围绕区块：分析bZx攻击，DeFi漏洞，...中的借记卡状态（谷歌翻译）

围绕区块：对bZx攻击，DeFi漏洞，加密中的借记卡状态以及其他加密新闻币库的分析揭示了区块领域的关键问题。在此版本中，我们分析bZx攻击，发现DeFi的一些漏洞，并讨论加密中借记卡的状态。我们还包括对著名新闻故事的评论，以及最近几周精选的其他新闻文章。对bZx攻击和DeFi漏洞的分析DeFi将金融工具引入互联网，以使其可访问，可编程且对所有人有用。就像互联网如何使任何人都能轻松创建，共享和编程信息一样，DeFi也在金钱和财务上做同样的事情。 DeFi产品是不可靠的，全局的（任何人都可以访问），透明的（任何人都可以检查代码）和不可变的（除非经过编程才能更改）。它们也可以相互组合，可以在彼此之上构建产品，类似于将乐高积木组合成大于其总和的东西。设置舞台这是一个新颖的环境。任何人都可以编程财务。今天的结果是一个流动而强大的金融工具网络，这是创新和实用的新温床。例如，DeFi创建了一种称为“快速贷款”的产品-本质上是无风险的贷款，任何人都可以在单笔交易期间借入数百万美元。如果到交易结束时您还没有偿还贷款，则整个交易都将回滚。没有资金面临风险，任何最终用户都可以出于任意目的而部署大量资金。那么bZx攻击发生了什么？ BZx（又名Fulcrum）是一种DeFi产品，提供令牌化的借/贷和保证金交易平台。任何人都可以向bZx的资金池增加资本并从其资本中借贷，或者通过保证金交易其他资产来利用多头或空头。他们的平台利用DeFi的可组合性，使用许多其他DeFi协议来完全服务于这些产品。攻击的核心是一项难以置信的交易，该交易借入了数百万美元的速记贷款，然后通过几种DeFi协议将这些资金穿行，以优雅地操纵和利用bZx的抵押池。检查一下：攻击者通过从DyDx（Lego＃1）借来的快速贷款借入了1000万美元的ETH，在此过程中没有抵押品。使用500万美元的ETH在bZx上的ETH-wBTC簿中获得5倍空头头寸（Lego＃2）。 BZx将订单转发给KyberSwap（Lego＃3），后者调查了可能的最佳汇率，并最终在Uniswap（Lego＃4）上完成了订单。这导致了明显的滑点，并使Uniswap的wBTC价格上涨了3倍。将其余的500万美元的ETH携带给了Compound（Lego＃5），并借以ETH抵押品借入了wBTC堆栈。使用该借来的wBTC卖出Uniswap的通货膨胀价格。使用步骤4的利润和步骤2的收益，快速完成交易的全额贷款。这一操作产生了71 ETH的直接利润，以及对价值1200 ETH的Compound的有效贷款，净利润为1271 ETH（当时价值$ 355K）。该交易还产生了一个活跃的bZx贷款，该贷款在水下很深，这就是“损失”的来源。关键机制是能够在交易薄的书（ETH-wBTC）上获得5倍大的保证金空头头寸的能力，这导致了明显的滑点。 BZx旨在防止这种情况的发生，但是攻击者发现了一个聪明的漏洞，绕过了这些检查。这项疏忽使bZx抵押品池遭受了巨大损失，而此过程中的所有其他乐高积木均按设计运行，未造成任何损失。要了解更多信息，Peckshield在这里提供了出色的细分。后果和第二次攻击攻击后，bZx团队立即使用其管理员超级键来暂停bZx的交易和借入，并修复了潜在的错误。当社区讨论这种新攻击并恢复交易和借贷时，通过类似的机制发生了第二次攻击。第二次攻击与第一次攻击类似，但是不需要绕过任何滑移规则。取而代之的是，使用一笔小额贷款将Uniswap的Synthetix USD价格膨胀至2美元（而不是1美元），然后攻击者将sUSD作为抵押品（以这个膨胀的价格）存入bZx，借入的ETH超出了应有的水平。