撰文:头等仓
当前稳定币可分为抵押型稳定币和无抵押型稳定币,后者又以算法稳定币为主。由于算法稳定币是无本之木,因此需要极其强大的共识,目前只有Ampleforth能够长期围绕1美元上下波动。
FloatProtocol则属于新型的无抵押稳定币协议,并且以共识强大的ETH作为储备资产启动,具有基础价值。协议采用双代币机制,经济模型设计比较好,功能性代币BANK在协议中发挥多重作用。BANK第一年总量仅16.8万枚,未来可能会增加。BANK流通量减少仅需要满足2个条件之一:1)储备资产价值与稳定币总价值比例大于1.5;2)FLOAT市场价格高于目标价格。在市场总体处于上涨阶段且团队增加FLOAT应用场景的基础上,满足条件的可能性极高。项目还处于发展初期,需要观察其启动情况和稳定币后续应用和规模扩张情况。其风险是在市场整体下行阶段,稳定币和BANK可能会出现死亡螺旋。
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
基本面简介
Luna Foundation Guard 否认转移比特币的报道:金色财经报道,Luna Foundation Guard(LFG)在推特上否认自2022年5月以来已转移任何比特币,并否认在2022年5月之后创建钱包。LFG驳斥了一份报告,其中CoinDesk引用了分析平台CryptoQuant并声称9月15日在Binance交易所为LFG创建了一个钱包。据报道,在接下来的几天里,有3,313个BTC被转移到加密交易所KuCoin和OKX。(theblock)[2022/9/28 22:35:50]
团队:匿名
资金:无融资
协议逻辑:系统采用了双代币模式,FLOAT是稳定币,价值由一篮子加密货币支持。需要注意的是,储备资产并非抵押品,而是用户用于购买FLOAT的资产。FLOAT的价格是浮动的,没有固定的锚定物,初始目标价格设为1.618美元,目标价格会随着市场情况而变动,但调整规则和频率暂时没有具体说明,官方在Discord上的回复是:「目标价格的波动取决于篮子因子以及系统是处于扩张还是收缩状态。目标价格的波动率会低于ETH币价的波动率,且有所滞后。」FLOAT价值最终与其自身的需求和篮子中加密货币的价值相关。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
BANK是治理代币,同时在系统中承担着稳定FLOAT的作用。
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
FLOAT的运作会经历2个阶段:
初始阶段:用户在合约中存入ETH,系统会生成等价值的FLOAT,此时合约中ETH总价值=锻造的FLOAT总价值,两者之间的比称为「篮子因子/金库因子」,此时篮子因子为1。假设池子中存入价值1,618USD的ETH,那么会锻造出1,000枚FLOAT。需要注意的是,存入的ETH是不可撤回的,在系统中无法直接使用FLOAT换回储备资产,BANK总量的5%用于奖励存入ETH锻造FLOAT的用户。FLOAT的初始发行阶段将在BANK第二阶段流动性挖矿结束后启动。
篮子因子=储备资产总价值/(FLOAT总价值)
运行阶段:在运行中,FLOAT的市场价格偏离目标价格时,FLOAT系统会进入通胀/通缩阶段。
表1FLOAT价格与其对相关市场影响,注:上表中,同时使用ETH和BANK进行拍卖时,ETH的使用比例与篮子因子比例相同。例:篮子因子为0.6,参与拍卖需使用60%ETH和40%BANK
也就是说,BANK流通量减少需要以下其中一个条件:
FLOAT市场价格高于目标价格;篮子因子>1.5。拍卖:FLOAT目前设定的拍卖区间是每24小时一次。后续,项目方计划每两周重新设定一次拍卖频率,将拍卖频率提高,从24小时调整为12小时,再到6小时,再到3小时,以此方式直至每150区块拍卖一次。此阶段结束后,拍卖将改为不定期举行,由用户发起拍卖需求。另外,参与拍卖的用户需支付拍卖所需使用的预言机报价费用。
数据:大约共5,700万USD参与白名单挖矿。
经济模型
代币分配
BANK初始总量为168,000枚,第二年开始BANK总量不固定,变化规则查看表1。
表2初始代币分配
流动性挖矿
第一阶段,2月7日-3月21日,为期6周
流动性池子有3个:DAI、USDC和USDT,每个池子每天分配500枚BANK,每天共分发1,500枚BANK。针对白名单用户,即参与Snapshot治理的用户,每个白名单地址最多存入1万枚代币。
第二阶段,3月21日-4月03日,为期2周
无准入门槛,在4个池子的基础上通过投票治理,增加了额外的5个池子进行流动性挖矿。BANK/ETH池子总计奖励7,000枚BANK,其他8个池子各奖励1,750枚BANK,共奖励21,000枚BANK。
代币用途
投机性代币:吸收Float波动性,详情查看表1;治理代币。综合评价
FloatProtocol尚未正式启动,处于通过流动性挖矿完成治理代币BANK分发阶段,从目前参与BANK代币流动性挖矿的资金量来看,FLOAT大概率能够顺利完成启动。FLOAT属于无抵押型稳定币,以ETH作为基础价值,可以避免成为「无本之木」,在ETH的价值基础上,FLOAT价值主要取决于自身的需求。相较于算法稳定币,FLOAT不存在rebase机制,因此更适合与其他协议集成。此外,它不锚定1美元,避免了法币系统的关联风险,总体来说,值得关注。
风险点:
在激励奖励利率低或者没有应用的情况下,FLOAT规模扩张可能会存在瓶颈;如储备资产价格整体大幅下跌时,可能会出现FLOAT和BANK代币螺旋死亡。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。