來源:Medium
作者:ProvableThings
來源:ETH中文網
譯者序:DeFi協議Uniswap及dForce于4月18、19日相繼受到重入攻擊,損失金額高達數千萬美元。有驚無險的是,dForce已追回被盜資產并歸還用戶。一時之間,矛頭直指ERC-777代幣標準。然而,ERC777本質上作為ERC-20的擴展,目的是增加新功能從而提升用戶體驗。我們是否真的要因噎廢食?DeFi又應該如何突破安全瓶頸?
僅僅只是一個周末的時間,智能合約帳戶被盜金額高達數千萬美元。
Uniswap的imBTC資金池遭到黑客攻擊,導致價值30萬的代幣丟失。時隔不久,dForce也遭到了類似的攻擊,盡管大部分的失竊加密貨幣目前已被歸還。這兩起事件都是利用重入攻擊向量漏洞發起攻擊。
BNB Chain:預計今年衍生品、流動性質押衍生品等領域發展對DeFi至關重要:2月24日消息,BNB Chain發布《2023年DeFi展望》,文章指出,今年可能會產生重大發展的一些敘述對DeFi至關重要,它們是衍生品(從永續合約到期權)、合成資產、流動性質押衍生品和Blackholes模型相關的項目。
由于RWA(Real World Assets)的主要法律特性(許可證,KYC要求等),可能今年會是一個較慢的發展,但即便如此,預計圍繞鏈上鏈下資產或相反方向的協議將出現顯著增長,使非加密公司可以獲得鏈上資本。預計預在未來幾年,RWA將成為最大的DeFi采用載體之一,也是鏈上資本的相關來源。
此外,文章認為,在未來幾年內DeFi和NFT結合的項目是一個趨勢,并表示:“早在1月份,我們就已經看到某些NFTfi項目的可借資本達到歷史新高。這可能只是一個開始。”[2023/2/24 12:27:02]
有人聲稱ERC-777代幣標準的某些函數存在漏洞是造成這兩起攻擊的原因。但是,重入攻擊漏洞已司空見慣,尤其在2016年的DAO攻擊發生期間名聲大噪。因此實際上,攻擊與ERC-777代幣標準本身無關。
DeFi 概念板塊今日平均跌幅為0.63%:金色財經行情顯示,DeFi 概念板塊今日平均跌幅為0.63%。47個幣種中18個上漲,29個下跌,其中領漲幣種為:SWFTC(+61.03%)、IDEX(+22.21%)、FOR(+18.96%)。領跌幣種為:WICC(-17.05%)、BZRX(-12.71%)、BAND(-10.51%)。[2021/2/1 18:34:10]
重要的是,隨著這個新興行業的發展,我們必須要認識到各種協議的優點和缺點,鼓勵開放協作與爭議,共同致力于提高行業標準。
怪罪于代幣標準是無建設性的,并且會誤導大眾。旨在解決舊問題的新代幣標準本身更具備安全性,卻因此或許面臨被質疑的風險。反之,我們要對這種不斷演變的事實進行周全的分析并采取行動。?
ERC-777是什么?
以太坊代幣即運行于以太坊之上的數字貨幣,在生態系統中發揮著獨特而重要的作用。各個代幣由其智能合約表示,其他DApp和用戶與這些智能合約進行交互。
因此,以太坊引進了代幣標準,以此來簡化生態系統中的諸多DApp與代幣之間的交互,從而提高可組合性。秉承著成為“標準代幣接口”的目標,ERC-20代幣標準最初于2015年投入開發。此處是ERC20代幣標準運作機制的相關指南。
AOFEX第三期抵押OT參與DeFi流動性挖礦活動100萬OT額度已售罄:據官方消息,AOFEX交易所今日正式啟動第三期抵押OT參與DeFi流動性挖礦活動,100萬OT抵押額度僅30秒即告罄,OT現報價15.5AQ。據悉,該活動抵押周期為10天,平臺使用等值于100萬OT的USDT參與CRV、SUSHI、YFII等幣種流動性挖礦,所得收益將全部按照用戶抵押比例進行分配。AOFEX將持續為用戶篩選優質流動性挖礦項目并實時監控,用戶抵押OT即可參與。
AOFEX是數字貨幣金融衍生品交易所,旨在為用戶提供優質服務和資產安全保障。?[2020/9/20]
隨著時間的推移,以太坊代幣與生態系統建立起越來越多的聯系,應用范圍越來越廣泛。代幣的用例和應用日益增多,更加復雜的智能合約對基本ERC-20代幣標準提出了更高的要求,因此其部分局限性也隨之開始顯現。
實際上,最初該標準是為處理基本功能性而設的,因此不適用于所有用例。
盡管當今大多數代幣都遵循ERC-20標準,但仍有部分代幣在此基礎上根據自身需求添加自定義功能。結果,部分非標準功能(稱為“擴展功能(extension)”)已添加到各個代幣。
火幣FastTrack項目dForce:CeFi和DeFi是“前店后廠”的關系:9月10日,火幣全球站第13期FastTrack項目dForce創始人楊民道在接受星球日報CEO Mandy訪談時表示,CeFi和DeFi是“前店后廠”的關系,兩者相輔相成。中心化平臺作為和用戶最直接的入口,會成為用戶端的巨大的流量入口。而DeFi可以幫助CeFi把部分的業務流程DeFi化,比如借貸、存款生息這類型的業務,所以中心化平臺的功能DeFi化會是巨大的趨勢,因為中后臺的成本可以大大節省。??
