枚CMDX、1,571枚stOSMO和18,600万亿枚WMATIC。
8月20日,衍生品市场Thales发布公告称,一名核心贡献者的个人电脑/Metamask遭到黑客攻击,一些充当临时部署者(2.5万美元)或管理员机器人(1万美元)的热钱包已被攻破。[2023/8/21 18:13:42]
什么是前端运行?
报告:比特币投资产品在14天内吸引了3.1亿美元的资金流入:金色财经报道,CoinShares的一份新报告显示,由于对美国证券交易委员会(SEC)批准现货BTC ETF持怀疑态度,比特币投资产品在14天内吸引了3.1亿美元的资金流入。该报告称,随着比特币从前九周的连续流出中恢复过来,比特币处于领先地位。尽管本周的资金流入达到1.23亿美元,但做空BTC投资产品却录得90万美元的流出,使其连续第十周出现负增长。经纪公司Bernstein分析师表示,美国证券交易委员会宁愿引入由更多主流华尔街参与者主导并受到现有受监管交易所监督的受监管比特币ETF,也不愿处理填补机构空白的灰度场外交易产品。[2023/7/5 22:18:03]
三明治攻击是一种在DeFi中流行的抢先技术。
以太坊自合并以来ETH销毁量逾76万枚:金色财经报道,据ultrasound.money数据显示,以太坊自合并以来,ETH销毁量已逾76万枚,当前销毁量为762,895.83枚。[2023/6/12 21:30:45]
如上所述,三明治攻击是一种抢先交易的变体。为了使其成为一个三明治,掠夺性交易者在区块链P2P网络中找到一个待处理的受害者交易,然后试图通过在交易之前下一个订单,在交易之后下一个订单来包围交易。该策略基于通过交易资产来操纵资产价格的想法。
区块链的透明性,加上执行订单的延迟,使得抢先交易变得容易,并且极大地影响了交易者资产的安全性。
所有区块链交易都在内存池中公开观察。一旦掠夺性交易者注意到潜在受害者的待定资产X交易被用于资产Y,他们就会通过购买资产Y抢先攻击受害者。结果是:掠夺者知道受害者交易将提高资产的价格;攻击者计划以较低的价格购买Y资产,让受害者以较高的价格购买,然后再以较高的价格出售该资产。
Euterpe完成首期歌曲版权NFT拍卖:据官方消息,音乐NFT项目Euterpe已于12月30日12:00(UTC+8)在官方平台上完成首期音乐版权NFT拍卖,作品包括周深《相守》、单依纯《喂》和宠物同谋《Dance Underwater(feat.提香)》。此次拍卖采取Vickrey拍卖模式,拍卖持续72小时,在拍卖底价0.01ETH的情况之下总竞价11.4ETH,总成交价5.68ETH,单个NFT最高成交价0.03ETH,达到拍卖底价的3倍。成交NFT将于2023年1月8日18:00(UTC+8)在Euterpe官方网站开放领取及交易。
Euterpe IP-NFT盲盒将于2023年1月3日12:00(UTC+8)开启铸造,1月6日18:00(UTC+8)铸造结束。Euterpe官网将于2023年1月8日18:00(UTC+8)开启盲盒兑换及NFT交易。[2022/12/30 22:16:50]
《华尔街日报》:Justin Sun正在评估购买FTX资产的可能性:11月22日消息,Justin Sun表示,他的同事正在评估从SBF手上购买FTX资产的可能性。Justin Sun周二在新加坡接受采访时称,我们对任何形式的交易持开放态度,我认为所有选项都已经摆到了桌面上。现在我们正在一项一项地评估资产,但据我所知,这个过程会很长,因为他们(FTX)已经进入了破产程序。[2022/11/23 7:57:51]
三明治攻击解析
这个想法似乎很简单,也很容易实现。尽管有数据表明,专业掠夺者每天通过三明治攻击可以赚取大约4,000美元,但这种技术并不总是像它看起来的那样。让我们仔细研究并分析是什么导致了三明治攻击。
自动做市商
这是一种预定义的定价算法,根据流动性池中的资产自动执行价格发现和做市商。AMM允许流动性获得者观察和跟踪市场,然后设置交易的价格,而流动性接受者则对AMM进行交易。
价格滑点
