加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

回顧 Indexed Finance 被盜案:數學奇才攻陷 DeFi 平臺_EDO:Freedom God Dao

Author:

Time:1900/1/1 0:00:00

撰文:ChristopherBeam

翻譯:翻譯公會tanghul,TheSeeDAO

時間是10月14日。地點位于英格蘭利茲附近的一間房子。手機響起的時候,勞倫斯?戴正坐在沙發上享用炸魚薯條晚餐。短信來自他在IndexedFinance的一位同事。這是個加密貨幣平臺,用來創建可以代表其它若干幣種的代幣,相當于一個指數基金,只不過是在區塊鏈上。這位同事發來的是一張最近交易記錄的截圖,后面跟著個問號。「要是不理解這東西,你可能會說'這筆交易可真不賴'。」戴說。但是他是個行家,這張圖足以讓他警覺:一位用戶以極低的價格大量買入某些代幣,這本來是不可能的。出大事了。

戴跳了起來,把食物碰翻了一地,跑進臥室給Indexed的創始人之一狄龍?凱勒打電話。6個時區之外,奧斯汀附近。凱勒正坐母親家的客廳里拆一臺DVD播放機,試圖拯救里面的一個激光頭。他拿起電話,聽到戴上氣不接下氣地解釋說平臺受到了攻擊。凱勒回憶道:「我只說了一句,'什么?'」

戴 攝影師:彭博商業周刊JoanneCoates

他們拿出筆記本電腦,一頭扎進平臺代碼里。幾位熟悉的朋友也趕來幫忙,戴的貓咪芬尼爬上了他的肩頭以示支持。Indexed建立在以太坊上,這是個記錄著交易細節的公共賬簿,它意味著攻擊記錄也在上面。準確搞清楚到底發生了什么得花上幾周時間,但明擺著的是,平臺被耍了,以至于用戶手里的代幣價值被嚴重低估,以極低的折扣賣給了攻擊者。加在一起,肇事者總共帶著價值1600萬美元的資產逃之夭夭。

凱勒和戴止住了損失,修復了代碼來防止進一步攻擊,隨后開始面對公關噩夢。平臺的Discord和Telegram頻道里,代幣持有者們浮想聯翩、罵聲不絕,有的則怪罪團隊、索要賠償。凱勒在Twitter上向Indexed的數百名用戶道歉,為他未能發現漏洞承擔責任。他寫道:「我算是搞砸了。」

現在的問題是誰發動了攻擊,以及他們是否會歸還資金。大多數情況下,利用加密平臺漏洞進行攻擊都被認為是內部所為,除非能證明另有其人。「在默認情況下,人們總是會問,'誰干的?為什么開發團隊要這么做?'」戴說道。

攻擊發生后的第二天早上,戴正試著睡一會兒,突然意識到有個貢獻者有一陣子沒動靜了。幾周前,一個用戶名叫UmbralUpsilon的程序員在Discord上聯系了戴和凱勒,說要搞出個能讓平臺更高效的bot機器人。他們同意了,還發過去一筆啟動費用。凱勒說:「當時我們希望他或許能成為一個固定貢獻者來著。」

考慮到他們討論的內容范圍,戴本以為攻擊發生之后UmbralUpsilon會幫他們一把,或者至少表示同情。但是,什么都沒有。戴調出了他們的聊天記錄,發現只有他那部分對話還在,UmbralUpsilon已經刪掉了自己的信息,而且還改掉了用戶名。「這讓我一骨碌就下了床,」戴說。

他把自己的懷疑告訴了團隊。接下來的幾天里,他們在網絡上仔細搜尋攻擊者的數字蹤跡。他們發現,攻擊中用于轉移代幣的以太坊錢包,與最近一場黑客比賽中某個參賽者用來收取獎金的錢包有關聯,而這名參賽者有時自稱UmbralUpsilon。他們調出此人的注冊信息,看到它鏈接到合作編碼平臺GitHub上的一份個人檔案。

創建這份GitHub檔案的人使用的是以"amedjedo"開頭的電子郵件地址,域名則屬于安大略省一所公立學校的董事會。戴和同事還發現,一個維基百科編輯的用戶名和Github上的這個人很接近。這位編輯曾修改過加拿大一項頗受歡迎的高中生智力競賽的頁面,在"校友"一欄中添加了一個名字:"AndeanMedjedovic,著名數學家"。剩下的活兒就交給谷歌了。直到最近,Medjedovic還是安大略省滑鐵盧大學的一名碩士研究生,就讀于數學專業。簡歷顯示他對加密貨幣感興趣。