據悉,近期火幣率先推出了“DeFi挖礦”、“新幣挖礦”等產品,打開了普通用戶高效、安全、零摩擦、豐厚獎勵的“DeFi 挖礦”的行業級入口。 楊民道認為,對于中心化平臺來說,DeFi有非常大的全球資金的優勢和資產端的連接的靈活性。希望中心化合作平臺可以更多接入DeFi協議,比如dForce的穩定幣協議就有按照秒提供利息的便利方式。DeFi和CeFi在很多維度上都有融合的機會。[2020/9/10]
譬如,ERC-20標準不支持鑄造和銷毀功能,但事實上這些功能是必需的,于是便被添加為擴展功能。在某些情況下,功能需求部分重合,因此各種代幣添加的擴展功能不盡相同。
火幣大學校長于佳寧:以產業區塊鏈和DeFi為代表的區塊鏈3.0時代曙光已現:2020年以來,區塊鏈技術被納入“新基建”范疇,產業區塊鏈加速發展。同時,DeFi(分布式金融)賽道迅速崛起,區塊鏈預言機、DAO區塊鏈自組織等都成為行業最前沿的新風口,引起了各界的廣泛關注。
“以產業區塊鏈和DeFi為代表的區塊鏈3.0時代曙光已現,這將是一個區塊鏈技術創新和模式創新重構產業的時代,快速的落地和普及給區塊鏈生態帶來了又一次繁榮,任何行業都將值得用區塊鏈再重做一次。” 火幣大學校長、權威區塊鏈專家于佳寧表示,以比特幣為代表的“區塊鏈1.0”時代,是相對簡單的“分布式記賬”,是對區塊鏈技術最基礎的利用;以以太坊為代表的“區塊鏈2.0”時代,是“分布式計算”時代,利用智能合約與公鏈的可擴展性,從而衍生出更多項目和資產;而以“產業區塊鏈+DeFi”融合為標志的“區塊鏈3.0”,則是“分布式組織”的時代,將以更高效、更可靠、更多元化的區塊鏈基礎設施為基礎,助力各行業實現商業模式變革、組織變革,從根本上提升效率,釋放巨大發展潛能。
更多詳情見原文鏈接。[2020/8/11]
ERC-20標準的這種分散性使DApp集成過程,甚至整體可組合性不必要地復雜化。為了解決這種分散性問題,社區試圖就新標準達成共識。
經過持續兩年的開放討論,這項新的ERC-777代幣標準于去年推出。ERC-777代幣標準的功能更為強大,它“試圖對廣泛使用的ERC20代幣標準進行改良”,并成為其正式化的完全擴展版本。
它引入并“明確了與代幣交互所需的高級功能”,使代幣持有者能夠更好地控制其資產。所有ERC-777代幣都向后兼容ERC-20標準,這意味著如果DApp或錢包支持ERC-777標準,那么也就支持ERC-20標準。
ERC-20是一種簡單的代幣格式。正是得益于其簡易性,目前已有眾多項目和團隊利用該標準相對輕松地構建了新的DApp,既促進了生態系統的發展,也激發了創新創造活力。然而,它的局限性也使其面臨用戶體驗方面的持續挑戰。
ERC-777標準旨在解決ERC-20標準固有的兩個主要問題
1.ERC-20僅對以太幣(ETH)交易做出響應。批準并轉賬需要進行兩個步驟,這一缺點導致諸多用戶體驗問題。最明顯的問題是,處理單個請求需要發起兩筆獨立的交易。
ERC-777則能通過執行功能實現代幣的轉入,無需借助ETH作為媒介,從而簡化了轉賬流程。
2.?“用戶操作失誤”導致價值數百萬美元的代幣丟失。用戶通常將其代幣發送到智能合約,而不是區塊鏈目的地址。由于尚未界定在處理此類錯誤的情況下`transfer`函數的標準行為,所以ERC-20合約無法檢測到此類錯誤。
ERC20代幣標準的這一特征“是一個軟件bug,可歸類為軟件漏洞”。相比之下,ERC-777智能合約能夠檢測到此類錯誤并拒絕錯誤的代幣轉賬行為。
ERC-777標準與某些協議不兼容
ERC-777標準的特定函數是其獨特的特征。這些函數實現了協議之間的互操作性,這對于擴展以太坊生態系統至關重要。
但是,由于ERC-777代幣標準是去年才引入的,所以這些特征可能與某些協議不相兼容,尤其是某些先前部署的智能合約。
