簡析a16z向美政府提交的四大加密監管提案_ANC:NCE

原文標題：《詳解知名風投a16z向美國政府提交的加密貨幣監管提案的四大方向》

撰文：PANewsJordan

本文部分內容參考自Coindesk

本周，知名風險投資公司AndreessenHorowitz(a16z)向美國參議院提交了監管加密貨幣和區塊鏈技術的四項提案建議，分別包括：

1、消費者保護：a16z希望按照美國《消費者金融保護法》建立一個基于信息披露且易于理解的加密監管制度。

2、去中心化自治組織(DAO)：a16z要求賦予DAO與標準注冊實體類似的法律權利，包括稅收、允許開設銀行賬戶、以及簽署法律協議等。

3、減少分散/重疊監管：a16z強調應進一步加強分散/重疊監管，并提出了三種方法，包括：1)協調機構之間的管轄范圍2)建立行業自律組織3)成立非營利組織進行技術監督。

安全團隊：Defrost Finance被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Defrost Finance預言機被惡意修改，并且添加了假的抵押token清算當前用戶，損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址，隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址，最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上，目前有490萬美元的DAI在0x4e22地址上，有500萬美元的DAI在0xfe71地址上，剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]

4、稅務報告以提升特定區塊鏈生態系統清晰度：a16z在該提案中重申了8月份就國會待決的美國基礎設施法案所發表的相關評論，該風投當時表示：“美國的稅收和監管環境主要是為中心化機構運營而設計的，然而，正如目前國會懸而未決的基礎設施法案中所提及的那樣，許多沒有能力遵守相關法案的行為者將被要求披露稅務報告。”

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

事實上，a16z這次是應美國參議院銀行委員會美國參議員PatToomey(R-Pa.)的呼吁而提交的監管建議。今年8月，美國參議院銀行委員會的高級成員PatToomey發出了反饋請求，以征求有關加密和區塊鏈最佳監管方法的想法和立法建議，提案提交時間是8月26日至9月27日。a16z認為，在他們這次提交的四項提案中，每一項都是獨立存在的，但綜合起來，這些提案可以代表在去中心化環境下對加密監管、監督、以及稅收等問題所采取的綜合解決方案，可以說是監管工作的一個開始。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

為了進一步詳述a16z提交額加密貨幣監管提案，PANews在其官網上將提案摘要全文編譯如下：

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

我們正站在第三代互聯網——也就是Web3——的門檻上。

鑒于Web3領域快速的創新步伐，許多政策制定者很難跟上行業發展速度，鑒于此，當我們聽說美國參議院銀行委員會呼吁就澄清有關數字資產和去中心化技術的法律提供反饋時，感到非常高興和鼓舞。如果美國想要保持創新并確保金融優勢，就需要商業領袖和政策制定者緊密合作，以確保私營部門能夠進行試驗和建設，而適當的監管制度有助于管理那些可能損害個人利益的市場下行風險。

a16z很高興響應美國參議院銀行委員會的號召，我們認為，美國唯一可行的前進道路是兩黨合作，因此我們與美國參議院銀行委員會每位參議員分享了有關想法，以供他們審查。不僅如此，本著開放和透明的精神，我們還希望與更廣泛的社區分享這些建議和意見，希望有助于促進圍繞數字資產立法和監管的未來展開對話。

我們的四個提案中的每一個都旨在獨立存在，但綜合起來，這些提案可以代表在去中心化環境中對監管、監督、以及稅收采取綜合方法，可以說是這項工作的一個開始。為此，我們提供了以下簡短的建議摘要，全文可點擊此處查看。

當然，本次提案只是與決策者、民間社會領導人、以及其他利益相關者正在進行對話的一小部分，我們同樣期待人們就a16z如何做更多事情以共同推進去中心化技術和政策優先事項反饋。

1、消費者保護和包容。隨著去中心化項目的數量不斷增加，以及這些項目越來越成為美國經濟不可或缺的一部分，政策制定者需要制定一個有凝聚力的戰略，以促進保護行業消費者。該提案根據《消費者金融保護法》創建了一個簡單的基于披露的監管制度，通過為這些項目提供標準化的信息披露制度，就可以確保消費者獲得參與此類項目所需的信息，繼而進一步提升監管清晰度。

2、去中心化自治組織。DAO是一種管理和協調人類活動的新方法，但在履行基本的組織職能方面，DAO仍缺乏統一的法律認可，比如報稅、開設銀行賬戶、簽署法律協議、限制DAO成員責任等。在a16z的提案里，把與非法人組織和稅務報告狀態相關的現有法律整合在一起，圍繞DAO的鏈下法律狀態創建一個輕量級框架，此外a16z還提供了許多協調聯邦機構對DAO進行監管的方法。

3、比較管轄協調、SRO和非營利公司。2016年，美國政府問責辦公室發現：“分散和重疊導致監管流程效率低下、監管機構在監管機構的時候采用的方式不一致，為消費者提供的保護水平也存在差異”，因此，a16z建議美國國會考慮可以改變傳統金融監管結構的方式，這樣可以減少管理分散和重疊的問題。對于創新者和監管者而言，將去中心化技術“硬塞”進行傳統金融監管框架是一個挑戰。a16z在提案中建議美國政府問責辦公室進行詳細研究，旨在比較下面三種方法的成本和收益：(1)機構之間的管轄權協調；(2)建立行業自律組織，最好是多方參與的行業自律組織；(3)成立一家非營利性公司，負責去中心化技術的技術監督和標準制定。

4、區塊鏈生態系統的稅務報告及其相關問題。美國的稅收和監管環境專為中心化機構運營而設計。然而，正如目前國會懸而未決的基礎設施法案中所提及的那樣，許多沒有能力遵守該法案的行為者將被要求施加稅務報告。在今年早些時候發送給美國參議院領導層的一封信中，a16z提出了這個問題，并在提案中特別指出，稅務報告及其相關問題是建立在已經進行的基礎設施法案和其他立法工作基礎上，以澄清與數字資產相關的合理稅收規則。

Tags：ANCABUNCEUSDQFinanceMetaBullragecarrotfinancehusdc幣

Pol幣