波卡回顧上個月客戶端事故 系內存不足導致:6月7日消息,Polkadot官方發文回顧,5月24日要求波卡驗證節點將客戶端降級至0.8.30版本事故,系內存不足導致。Polkadot表示,在試圖構建區塊5202216時因內存不足(OOM)錯誤而失敗。該區塊包含驗證人選舉的鏈上解決方案,該解決方案通常是在鏈下計算的,只有在沒有提交鏈下解決方案的情況下才會在鏈上進行。由于提名者的數量眾多,選舉溢出了Wasm環境中分配的內存。為解決這個問題,當時驗證者被要求暫時將他們的節點軟件降級到至0.8.30版本并且使用「--execution=native」命令。該本地版本不受Wasm內存分配器的限制,網絡在70分鐘停機后恢復。之后在5203204區塊,幾個節點因「存儲根不匹配」錯誤而失敗,這是由于構建本地運行時和鏈上Wasm運行時的編譯器版本不同造成的。解決方案是用一個具有正確編譯器版本的Wasm運行時來覆蓋鏈上Wasm運行時。Polkadotv0.9.3版本上線后修復了該類問題,Polkadot表示未來可能會支持4GB的Wasm分配內存。現在選舉必須在鏈下進行,并且禁用鏈上選舉。在分配器被改進之前,鏈下工作者將使用比鏈上Wasm運行時更高的內存限制確保鏈下選舉不會耗盡內存并能成功提交。另外,Polkadot將確保本地和Wasm構建中使用相同的編譯器版本。[2021/6/7 23:18:48]

整個團隊松了一口氣。通常,網絡攻擊者的身份一旦被確認,會歸還資金換取一筆保全顏面的賞金,再獲得個"白帽黑客"的榮譽。戴與UmbralUpsilon聯系,提出只要他安全歸還代幣,就可以獲得10%的獎勵。戴還心不甘情不愿地稱贊了句「干得好」,但他沒有得到回復。然后,凱勒嘗試了另一個策略,他給Medjedovic發信息,直呼其名"Andean"。這一次Medjedovic有了反應。他在Twitter上公開嘲諷Indexed的用戶:「你們被場外交易騙了。你們對此無能為力……這就是加密貨幣。」還有一名團隊成員給Medjedovic單獨發郵件說,如果退回代幣將付給他5萬美元。Medjedovic回了個以太坊地址鏈接,并留言:「把錢轉過來。」他們沒有上當。令人震驚的是,他們發現這個帶來許多折磨的人還只有18歲。

最后,在不得不請出律師和警察之前,凱勒給Medjedovic發了條短信做最后一次懇求。他寫道:「懇求你現在放棄,讓自己好過一點。」這名少年的回復是「Xdxdxd」(表示狂笑的表情符號),外加一句,「祝你好運。」

凱勒 攝影師:彭博商業周刊CindyElizabeth

當初創建Indexed時,凱勒和聯合創始人把它設想成DeFi的進步。基于區塊鏈的DeFi?運動,旨在為借貸、資產交易和投資組合管理提供一種更自動化、更少中介的運作方式。一些支持者對DeFi持有實用主義觀點,認為它是對傳統金融的改進,省去了那些抽取費用的中間商和行動遲緩的人工決策。另一些人則更加自由主義,認為DeFi是現有體制之外的一處桃源,是規避政府或大型公司強加的規則和限制的一個渠道。此外還有一些懷疑論者,他們認為這一切都是騙局。

自稱「很進步」的凱勒完全屬于實用主義陣營。23歲時,他覺得計算機科學課程沒有教給他任何新東西,于是從德克薩斯大學達拉斯分校輟學。凱勒隨后創辦了Indexed平臺,試圖解決一個問題:如果一個人想交易加密貨幣,但又覺得每天管理投資組合很麻煩,該怎么辦?

Compound創始人發推回顧項目歷史,成功并非一朝一夕:Compound創始人Leshner發推回顧了Compound發展歷史,并表示Compound的成功并非一朝一夕,成功也靠站在巨人的肩膀之上。以下為Leshner提及的Compound發展歷史:

2017年,Compound是一個去中心化貨幣市場,這得益于以太坊基金會、Consensys等將以太坊構建為一個完整的生態系統,使得其上智能合約的部署成為可能。

2018年9月,Compound v1上線,主要做了這些初始工作:實現池子流動性(而非通過訂單簿);基于供需實現算法利率;利率指數(用于為不限量的用戶調整持幣余額)。

Compound v2中,引入了cToken概念,這是一種代幣化余額,該想法的靈感來自于和@delitzer的對話,@delitzer一直在探究DeFi的可組合性。

