簡析Clipper：主打小額交易市場的DEX項目_USD:IUSD幣

整理：布蘭

當前，大多數加密貨幣交易所都在追求高流動性來使交易者能以較低的滑點執行大宗交易，但這對于散戶投資者而言則需要支付更高的交易費用才能激勵如此大量的流動性，可他們卻無法享受到減少滑點的好處。

在這種情形下，越多的流動性會更加傷害散戶投資者。因此對于小額交易，在找到最佳交易價格方面，較低的交易費用勝過略高的滑點。

而Clipper就是專為散戶投資者設計的新型去中心化交易所，該協議旨在為交易者提供最優惠的小額交易價格。該項目推出以來得到了PolychainCapital、0xLabs、1inch、DeFiAlliance、RobertLeshner、NavalRavikant等的支持。?

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

Clipper?目前而言支持穩定幣和wBTC或ETH之間的交易，具體是通過以下幾種方式優化交易費用和滑點之間的權衡：

Beosin：EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示，ETH鏈上的EthTeamFinance項目遭受漏洞攻擊，攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞，將WTH，CAW，USDC，TSUKA代幣從V2流動性池非法升級到V3流動性池，并且通過sqrtPriceX96打亂V3流動池的Initialize的價格，從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

第一，將流動資金池上限設置為2000萬美元。由于流動性池較小，該協議必須支付較少的費用來激勵流動性提供者，最終使日常交易者的交易費用保持在較低水平。?

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

第二，使用獨特的AMM變體來最大限度地減少滑移。Clipper的AMM變體在數學上比恒定產品做市商少，后者是大多數DEX使用的默認AMM模型。此外，Clipper不是為每個資產對維護一個流動性池，而是為任意數量的資產維護一個單一的合并流動性池，這提高了資本效率并降低了相對于池規模的滑點。?

第三，運行高效的鏈上計算以減少gas費用。該協議使用一種新穎的封閉形式的不變量進行優化，它在鏈上計算很簡單，因此需要較少的gas費用。與Clipper交易大約需要100k單位的gas，與當今大多數領先的DEX相當。?

第四，通過外部預言機更新資產價格。當LP代幣的價格相對于它們存入流動性池時發生變化時，就會發生永久性損失。無常損失也傷害了日常交易者，因為他們必須經常支付更高的交易費用來抵消損失并吸引足夠的流動性。為了緩解這種情況，Clipper通過考慮來自預言機的外部市場價格來更新其流動性池中的資產價格，而不是完全依賴套利者來修正價格。?

據了解，Clipper項目由ShipyardSoftware發起，該團隊構建了一套針對各類加密投資者和特定用例的DEX。Shipyard團隊在在線市場、NFT和自動化做市的學術研究方面擁有豐富的經驗。

該協議由一個去中心化自治組織管理，該DAO目前由一個多重簽名錢包組成，包括Shipyard、Polychain和其他社區成員作為簽名者。隨著項目的成熟，Clipper打算通過原生代幣由社區進行治理。?

Clipper?目前仍處于測試階段，擁有1700萬美元的流動性池，并已與DEX聚合器1inchNetwork集成。未來，Clipper打算擴大其流動性提供者的集合以向社區開放，推出治理令牌，與其他DEX聚合器集成，并擴展到其他鏈，如Polygon和第2層協議。?

總結來說，Clipper的定位是為向散戶投資者提供最佳交易價格，幫助他們更容易進入加密生態系統。

參考資料：https://www.veradiverdict.com/p/dex-for-the-people

Tags：USDGVCWBTBTCIUSD幣GVC幣MWBTC價格BTCA

幣贏