Twitter Space at 10 PM SG time every night Tg group: https://t.me/DefiNightclub
Twitter Space at 10 PM SG time every night Tg group: https://t.me/DefiNightclub
Subscribe to Rony_Z
Subscribe to Rony_Z
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
Host:@UnicaYin @Leo Liu
Date:20220430
Recorder:@0x_knight
Note:Not Financial Advice,Risk Your Own Money
BTC,ETH持续低迷,APE跌了很多,预期之内。
BendDAO把周杰伦被盗猴子买回,并还给麻吉大哥。BendDAO 购买资金来自于IFO融资。BendDAO 贷方apy很高,供方市场明显,存入蓝筹NFT增长较快。(非投资建议)
Fei的fuse pool被hack 80M。Fei的hack来源于compound的问题,后者存在re-entrance bug:在function call结束前,于call back function中再做一次交易。比如从contract中从提取1E,只有提取完成了才会在balance中扣除1E,此时在transfer callback中再次提取,由于balance数值还没扣除,因此可以再次提取。只要第一次transaction成功了,后面的即使失败了,transfer都是有效的,可以无限提款。
re-entrance bug在以太坊创立之初就存在,不知道为什么在compound代码上还出现这种问题。黑客为什么不同时攻击compound fork?
Saddlel被hack 10M。旧版引用合约在主代码中未及时更新。
注:Blocksec及时阻断攻击,挽回3.8M损失,如何实现?
建议:有TVL的协议都需要Timelock,防止黑客一次性盗取全部资金。
在ETH体系中,转账需要以ETH为基准的gas fee
EIP-712:钱包所有者可以创建签名,用签名就可以转走资金。可以不经过链上交互传输,直接发送给接收方
EIP-2612:712扩展至dapp,实现approval+txs的gasless,permit的function里面将approval+txs的签名打包发送给接收方
在EIP-712+2612的基础上,衍生出 gasless txs,比如允许挪用1000块资金的签名,发送方将签名发送给接收方,接收方可以支付gas来转走这笔钱。这个功能其实比较危险,很多网站会要求签名,用户资金很容易被误签名转走。但未来以钱包为基础的市场环境下,gasless txs还是有需求的。DODO有gasless的模式在测试中
与智能合约钱包对比:智能合约钱包中,打包交易的矿工可以帮忙支付gas,虽然多了一层验证者的layer,但的确方便了很多需求。提高了主网下的衍生代币的资本利用率。也可以扩展到NFT交易上,可以为NFT市场的原生代币赋予更多功能
注:gasless txs会是NFT市场的下一个叙事?
实际上就是gas代付服务,比如biconomy就是通过项目方代付gas实现gasless方案
是否可以有gasless方案的订阅服务,业务逻辑:先收订阅费创建资金池,把一部分的成长性卖给用户。类似现在的短信包月方案,把gas波动性转接到中心化服务平台,用户和平台对赌gas的波动。
中心化交易所收的gas fee都是高过链上gas的,实际是赚钱的。
被盗分类:合约有明显bug;验证机制出问题,导致去中心化失败;没有测试,没有audit,产品急着上线;代码沿用问题,直接从open zepplin上import现存的代码会存在风险,大家都在用的东西也很有可能存在问题
解决方案:pause功能,timelock,multisig。把资金权限交给安全公司或DAO打理,有权进行暂时pause。未来audit公司可能就不止代码审计了,还可以覆盖后续的安全维护。
certik融资很大,市占率很高,跟代币没关系。股币双发项目,代币价值跟业务不一定呈正比
智能合约保险:没那么快,必然发生,但不知道什么时候发生
END 🔚
Host:@UnicaYin @Leo Liu
Date:20220430
Recorder:@0x_knight
Note:Not Financial Advice,Risk Your Own Money
BTC,ETH持续低迷,APE跌了很多,预期之内。
BendDAO把周杰伦被盗猴子买回,并还给麻吉大哥。BendDAO 购买资金来自于IFO融资。BendDAO 贷方apy很高,供方市场明显,存入蓝筹NFT增长较快。(非投资建议)
Fei的fuse pool被hack 80M。Fei的hack来源于compound的问题,后者存在re-entrance bug:在function call结束前,于call back function中再做一次交易。比如从contract中从提取1E,只有提取完成了才会在balance中扣除1E,此时在transfer callback中再次提取,由于balance数值还没扣除,因此可以再次提取。只要第一次transaction成功了,后面的即使失败了,transfer都是有效的,可以无限提款。
re-entrance bug在以太坊创立之初就存在,不知道为什么在compound代码上还出现这种问题。黑客为什么不同时攻击compound fork?
Saddlel被hack 10M。旧版引用合约在主代码中未及时更新。
注:Blocksec及时阻断攻击,挽回3.8M损失,如何实现?
建议:有TVL的协议都需要Timelock,防止黑客一次性盗取全部资金。
在ETH体系中,转账需要以ETH为基准的gas fee
EIP-712:钱包所有者可以创建签名,用签名就可以转走资金。可以不经过链上交互传输,直接发送给接收方
EIP-2612:712扩展至dapp,实现approval+txs的gasless,permit的function里面将approval+txs的签名打包发送给接收方
在EIP-712+2612的基础上,衍生出 gasless txs,比如允许挪用1000块资金的签名,发送方将签名发送给接收方,接收方可以支付gas来转走这笔钱。这个功能其实比较危险,很多网站会要求签名,用户资金很容易被误签名转走。但未来以钱包为基础的市场环境下,gasless txs还是有需求的。DODO有gasless的模式在测试中
与智能合约钱包对比:智能合约钱包中,打包交易的矿工可以帮忙支付gas,虽然多了一层验证者的layer,但的确方便了很多需求。提高了主网下的衍生代币的资本利用率。也可以扩展到NFT交易上,可以为NFT市场的原生代币赋予更多功能
注:gasless txs会是NFT市场的下一个叙事?
实际上就是gas代付服务,比如biconomy就是通过项目方代付gas实现gasless方案
是否可以有gasless方案的订阅服务,业务逻辑:先收订阅费创建资金池,把一部分的成长性卖给用户。类似现在的短信包月方案,把gas波动性转接到中心化服务平台,用户和平台对赌gas的波动。
中心化交易所收的gas fee都是高过链上gas的,实际是赚钱的。
被盗分类:合约有明显bug;验证机制出问题,导致去中心化失败;没有测试,没有audit,产品急着上线;代码沿用问题,直接从open zepplin上import现存的代码会存在风险,大家都在用的东西也很有可能存在问题
解决方案:pause功能,timelock,multisig。把资金权限交给安全公司或DAO打理,有权进行暂时pause。未来audit公司可能就不止代码审计了,还可以覆盖后续的安全维护。
certik融资很大,市占率很高,跟代币没关系。股币双发项目,代币价值跟业务不一定呈正比
智能合约保险:没那么快,必然发生,但不知道什么时候发生
END 🔚
No activity yet