Compound治理系統基于協議和社區決策,MakerDAO系統的首個可行治理方案為Compound提供了借鑒。

COMP代幣整合了投票委托功能,靈感來自Tezos。

COMP代幣分發是將項目主要價值給到用戶和協議參與者的一次實驗,靈感來自Synthetix在DeFi激勵機制中的設計,以及中本聰的比特幣白皮書。[2020/6/20]

在傳統金融領域,如果投資者想平衡持有多種股票,可以通過購買指數基金將買賣股票的日常工作交給投資組合經理去做。凱勒著手在區塊鏈上創建一個類似的機制,但是由算法來驅動交易。指數基金經理會維護一個由指數類股票的標的資產構成的投資組合,而Indexed的算法則為每個指數代幣維護一個標的代幣構成的「資產池」。用戶可以將一種或所有標的資產注入池中,以換取一個指數代幣——這個過程被稱為「鑄幣」。同樣,用戶也可以通過將指數代幣注入池中來「銷毀」它,以換取一種或所有標的資產。另外,就像指數股票型基金一樣,用戶可以在Uniswap等去中心化交易所買賣指數代幣。

指數基金的形式多種多樣,每一種都使用不同的投資策略。有些指數是市值加權指數,比如標準普爾500指數:如果該指數內的某只股票價格上漲,則該股票在投資組合中的價值占比也會相應上升。另一些指數基金,則尋求保持各支股票間的固定占比。例如,如果你想讓微軟的股票一直占投資組合的20%,那么當微軟股票的價格上漲了,投資組合經理就會賣出一些,以保持其20%的權重。

凱勒和他的團隊以這類基金為模型塑造Indexed,使用一種稱為「自動做市商(AMM)」的機制來維持標的資產之間平衡占比,許多DeFi平臺都是這么做的。與傳統做市商不同,AMM本身不會買賣資產。相反,它通過調整內部代幣的「池內價格」,來激勵交易者從池中購買代幣,或將代幣賣入池中,以此幫助資產池達到預期的資產平衡。當池中需要更多的某種代幣時,其「池內價格」就會上漲;當資產池對某種代幣的需求減少時,其「池內價格」就會下降。這個模型假設用戶會理性地與協議互動,低買高賣。

通過消滅人工管理者,Indexed得以免收管理費。而indexed的勁敵IndexCoop的用戶來說,僅僅持有其最受歡迎的指數代幣就得支付0.95%的管理費。。Indexed還通過限制平臺與外部實體之間的交互次數來節省成本。例如,當Indexed需要計算某個資產池內所有資產的總值時,它有時會根據池中權重最大的代幣的權重和價值進行推斷,而不是到Uniswap等交易所去一一檢查每種代幣的價格。通過這種方式,Indexed減少了在以太坊上支付的交易費用。凱勒將「完全消極」視為「指數基金現有運作方式的自然延伸」。

動態 | EOS Nation發文回顧EOS主網更新進展:EOS Nation今日發文回顧過去幾周EOSIO 2.0升級過程及在此期間Block.one和EOS主網的出塊節點之間的協作。

1.Block.one發布EOSIO 1.8.11和2.0.2版本更新,解決微分叉和丟塊問題;

2.BP 基礎架構:在過去的兩周中,許多節點設置發生很大改變,包括:CPU或其他內存升級,改善網絡拓撲結構,升級EOSIO軟件版本,配置調整;

3.EOSIO 2.0升級。[2020/2/9]

但「消極」也帶來了風險。如果代碼有問題,有人就可以直接利用它,而不需要繞過任何人為保護措施。而限制區塊鏈交互來降低成本的做法則需要權衡:智能合約的步驟越少,給安全漏洞留下的空間就越大。被攻擊過的加密貨幣平臺列表很長,并且每周都在增加:PolyNetwork,Wormhole,CreamFinance,RariCapital……戴說:「DeFi領域有句老話,有兩種DeFi協議:已經被黑的和即將被黑的。」

凱勒早就意識到有一種可能的攻擊途徑:Indexed用來向資產池中導入代幣的機制。當發生這種「索引重建」的情況──比如說,某種代幣的市場價值超過另一種代幣,進而有資格被納入藍籌基金──之后,資產池會用一個復雜的方程來設定這種新代幣的初始價格。該方程中有一個變量是基準代幣的價值。如果你能以某種方式搞亂基準代幣在資產池內的定價,理論上就可以迫使資產池對其它代幣給出錯誤的定價。

