安全漏洞:2020 年 6 月 17 日,刚于前一日部署的 v0.6 出现安全漏洞:v0.6 合同错误地将 BancorNetwork 合约中的 safeTransferFrom 函数公开,使得原本仅批准用于智能合约转让的代币可以被任何人转让。 在了解了该漏洞并有风险的情况下,Bancor 团队使用相同的漏洞发起了白帽攻击,以便将风险资金转移到安全的钱包中。然后 Bancor 推送了一个新的网络合约,以确保不会再次出现此类错误,同时 Bancor.network 取消了无限批准,转而要求确切的金额。 另外由两名自动领跑交易者(front-running)参与了这一过程,因为他们的自动软件无法区分套利机会和骇客攻击。Bancor 团队一共拯救了 409,656 美元,花费了 3.94 ETH 的 gas 费用,两位自动领跑交易者获得了 135,229 美元,花费了 1.92 ETH 的 gas 费用,两者总计 544,885 美元。Bancor 已经联系了两个机器人的所有者,并协商退回资金。 V0.6 是由 Kansolabs 审计的,而目前的 v2 正在由多方审计,包括 ConsenSys Due Diligence。 看法 安全性问题对于 DeFi 项目来说是致命的,毕竟流动性提供者需要将资金放在智能合约中,而非自己的钱包里。Bancor 曾在 2018 年就出过一次安全性问题,这次刚进行的版本更新又出现问题,一定程度上减少了用户对项目的信心。 幸运的是:1) Bancor 自己及时地发现了安全漏洞,并及时地作了修复;2)出问题的版本不是最关键的 v2,而是 v0.6;3) v2 的代码审计公司不同于 v0.6 的,v2 的审计质量或许较高。也许上述几点能挽回一些此次事件造成的恶劣影响。 7 月计划 公布技术细节,并正式上线 V2。 总结由于 COMP 的推动,6 月份 DEX 的交易量由 Compound 上支持的代币主导,包括稳定币和 BAT、ZRX 等,所以 Curve 和 Uniswap 成了 6 月份的赢家。7 月份,Bancor v2 上线,虽然它颠覆性的解决了自动化做市商的几个痛点,但是对流动性提供者的吸引力,是否比得过流动性挖矿的 Balancer,我们持保留意见。就在 7 月 1 日,传出了 Curve.fi 也会发行自己的治理代币 CRV 的消息,更多细节,请持续关注头等仓。 (责任编辑:admin1) |