成都鏈安：淺談去中心化交易所現狀與監管_DEX:DEXE

8月10日，DEX類項目Curve宣布其治理代幣的預挖礦已結束。此次活動吸引了9000余個地址參與，其中包括20個巨鯨地址。而近期DEX類項目Uniswap及Balancer在DeFi中的交易量也是不斷走高。這說明市場對于DEX項目寄予很高的期望。DEX不同于傳統中心化交易所，其不需要KYC認證就可以進行上幣交易，在上幣更加便利的同時，也使得作惡成本也隨之降低。接下來我們就通過Uniswap看看DEX的「利」與「弊」。UniswapDEX介紹

Uniswap是基于以太坊的去中心化交易平臺，其DEX采用AMM模式。任何用戶僅憑一個地址就能在Uniswap上創建一個流動池并將一個交易對加入池中。交易對無需審核，只要滿足ERC20等代幣標準就可以直接上幣。我們以一個新上幣進行分析如下圖所示：

成都鏈安：bDollar項目遭受價格操控攻擊，目前攻擊者獲利2381BNB存放于攻擊合約中:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，bDollar項目遭受價格操控攻擊。攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊交易eth：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a

目前攻擊者獲利2381BNB，存放于攻擊合約中。[2022/5/21 3:32:53]

成都鏈安：國內天穹數藏宣稱遭黑客攻擊，黑客利用虛假余額購買盜取用戶的藏品:5月17日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，天穹數藏宣稱遭黑客攻擊，藏品售價異常高達近千萬元。根據平臺公告稱：平臺數據遭遇大量惡意攻擊，黑客利用虛假余額購買盜取用戶的藏品，導致數據異常，目前已恢復，平臺已第一時間報警處理。成都鏈安安全團隊初步分析，導致本次攻擊的原因猜測為：攻擊者通過傳統網絡安全攻破了平臺方數據庫，惡意篡改賬戶余額，導致大量用戶高價掛單仍可成交，最終導致數據異常。成都鏈安安全團隊建議：

1、 國內數字藏品平臺方在設計、實現和部署的過程中，要關注通信與網絡安全、主機安全、數據庫安全、移動安全等傳統安全領域，做好安全防護；

2、 國內數字藏品平臺方在運維的過程中，要做好金融風控的設計和實施，避免出現大規模資金異動而不自知的情況；

3、 數字藏品消費者在選擇交易平臺時，需要關注平臺合規風險，注意保障自身財產安全；

4、 數字藏品消費者警惕炒作風險和市場泡沫，避免泡沫破裂時造成財產損失。[2022/5/17 3:22:51]

△圖1查看交易對，此交易對已幾乎沒有流動資金。如下圖所示：

成都鏈安：fortress被盜金額已被轉換成1048eth并轉入了Tornado Cash:5月9日消息，據成都鏈安安全輿情監控數據顯示，fortress 遭受預言機價格操控攻擊，被盜金額已被轉換成1048eth并轉入了Tornado Cash。經成都鏈安技術團隊分析，本次攻擊原因是由于fortress項目的預言機FortressPriceOracle的數據源Chain合約的價格提交函數submit中，將價格提交者的權限驗證代碼注釋了，導致任何地址都可以提交價格數據。攻擊者利用這個漏洞，提交一個超大的FST價格，導致抵押品價值計算被操控，進而借貸出了項目中所有的代幣。

攻擊交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻擊者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻擊者合約：0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

聲音 | Beosin（成都鏈安）預警：某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，今日上午 8:53:15開始，黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在，該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作，在收到安全公司的安全提醒之后第一時間排查項目安全性，才能及時止損，同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略，必要時可聯系第三方專業審計團隊，在上鏈前進行完善的代碼安全審計，防患于未然。[2019/4/3]

△圖2查看此資金池的交易，除圖中標出的交易外，其余幾筆交易都是加入資金池或使用ETH兌換NANO代幣后，立即退出或兌換成ETH獲利。只有標出的交易，手中持有888個NANO的代幣，而此時資金池中已無ETH，無法兌換。如下圖所示：

△圖3查看NANO代幣在以太坊上的源碼，是不公開的。如下圖所示：

△圖4而根據這些信息，我們可以看出，這個幣種基本可以看作是空氣幣。根據Uniswap的機制，上線一個這種代幣倒可以進行交易，只需要支付生成代幣合約和資金池合約的費用，以目前gas價格，約合50美元，成本極低。而目前上幣情況也幾近瘋狂，根據UniswapListings電報群數據顯示，在不足一天的時間里，已經上線了40個代幣，如下圖所示：

△圖5這一現象在說明UniswapDEX在受到市場高度關注的同時，也明顯表現出泡沫，UniswapDEX儼然變為一個投機賭場。DEX的崛起將帶來些什么？

新事物的出現往往是良莠并存的。當初閃電貸帶來『無抵押即可借出巨款』全新模式的同時，也對區塊鏈安全建設提出了挑戰，作惡者可以幾乎無成本的獲得巨款進行攻擊。而DEX帶來『去中心化』和『便利』的同時，也對數字貨幣犯罪監管提出了新的挑戰。DEX相比于傳統的CEX，其去中心化的思想是符合區塊鏈的初衷的，長遠來看可能會贏得更多的支持，甚至超越CEX。但在監管方面，傳統的CEX在政府政策加持下，有KYC等機制進行監管，結合第三方安全公司的支持，可以對數字貨幣犯罪進行有效打擊。但DEX的數字貨幣犯罪監管，又將是一個全新的挑戰。在傳統的數字貨幣犯罪中，攻擊者最終獲利總是會流入交易所提現成法幣，否則僅停留在賬面上的BTC等數字貨幣財富，并沒有太大意義。為了防止獲利的資金被追蹤，作惡者往往會使用混淆等手段，結合巨量的地址對資金進行拆分和重組，但最終都會流入交易所進行提現，由于數字貨幣的匿名性，普通個人很難追蹤到資金的流向，但借助第三方安全公司的AML等系統，可以有效追溯資金流向，當確定資金最后流入交易所的地址后，便可以結合KYC對犯罪分子進行打擊。而去中心化交易所的出現，在一定程度上給資金追溯提出了新的挑戰，我們假設作惡者在獲利后將獲利流入DEX，多次兌換后再進行流出，或是新建幣種，使用獲利拉高幣價后，再進行價值轉移，這都將極大的增加資金溯源的難度。

結語

區塊鏈是一個正在蓬勃發展的領域，而這其中DeFI類項目又是目前市場最為關注的方向，出現了很多新興事物。從閃電貸、流動性挖礦到DEX的崛起，無一不是對安全的新挑戰，作為國內領先的區塊鏈安全公司，我們成都鏈安當專于區塊鏈安全技術，為讓區塊鏈生態更安全而努力，在此也對各方提出如下建議：1、對于個人投資者，選擇經過審計、安全可靠的項目進行投資，切莫產生FOMO心理，保住自己的資產。2、對于項目方，安全是發展的基礎，與專業且有實力的第三方安全公司達成長期合作，為項目保駕護航，才能贏得持續發展。

Tags：DEXUNIUniswapSWAPDEXESpooky Uniuniswap幣DSWAP價格

火星幣