凱勒說:「我曾花了至少兩周時間來研究這個問題。」但他沒能找到任何錯誤。他雇來檢查代碼的兩位安全研究人員也沒有找到錯誤。所以他說,「我于是確定它不是一個攻擊載體。」不過,Indexed還是在網站上發布了一條警告:「我們對合約的安全性有信心……我們不能絕對確信沒有被忽視的錯誤。」

該平臺于2020年12月首次亮相,最初提供兩個指數代幣:CC10和DEFI5。其中CC10代表以太坊上市值最高的10個代幣,DEFI5代表市值最高的5個DeFi代幣。這個項目很快就獲得了一小群忠實粉絲,這其中就包括戴。戴擁有理論計算機科學博士學位和金融工程碩士學位,他的碩士畢業論文就是關于股票市場指數投資組合優化。Indexed與他的興趣相一致,也與他相對較低的風險偏好相匹配。他說:「當談到加密貨幣以外的投資時,我完全是一個無趣的人。」

戴和凱勒相處得很好。他們都有一種極具網絡搞怪風格的幽默感,而且一位是有寫作天賦的金融專家,另一位是富有創造力的程序員,各自的技能互補。「我完全是個文科生,而狄龍是標準的理工男。」現年33歲的戴說。2021年4月,戴辭去在一家石油和天然氣公司的工作并全職加入了Indexed。

那一年,人們對加密貨幣興趣激增。在這股力量的推動下,Indexed一飛沖天,很快成為以太坊上市值第二大的指數協議,僅次于indexCoop。他們提高了自己的志向,推出指數代幣,并計劃進行升級,讓存在池中的資產能夠賺取利息。Indexed部署其代碼的DeFi平臺Balancer也備受鼓舞,給他們提供了一筆資助——這是對Indexed的未來投下的信任票。

當Indexed上線時,小名Andy的Medjedovic剛剛開始攻讀碩士學位。他計劃在一年內讀完碩士。他做事一向很快,還在小學時就已經開始上10年級的數學課,14歲就從高中畢業,并在滑鐵盧大學用三年時間完成了本科學業。滑鐵盧大學是加拿大數學和計算機科學的頂級學校之一,也是以太坊聯合創始人VitalikButerin的母校。到2021年秋天,Medjedovic已經提交了關于隨機矩陣理論的碩士論文,并計劃申請博士學位。滑鐵盧大學數學教授DavidJao說:「我想不出那時候還有哪個學生能這么早拿到這個學位。」

夜間信息回顧 | 三星證實Galaxy S10內置加密私鑰安全存儲功能:1.加密社區對彭博社有關比特幣價格飆升的觀點表示質疑

2.比特幣期貨收于3900美元上方

3.亞馬遜開發可在60秒內創建區塊鏈網絡的工具

4.FBI向BitConnect受害者征集信息

5.Facebook首席執行官:考慮將區塊鏈技術用于身份驗證

6.三星證實Galaxy S10內置加密私鑰安全存儲功能

7.加密貨幣總交易量達到300天高點

8.日本加密貨幣業界公開資產余額,賬戶數明顯下降

9.凌晨以來BTC出現超10筆大額轉賬[2019/2/21]

盡管在學術上很領先,但Medjedovic的社會成熟度卻落后了。他的一位要求匿名以便坦率談論敏感問題的前同學回憶說,他「自信到了傲慢的地步」,公開看不起那些他覺得沒他聰明的學生。這位同學還說,「無論他做了什么或說了什么,他都相信是不會有錯的,是絕對的真理。」據說,Medjedovic與一些極端主義思想眉來眼去:該同學曾聽到他對白人至上主義和人種改良學贊賞有加

盡管如此,Medjedovic還是交到了一些朋友,并通過國際象棋和電子游戲《英雄聯盟》等活動與他們保持聯系。他還喜歡讀小說,尤其是科幻小說。在一個社交網絡上的個人資料中,他引用了KurtVonnegut的《貓的搖籃》中的幾段話,表達的是人類探尋知識的徒勞:「老虎要捕獵,鳥兒要飛翔,人要坐下來想啊,想啊,想;老虎要睡覺,鳥兒要歸巢,人要對自己說這一切屬他最明膫。」

Medjedovic也逐漸成為一名熟練的程序員,經常參加一個名為Code4rena的在線黑客競賽。在這個競賽中,公司懸賞讓開發人員尋找自己系統中的安全漏洞。他曾兩次在比賽中獲獎。「他似乎很友好,也很酷,」協助運營C4,并在Indexed遭受攻擊前后都與Medjedovic有過通信聯系的AdamAvenir說:「像一個認真的孩子。」