这是交易过程中资产价格的变化。价格滑点是根据交易资产的数量和可用的流动性来预测和预期价格下滑。交易的资产越多,预期的滑点就越高。预期的滑点在交易前计算。
意外价格滑点是在交易过程中由于某种未知或不可预测的原因而发生的价格上涨或下跌。
预期执行价格
根据AMM算法和X/Y状态计算预期价格。这是流动性获得者在开始交易时所期望的价格。
执行价格
执行交易所需的时间可能会极大地改变预期执行价格和AMM市场X/Y的状态。
意外的价格滑点
执行价格与预期执行价格之间的差额。
意外滑点率
超出预期价格的意外滑点。
例如,流动性获得者想要以20Y换取1X,价格为0.05Y单位。交易需要一些时间,当它最终执行时,价格可能已经改变。现在是0.1Y单位,在这个价格下,流动性获得者只能用10Y换1X。意外滑点为0.05(0.10.05)。相反,如果执行价格下降至0.25Y单位,则流动性获得者现在可以用1X的价格购买40Y,这里意外的滑点为-0.15。
现在让我们来看两个场景:
1.流动性接受者攻击接受者:在这种情况下,流动性获得者试图攻击在区块链P2P网络上有待定的AMMDEX交易的流动性获得者。看到等待批准的交易,掠夺者发出两个后续交易以从交易者的交易中受益。现在,通过一个流动性池和资产组合连接了三个待处理的交易。矿工必须选择哪笔交易首先获得批准。这就是掠夺者可以通过实际贿赂矿工来影响这个决定的地方——支付更高或更低的交易费用。
图片来源:https://arxiv.org/abs/20092.流动性提供者攻击接受者:在这种情况下,流动性提供者试图攻击流动性接受者。一切的开始都是一样的:攻击者在P2P网络上看到一个待处理的交易,然后执行三个交易:
消除流动性:抢占先机
添加流动性:恢复运行
用Y交换X:返回运行
在这次攻击中,攻击者在受害者的交易执行之前从流动性池中提取所有资产。在这样做的过程中,掠夺者放弃了受害者交易的佣金。流动性提供者根据他们向AMMDEX市场提供的流动性收取佣金。
图片来源:https://arxiv.org/abs/2009总是有利可图?
一切都显得合乎逻辑和简单。但最终的问题是:三明治攻击总是有利可图的吗?
交易尽可能多的代币将是获得最大利润的最合理方式,除非DEX不要求您支付费用。例如,Uniswap对每笔交易收取0.3%的费用,并且攻击者必须至少提交两次交易。此外,我们不要忘记为每笔交易支付所需的Gas,特别是如果您是抢先交易并且必须支付更多的费用。所有这些使我们得出以下结论:除了费用和佣金高于受害者的交易金额之外,掠夺者不会获得任何利润。
三明治攻击的想法并不新鲜。自从去中心化金融的概念提出以来,人们对其概念及其对所有市场成员可能产生的影响进行了讨论。自动做市商似乎是去中心化交易的最佳决策,但为恶意攻击留下了很多漏洞。随着DeFi吸引了越来越多的人,保护没有经验的交易者应该成为区块链专业人士的首要任务。但是,去中心化这个概念意味着永远不可能有一个经授权的第三方来保证安全,保障和对人员损失的赔偿。
以太坊的创造者VitalikButerin在2018年谈到了一个可能的解决方案:
“如果做市商似乎从虚拟数量之间的差价中获得隐含差价的利润,这些利润可以在交易后分配给似乎以不公平价格购买的用户。例如,如果某个时期的价格从P1变为P2,但在这两者之间的时间段内有时超过P2或低于P1,那么以该价格购买的任何人都可以在事后发送另一笔交易,在做市商有可用资金的情况下,申请一些额外资金。”
到目前为止,无论是在一个区块内还是整个行业,DeFi都极易受到价格操纵和各种可疑策略的影响。
那么,现在安全吗?
除了区块链的去中心化理念意味着除了系统解决方案本身之外,没有人能保护您和保证您的安全,交易者应该明白,DeFi目前处于萌芽阶段,有很多不完善和缺陷。
那么,为什么人们冒着风险仍然使用DEX进行交易呢?出于同样的原因,他们都选择了加密货币和区块链——轻松获得巨额利润。巨大的潜在成本、缺乏安全性和不断变化的规则都是用户必须接受的缺点,如果他们想成为这个蓬勃发展的行业的一员并从中获利。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。