然后，他们用了借来的资金逃跑，无意偿还水下bZx贷款，从而使攻击者获得了2,378 ETH（在偿还了快速贷款后），当时价值63万美元。此攻击更类似于oracle攻击或操纵可信值的过程。在这种情况下，快速贷款推高了Uniswap（oracle）上ETH-sUSD的现货价格，BZx用来确定贷款抵押品的价值。我们应该如何考虑DeFi的安全性？ DeFi创建了功能强大的新型金融产品，以新兴方式将它们编织在一起。但是这些攻击提醒我们，可编程财务仍然是可编程的，因此可能会出现bug，尤其是当创新突破了可能的极限时。如今，快速贷款与以复杂方式交互的可组合DeFi协议网络的结合已经产生了此类新漏洞。从历史上看，一旦发现了一类新的漏洞，就会滋生一系列的模仿攻击。每个人都注意到了新的可能性，一百万个放大镜在空间中寻找类似的弱点。为此，我们应该期待更多的Flash贷款风格的oracle攻击（实际上，自从撰写本文后，发现了Curve.finance的另一种攻击）。但这只是DeFi变得更有弹性的一部分。例如，在2016年的DAO黑客展示了可重入漏洞之后，我们很快学会了如何防止它。如今，再入攻击几乎不存在了。最终，这是一种进化的适应性功能，其中发现漏洞，快速修补漏洞并使空间变得越来越坚固，可以抵抗攻击。我们不应该期望DeFi能够完全抵御所有攻击，但是我们可以利用“深度防御”构建一个日益强大的生态系统，其中多层冗余可提供更高的安全性。我们还需要开发更高级别的消费者保护和/或保险。值得注意的是，一种DeFi保险产品在bZx攻击后首次付款，这是一个令人鼓舞的信号。那么DeFi中的去中心化又如何呢？ bZx团队使用超级管理员密钥来停止借入和交易，从而证明了一个控制点。这对于防止额外的攻击耗尽整个抵押池是必要的，但同时也带来了新的风险要素–如果这些密钥被滥用，该怎么办？如果他们受到威胁怎么办？消除单方控制是加密货币精神的核心。我们应该怎么做？现实情况是，权力下放是一个范围，团队应该致力于遵循渐进式权力下放的路线图。对于新的DeFi服务，我们不应期望从第1天起就完全放权，因为如果发现漏洞，这会带来存在的风险，并且我们无法迅速做出反应。取而代之的是，协议应该随着时间的推移逐渐逐步增加去中心化的水平，并且只有在它们表现出良好的安全卫生记录之后。复合是一个值得注意的例子。总结最终，DeFi推动了可能性的界限，为体现程序化金融本质的新产品铺平了道路。看到这些产品的出现非常令人兴奋，但同时也涉及到漏洞在整个行业中摇摇欲坠的情况。让我们从整体上看一下这个过程-肯定会发生更多的攻击，但这是进化适应性函数的一部分。最后，可能会出现一个具有强大的消费者保护功能的强大生态系统。自Satoshi撰写比特币白皮书以来，“支出”一直是推动加密实用程序的重要动词。加密货币投资者一直在寻找在当地咖啡厅花钱购买拿铁咖啡的方法。为此，加密借记卡被视为一种绝佳的选择，因为它们与传统借记卡基本相同，不同之处在于，它们借记的是加密余额而不是传统的银行帐户。历史借记卡拥有悠久的尝试历史，包括通过我们于2015年11月首次推出的最初的Coinbase借记卡在Coinbase上进行的尝试。该卡是同类中的首例，使我们的客户能够使用他们的Coinbase比特币余额签证被接受的任何地方。不足之处？这不是Coinbase品牌的产品，因为它是通过付款处理器Shift发行的。其次是BitPay，Bitwala，Wirex，Coinsbank等。然后在2017年ICO狂潮中，其他几家公司提出了围绕加密借记卡的产品和平台。尤其是TenX，令牌卡（已更名为Monolith）和摩纳哥（现在为crypto.com）。 