Medjedovic對DeFi感興趣,尤其是AMM機制。他在一封電子郵件中說:「每當我聽說一種新型DeFi產品,就會仔細研究它的運作方式。如果我想出一個好主意,就會投點錢進去。」他估計自己花了數百個小時「把玩這些DeFi產品背后的數學,試驗不同策略的盈利能力。」然后,他編寫出能在這些平臺上執行套利交易的bot機器人,賺取少量利潤,并幫助資產池更高效地運行。

在一個論壇上看到Indexed后,他仔細研究了它的智能合約,并注意到Indexed的代碼中有一個進行「錯誤定價的機會」——正是凱勒曾經擔心過的,那種在引入新代幣時可以扭曲資產池內部價格計算的手段。他還發現,有可能繞過限制池內某些交易規模的保護措施。他說:「起初,我并不相信,」他進行了幾次計算,「理論上是可行的。」接下來的一個月,他寫了一個能利用這個漏洞的腳本程序。

他還在Discord上以UmbralUpsilon的身份聯系了Indexed團隊,詢問了一些有關資產組合和定價的基本問題,并提出為平臺編寫套利機器人。現在回想起來,戴說:「我懷疑他可能是想旁敲側擊,看看我是否能為他打開一個缺口。」凱勒和戴說,他們當時分享的信息沒有在這次攻擊中被利用。

最終,在10月中旬,Medjedovic準備好了要部署的代碼。同樣重要的是,此時對于Indexed中最大的兩個資產池進行「索引重建」的時機已經成熟。它們需要的只是某個用戶引入少量的新代幣——對這兩個資產池來說,需要的都是Sushi,DeFi交易所SushiSwap的代幣)。

精選 | 九月區塊鏈趣聞事件回顧:1.紐約一男子因搶劫180萬美元加密貨幣被判刑10年。

2.“比特幣暴跌”上新浪微博熱搜榜。

3.北京互聯網法院受理第一案將使用區塊鏈取證。

4.區塊鏈新聞論文獲第28屆中國新聞獎二等獎。

5.韓國海關總署將采用三星Nexledger區塊鏈平臺開發去中心化清關系統。

6.德克薩斯州一男子被判數字貨幣詐騙罪而入獄。[2018/9/30]

利用這個漏洞需要編寫數百條程序指令,法庭后來用了幾十頁的文件來解釋。但這個過程包含幾個關鍵的步驟。為了攻擊構成DEFI5指數的代幣池,Medjedovic編寫了一個程序,并用這個程序獲得了價值1.57億美元的「閃電貸」——這是加密貨幣交易中的一種機制,只要用戶在同一組預先編程的交易中償還貸款,就可以獲得資金。然后,他的腳本用一大部分貸款買走池中幾乎所有的UNI。UNI的突然供應不足導致池內的UNI價格飆升,因為算法試圖激勵交易者將更多的UNI賣回池中,并且不再從池中購買UNI,這是為了恢復池內原來的平衡。Medjedovic買的UNI越多,池內UNI的價格就漲得越高,最終達到了外部市場價格的860倍。他總共花費了價值1.09億美元的代幣,買下了實際價值520萬美元的UNI。

對DEFI5的攻擊:1個程序和7個關鍵步驟

從表面上看,這是一筆瘋狂的交易,但UNI在DEFI5資產池中扮演了一個獨特的角色。UNI是基準代幣——池子用它來推斷其總值。隨著池中UNI的數量急劇減少,資產池現在對其自身的估值只相當于真實價值的380分之1。因此,需要新引入的Sushi數量也急劇減少,這可是鑄造DEFI5代幣離不開的。此時,只要Medjedovic愿意,他就可以用價值3200美元的Sushi代幣換取價值117.2萬美元的DEFI5代幣。而如果他干脆就這么干的話,Indexed反而不會出什么問題。Indexed協議對用戶可以交換到池中的新代幣數量進行了限制,因此他只能提取大約池子價值的1.5%——考慮到交易手續費,這對他來說算不上有利可圖。

相反,Medjedovic的腳本拿到了另一筆閃電貸──價值240萬美元的Sushi代幣。他沒有把這些代幣換進資產池中,而是把它們贈送給了資產池——看似不合邏輯,卻是Indexed的算法從設計上就沒有考慮到的一個舉動。這筆「贈送」打垮了資產池,繞過了它對新代幣的常規交易限制。它讓Medjedovic可以自由地將被高估的Sushi代幣兌換成被低估的DEFI5代幣,然后又套現為池中的標的資產,以此償還貸款,剩下的落入腰包,如今價值1190萬美元。對CC10資金池的攻擊更是讓總值提高到了1600萬美元。