鑒于以太坊的快速發展以及新興去中心化金融智能合約的日益復雜,存在不兼容性不足為奇。但重要的是,也要盡快解決協議中的這些問題,因為它們暴露在攻擊向量的入侵之下。對于其他各種不兼容性來說也是一樣的道理,不僅僅是針對ERC-777標準。
隨著該新標準的采用率越來越高,其他項目也就必須支持ERC-777代幣,或者以其他方式實施必要的安全措施,以保護自身項目免受此類攻擊。不幸的是,許多項目并沒有做到以上兩點。
在某些情況下,例如,即使Uniswap團隊公布了V.1版本存在此問題,也只是不鼓勵用戶鎖定其ERC-777代幣到流動性池中。
Uniswap團隊似乎還錯誤地以為,轉賬代幣時受到重入攻擊,合約仍處于安全狀態。請注意,這種假設對于任何一種智能合約都不成立,但是某些協議還是將代幣轉賬錯誤地假定為比正常情況更安全。不幸的是,上上個周末發生的重入攻擊正是操縱了此漏洞。
發起重入攻擊即操縱智能合約中進行交互(進行“交流”和互操作)的函數對合約進行攻擊。例如,用戶兌換其代幣時或許會涉及三個智能合約;智能合約A(一種dApp或協議如Uniswap)與智能合約B(代幣智能合約如imBTC,或另一種dApp或協議)進行交互,然后智能合約B與智能合約C(任何能夠由黑客創建,只為盜取資金的智能合約)進行交互。
如果智能合約C受攻擊者劫持,它可以發送代幣請求,但會偽造收到資金的確認信息。發送代幣至智能合約C的請求仍然執行,但是攻擊者可以繼續假裝從未收到代幣。由于這是一個自動化過程,因此無法進行干預,除非用戶意識到正在受到攻擊并終止合約。
前車之鑒
這種攻擊向量暴露在被攻擊的風險下。作為以太坊互操作性的一項關鍵特征,它可以通過多種方式加以操縱。代幣智能合約也是發起重入攻擊的工具之一。最近發生的imToken/Uniswap和dForce攻擊就是如此。
我們不能因噎廢食,攻擊事件并不足以為DeFi時代劃上句號,甚至不足以使我們質疑ERC-777代幣標準的安全性。
ERC-777代幣的數量正在穩定增長。諸如Augur之類的團隊正在決定將其代幣格式從ERC-20升級為ERC-777。隨著DeFi行業的發展,我們必須了解使用此類創新技術的風險以及如何將風險降至最低,這一點至關重要。
這種漏洞的優點在于,它屬于代碼錯誤,而非傳統金融行業中普遍存在的固有的系統性缺陷——腐敗、過度監管和排斥性。通過DeFi,我們已經將信任從人類轉移到代碼身上。因此,盡管總會有人存心利用代碼,但是至少代碼本身并沒有從人類身上獲利的企圖。當今的經濟體系卻并非如此。
作為DeFi行業的一份子,我們應該不斷改進標準,使每次迭代都變得更強大、更安全。目前,ERC-777具有一系列優勢,能為代幣持有者和DApp帶來價值。我們應該始終致力于改進ERC-777標準以及今后所有的標準。DeFi要脫穎而出,突破口正在于此。
“3.12”極端行情下,DeFi交付的成績單令人不甚滿意。流動性、風控、治理三座大山難以逾越,以太坊或已成為DeFi發展的主要瓶頸.
1900/1/1 0:00:00在比特幣的閃電網絡上顯示用戶錢包余額是一件容易的事嗎?比特幣研究人員展示了閃電通道余額可以很容易實現去匿名化。但這未必是件壞事.
1900/1/1 0:00:00周一發表在《金融分析師期刊》的一篇論文對比特幣市場中的套利空間進行了研究。 該論文利用2013年2月至2018年4月全球六大加密交易所的比特幣價格數據對比特幣市場之間的套利價差進行了分析.
1900/1/1 0:00:00摘要:為了迎合各國監管,Libra2.0做出了幾個重要妥協。其中,不打算轉公有鏈,對以太坊等公鏈來說是一個利好.
1900/1/1 0:00:00作者:LiangChe 來源:比推bitpush.news彭博社在最新發布的一份報告中寫道,比特幣正在為下一次的大規模牛市做準備.
1900/1/1 0:00:00來源:LongHash 編者注:原標題為《山寨幣價差超比特幣說明了什么?》比特幣的先發優勢帶來了巨大的網絡效應,這已經不是什么秘密了.
1900/1/1 0:00:00