TenX在7分钟内通过ICO筹集了8000万美元，Token Card和Monaco同样分别获得了1270万美元和2700万美元，证明了加密借记卡产品的炒作。这些公司主要试图通过更小的费用，更好的用户体验以及一些奖励产品来与众不同。问题？当时只有少数付款处理机构愿意发行借记卡，尤其是Shift（我们的卡）和WaveCrest（大多数其他）。另一个是收养。我们的卡发现牵引力相对有限，因为我们发现大多数用户实际上更喜欢持有比特币而不是花钱，因为比特币的波动性以及将比特币视为投资而非货币的根本原因。如今，随着更加成熟的生态系统和稳定币的出现，我们认为，整体借记卡产品可能会受到更大的关注。在2019年，Shift改变了业务重心，并更名为Apto，我们致力于为英国实施新的Coinbase借记卡。对于大多数其他卡来说，2018年1月，VISA以“不遵守其操作规则”为由，将WaveCrest放下，给这些其他加密借记卡带来了沉重打击。展望未来，加密借记卡可能会重新受到关注，尤其是随着带有奖励的稳定币的出现（例如，USDC在Coinbase上的APY为APY的1.25％）。此外，Coinbase刚成为Visa的主要合作伙伴成员，这是一个分水岭，使我们能够在无需保荐人银行的情况下在欧盟发行借记卡。快速命中：对重要新闻的评论有争议的以太坊更新（ProgPow）激怒了社区在过去的一个月中，以太坊卷入了一场围绕其采矿过程的拟议更新的治理辩论中。该提案被称为ProgPow，用于渐进式工作量证明（PoW），旨在使消费者级硬件（GPU）更容易开采以太坊，从而降低ASIC（当今主导采矿的强大专用计算机）的有效性。采用ProgPow将使更广泛的人们更容易进行采矿，从理论上讲，以太坊的权力下放将增加，并标志着其最初的抗ASIC愿景的回归。问题？事实证明，这是一个非常有争议的提议，也是一个高度细微的主题。对于初学者来说，ProgPow会减少用于保护网络安全的计算能力（GPU的功能远不如ASIC），从理论上讲，使以太坊更容易受到51％攻击。此外，没有任何一种挖掘算法能够真正抵抗ASIC的攻击。最终也将为ProgPow创建专用ASIC，许多人认为ASIC是保护PoW网络的根本必要条件（从未发生过ASIC硬币遭受51％攻击）。此外，任何有争议的叉子都应格外小心。与2017年相比，今天面临的风险更大，而且DeFi引入USDC或USDT等现实世界资产可能会降低以太坊成功执行有争议的分叉的能力。经过很长的历史，ProgPow在2月下旬被接受，并计划列入名单，但是随后社区的轩然大波导致该提案再次被搁置。还有更多要说的内容：Hudson Jameson CoinDesk对ProgPow的总结中ProgPow的历史和现状；和实际的ProgPow提案随着Sia Tron的这个长长的博客走上了ASIC的陷阱。被指控为Steem区块链的“敌意接管”类似于Reddit的社交新闻聚合商Steemit的区块链最近宣布与Tron合作，以迁移他们的Tron区块链的平台。 Steem社区担心Tron基金会现在拥有过多的管理权，并迅速采取行动以实施软叉来破坏Tron的管理权。作为回应，Tron与包括Binance和Huobi在内的数家大型交易所合作，制定了单独的硬分叉，以恢复其治理权并冻结参与Steem治理的社区成员的代币。 Steem社区将其视为Tron的敌意收购尝试。 Steem本身是委托的权益证明（dPOS）协议，因此，大型交易所的客户存款对于确保制定Tron叉子的必要票数至关重要。来自Binance的CZ承认他亲自签署了Tron的硬分叉，但他不知道手头上有争议的问题，并且此后谴责Tron的恶意行为。这是区块链治理很难的另一个证明点。