Medjedovic在電子郵件中回憶說,他對這次攻擊的成功感到驚訝。他寫道:「我只做了幾次嘗試就搞定了,」很快他就沒錢支付區塊鏈的交易費用了。

「絕對令人印象深刻,」凱勒說,「但是他的才能用錯了地方。」

如果Medjedovic曾考慮過歸還代幣,那他也沒有考慮太久。在Indexed團隊確認他的身份后,他在Twitter上發布了一首挑釁的詩:「一只青蛙躍入池,耍酷全憑有本事。|為把蛙兒煮了吃,他們拼命做嘗試。'不要套利那些錢',他們哭聲響徹天。|但是青蛙喜洋洋,皆因神靈在身旁。」有人留言拱火。有人發了個皇冠表情。還一個人寫道:「我愛這家伙。」

一些人對他使用了種族主義的語言和修辭厲聲斥責:Medjedovic用于這次攻擊的以太坊地址包括數字「1488」(一個新納粹口號的縮寫),他還把辱罵黑人的「黑X」一詞寫到代碼里,16次。一位推特用戶稱他為「Balancer資產池的DylanRoof」,這是指2015年在南卡羅來納州查爾斯頓一座教堂槍殺9名黑人的兇手。Medjedovic點贊了這條推文。

攻擊發生后的幾周對凱勒和戴來說如同地獄。他們忙著重建協議,應付網上的質疑,并為他們的代幣持有者設計一個賠償方案。禍不單行,就連戴的貓咪芬尼也沒有逃過殘酷的命運,它被一輛汽車撞死了。

12月9日,攻擊發生近兩個月后,凱勒和戴在安大略省對Medjedovic提起訴訟。他們認為他的行為構成欺詐,他應該把代幣歸還給原來的所有者。結果他們并不是第一個這樣做的人。一家注冊在特拉華州的匿名公司Cicada137LLC曾經起訴過Medjedovic,但該案件已經封存。直到提交了自己的訴訟請求后,凱勒和戴才知道這件事。根據其訴訟內容,Cicada137是那次黑客攻擊中損失代幣最多的持幣者,涉案代幣總值在當時達到了900萬美元。

當凱勒和戴向法庭提起訴訟時,Cicada已經獲得了這些爭議代幣的凍結令。法院實際上無法控制Medjedovic的錢包,但如果他現在動用這些代幣,就會觸犯法律。Cicada還得到了Medjedovic父母房子的搜查令,Medjedovic曾一直住在那里。但當12月6日法院執行搜查時,他已經帶著電腦設備離開了。他的父母和弟弟都說不知道他在哪里。

凱勒和戴的律師在訴訟中提出,攻擊中的兩個特定步驟違反市場操縱和電腦黑客法規。其中一個是將DEFI5池中的幾乎所有UNI代幣買走,這一似乎無理性的交易的合理解釋在于,它扭曲了定價,致使算法強制Indexed用戶賣出代幣,讓Medjedovic能夠以低價買入。「該交易操作的唯一目的,是誤導代幣持有者以他們永遠不會同意的條件賣掉代幣,」代表凱勒與戴的律師StephenAylward說,「我們認為這是一種市場操縱。」同樣的論點也適用于Medjedovic對CC10資產池所做的操作。

另一個非法交易步驟是Medjedovic通過贈送Sushi擊潰資產池,從而欺騙了算法,使他能繞過針對某些交易的規模限制。Aylward稱這是「Andean為使安全措施失效而實施的故意行為,就和破壞銀行安全系統一樣。」他認為,這該行為符合加拿大對「極為寬泛」的黑客行為的法律定義,可以被解釋為「顛覆計算機系統的預期目的」。

Medjedovic尚未正式回應這兩起訴訟,他告訴我他在安大略省甚至連律師都沒有。但在我們的電子郵件交流中,他聲稱自己執行了一系列完全合法的交易。他所做的一切都沒有「涉及進入一個我不被允許進入的系統。」他說:「我沒有偷竊任何人的私鑰。我與智能合約的交互符合這些智能合約自身公開的規則。在這場交易中失去互聯網代幣的,是那些試圖利用智能合約為自己謀利的人,而且這些人顯然沒有完全理解持有這些交易頭寸所面臨的風險。」Medjedovic補充說,他在執行這一策略時承擔了「巨大的風險」。如果失敗,他將失去「我投資組合中的一大部分。」(他可能損失3ETH的交易費用,當時價值大約11000美元)。

此案提出了一些棘手的問題,都是關于「人與區塊鏈代碼的哪些交互方式能夠為法律所允許」。例如,原告聲稱Medjedovic操縱資產池內代幣價值的行為,等同于他作出了「虛假陳述」。但作出虛假陳述的究竟是Medjedovic還是算法?多倫多專攻信息技術領域的律師BarrySookman說,這沒有本質的區別:「個人要對其控制下的技術活動負責。」

如果Medjedovic參與了欺騙,那么他欺騙了誰?正是基于這一點,為Medjedovic提供咨詢,但沒有正式參與安大略省案件的達拉斯律師AndrewLin拒絕接受虛假陳述的說法。AndrewLin說:“很難說他對誰做了虛假陳述,他寫出了幾行代碼。代碼本身是沒有對錯之分的。“

研究網絡安全的AndreaMatwyshyn說,如果不了解案件調查過程中可能發現的所有事實,就無法預測法官將做出怎樣的判決。他是賓夕法尼亞州立大學的法律與工程教授。但這個案子極不明朗,尤其是考慮到Medjedovic關于他承擔了風險的說法。「華爾街的人一旦發現哪兒有漏洞,就會展開戰略研究,往往能一下子賺到很多錢。」Matwyshyn說道,「我可以想象,在調查了本案的技術和財務細節,并權衡各種因素后,法官會得出結論:有一些因素使本案中的這種行為更像是高度投機交易。」

DeFi所處的法律和監管的灰色地帶也增加了不確定性。任何擁有專業技術知識的人都可以去創建一個投資工具,把它放上網,讓用戶暴露在可能被攻擊的風險中。美國證券交易委員會主席GaryGensler曾表示,他計劃將加密貨幣交易平臺納入管理。而前商品期貨交易委員會委員、現任SEC總法律顧問DanBerkovitz稱,DeFi是一個「霍布斯式的市場」,其產品違反商品交易法規。3月,白宮發布了一項行政命令,要求為「降低數字資產可能對消費者、投資者和商業保護造成的風險」等目標制定相關法規。

卡爾加里大學的法學教授RyanClements說,這些擬議條例可能無法阻止對Indexed的這類攻擊,但可以降低或至少提醒交易者注意潛在危害。例如,法規可以規定:產品推出之前需要由具備資質的機構進行「代碼審核」,并且必須實行實名注冊。然而,Clements說,這對執法將是一個挑戰。政府不能像對普通網站那樣「封鎖」去中心化的平臺,因為它們運行在全球分布的區塊鏈上。況且,即使政府能夠封鎖,也可能出現模仿的平臺。

DeFi純粹主義者們更傾向于讓政府遠離他們的平臺。監管網站DeFiWatch的負責人ChrisBlec在推特上表示,對Indexed的這次攻擊是「DeFi的尷尬」,他還批評該團隊向法院這樣的中心化機構求助。凱勒說,他沒有別的選擇——DeFi又沒有自己的司法系統。無論如何,他認為DeFi應該在現有的法律框架內運行。「我認為,DeFi在治理和項目管理方面應當去中心化,」他說,「但是需要一個中央機構來強制執行一些基本規則。」

在凱勒和戴提起訴訟的一周后,Medjedovic出席了一場在Zoom上舉行的虛擬聽證會。他關掉了攝像頭,并且三緘其口。法官要求他要么將本案中的爭議資產轉移給中立的第三方,要么在下周親自出庭。當截止日期到達時,Medjedovic仍然沒有轉移那些代幣,也沒有出庭。法官發出了對他的逮捕令。

除非當局能找到Medjedovic或者他本人決定出庭,否則本案將一直處于懸而未決的狀態.。在非加密貨幣案件中,如果原告獲得缺席判決,法院可以簡單地命令被告的銀行凍結其賬戶或移交其資產。但由于加密錢包只有擁有私鑰才能訪問的特性,離開Medjedovic的配合,當局就無法獲得代幣。我問他是否已經花掉了任何攻擊所得,他說,「我不相信花錢。」最近,確實有人動了Indexed攻擊中使用過的錢包,將價值近40萬美元的代幣轉移到了一個似乎是混幣器的地方,使得這些代幣的去向無法追蹤。這說明Medjedovic可能正在動用其中的一部分資金。

幾乎所有與我交談過的人都希望他能露面,這樣就算還是拿不回他們的錢,至少可以讓法院解決涉及本案的棘手法律問題。Cicada137的律師Bathgate說,有「充分理由相信」Medjedovic已逃往國外。安大略省的執法機構表示并沒有對他進行積極抓捕,而加拿大皇家騎警和FBI都拒絕對此發表評論。但躲起來也解決不了他的法律問題。審理此案的法官FrederickMyers寫道:「我可以向AndeanMedjedovic保證,訴訟并不像美酒那樣,時間越久味道越好。」