一方面，dPOS链上的政治很明确-多数票获胜。 Tron只是通过遵守既定的政治规则打败了社区。另一方面，区块链从最终拥有经济实力的用户那里获得价值。 Steem社区成员通过禁用其应用程序，从Steem基金会辞职并支持社区偏爱的验证程序，以多种方式进行反击。此外，交易所和托管人在区块链治理中的作用也得到了加强。他们拥有大部分资产，拥有重要的政治权力。随着空间的成熟，我们应该期望集中的平台提供治理工具，就像Coinbase Custody今天为MakerDAO所做的那样。速成知识的外卖区块链是变革性的技术，但从根本上讲，它们只是我们都参与的大规模计算机科学实验。没有人拥有这些网络，它们是由集体社区构建和使用的技术所有，这些时刻至关重要区块链治理发展的证明点。对于以太坊和Steem来说，都树立了重要的先例，我们都应该密切注意。过去几周的相关加密新闻加密行业Coindesk的新闻：印度最高法院解除对加密货币交易的禁令Robinhood：Robinhood在创纪录的市场波动中下跌TechCrunch：Revolut以$ 5.5B的估值筹集了5亿美元CNBC：摩根士丹利购买E-Trade for $ 13B媒介：公众筹集1500万美元以继续构建具有社会重点的股票交易应用FCA：英国金融行为监管局对BitMEX发出警告区块：马耳他监管机构表示，Binance未经授权可操作，不受其监管Coindesk：Line通过新的加密货币交易所瞄准美国区块：加密货币经纪人Tagomi加入天秤座； Shopify The Block：Kraken开展外汇交易Yahoo：Babel Finance的未偿还贷款达到3.8亿美元Coindesk：BitGo公开发行借贷产品，拥有1.5亿美元的未偿还贷款Coindesk：Matrixport寻求新一轮融资的估值为3亿美元Coindesk：BlockFi筹集了资金新兴加密业务B轮融资3000万美元区块：Arweave宣布从a16z，USV和Coinbase Ventures筹集830万美元彭博社：天秤座在监管压力后阐明了战略；可能采用多种货币The Block：Circle推出了针对USDC采用的服务套件Sphinx：推出Sphinx Chat，这是一种构建在比特币闪电网络上的付款+聊天+订阅应用程序The Block：Square Crypto向另外两名BTC开发者Ourzora：Zora提供了赠款脱颖而出，一个买卖限量版商品的市场The Block：Compound开始使用管理令牌转移到去中心化The Block：基于ETH的游戏Decentraland已推出The Block：Cosmos的Zaki Manion辞职，但将继续Iota Blog（IOTA博客）上的项目：IOTA在Trinity Wallet用户遭受攻击后一个月重新上线。该网站包含指向第三方网站或其他内容的链接，仅供参考（“第三方网站”）。第三方站点不受Coinbase，Inc.或其关联公司（“ Coinbase”）的控制，并且Coinbase对任何第三方站点的内容概不负责，包括但不限于第三方站点中包含的任何链接第三方网站，或对第三方网站的任何更改或更新。 Coinbase不负责从任何第三方站点接收的网络广播或任何其他形式的传输。 Coinbase仅出于方便之目的向您提供这些链接，并且包含任何链接并不意味着Coinbase对该网站的认可，认可或推荐或与其运营商的任何关联。本网站上表达的观点是与Coinbase有关联的作者的观点。信息仅用于一般教育目的，并不构成对金融产品的投资或其他建议。除非另有说明，否则本文提供的所有图像均为Coinbase的财产。