說得好聽一些,Medjedovic似乎對公眾的同情不感興趣。在給我的電子郵件中,他有時坦率直言,有時明顯地引戰挑釁。當我問他是否背后有人給他支招的時候,他采取了后一種做法:「從頭到尾,我一直私信聯系我的導師PeterThiel。是他慫恿我這么干的!」在另一些回答中,他提及了「祖先模擬」,「把鉆石保存在外星」的家庭,以及一個要「從煙囪潛入別人家中,在他們的枕頭下留下一本《修昔底德》」的聯合國項目。至于他說的這些到底自己是否當真,即使按照互聯網爛帖的標準來看,也幾乎算得上怪異了。

對于自己的未來,Medjedovic漠不關心,他說:「我才不關心'找份工作'這種事情。在籠子里搖尾巴不是我理想中的美好生活。」他沒有排除創造自己的產品的可能性:「如果想到了一種必要且有用的技術,我當然會去開發出來。到目前為止,這方面我還沒有獲得任何神啟。」

與此同時,Indexed團隊還在繼續前行。今年1月,Indexed推出了一個指數代幣,但此后該平臺的總值隨著整個DeFi領域的衰退而進一步下降。他們計劃中的升級也被擱置了。凱勒說:「這一切發生之后,我們倆都沒有像原來那樣的動力去繼續做這個項目了。」戴補充道:「大多數人都意識到Indexed難以重回正軌了。」

事情也有好的一面,戴有了一只新貓咪──Katniss。而且,盡管此次攻擊事件及其造成的后果令人痛苦,但它也引起了關注。凱勒和戴都收到了DeFi領域的工作的邀請。戴還在申請法學院。他說:「能夠彌合技術與法律框架之間鴻溝的人不多,我琢磨可以自己來做。」

今年2月,Medjedovic還躲避在外的時候,凱勒和戴飛去參加以太坊丹佛大會。在那里他們出席了各種聚會和座談,與一些開發者見面。但大部分時間他們倆都是在互相交談。這是他們第一次在線下活動中見面,有太多事情要聊。為了紀念這一時刻,戴給他們倆拍了一張自拍。照片中,戴咧嘴傻笑,凱勒一臉茫然。戴將把照片發到了推特上,并配文:「理工男小隊初次亮相。」

Tags:EDOJEDMEDVICFreedom God DaoJEDI幣MEDIADOGEVICS

歐易交易所app官網下載
加密數據平臺 Goldsky 完成 2000 萬美元種子輪融資,Felicis、Dragonfly Capital 領投_數字貨幣:BlockMonsters

鏈捕手消息,加密數據基礎設施平臺Goldsky宣布完成2000萬美元種子輪融資,Felicis和DragonflyCapital領投.

1900/1/1 0:00:00
白宮發布加密貨幣監管框架,包含發展路徑和打擊欺詐等內容_數字資產:穩定幣

鏈捕手消息,據CNBC報道,美國白宮發布加密貨幣監管框架,包括金融服務行業應該如何發展更為便捷的跨國交易,以及如何打擊數字資產中的欺詐行為等.

1900/1/1 0:00:00
DappRadar 將重新統計 Decentraland 用戶數據,包括日活用戶 DAU 等_DAP:APP

據CoinDesk報道,區塊鏈數據平臺DappRadar在其最新報告中概述了與dApp交互的“活躍用戶”數量的統計方式,包括元宇宙平臺Decentraland.

1900/1/1 0:00:00
UXD Protocol 在 Mango 攻擊事件中受影響資金近 2 千萬美元_LUX:Ducato Protocol Token

ChainCatcher消息,據UXDProtocol官方推特,Solana生態算法穩定幣協議UXDProtocol在Mango攻擊事件中受影響資金總額為19,986,134.9037美元.

1900/1/1 0:00:00
慢霧:Wintermute 1.6 億美元資產被盜可能原因是使用 Profanity 創建的靚號錢包_KEN:ATO

鏈捕手消息,慢霧安全團隊分析Wintermute錢包遭攻擊事件后發現如下信息:Wintermute被盜智能合約:0x00000000ae347930bd1e7b0f35588b92280f9e7.

1900/1/1 0:00:00
Web3安全生態基礎設施 GoPlus Security 與 Safeheron 達成戰略合作_WEB:bitweb

Web3安全生態基礎設施GoPlusSecurity宣布與Safeheron達成戰略合作,在安全數據共享的角度共同推動Web3安全的發展.

1900/1/1 0:00:00
ads