北京時間今日凌晨 00:56,Opyn 官方推特發文宣稱「官方團隊發現部分 oToken 合約出現異常,已經開始著手解決這一問題。目前已經從 Uniswap 上暫時移除了受影響合約的流動性,並建議用戶暫時不要創建新的合約」
事件發生後不久 @defiprime 官推發文稱可能有至少 302 枚 ETH 在此次黑客攻擊中失竊,而在這則消息發布後不久 @defiprime 又轉發 @DegenSpartan 的結論稱失竊的 ETH 數額可能會超過 1000 枚,而這一數字仍然沒有得到最終確認。
據 @udon_crypto 分析指出,本次黑客攻擊受影響的合約為 oETH,黑客在使用 ETH 鑄造 oETH 後迅速行權,而 Opyn 合約不僅僅支付了原本就應當支付的行權價值的 USDC,還「額外返還」了鑄造對應 oETH 時使用的 ETH。簡單來說就是黑客通過一個簡單的操作就實現了 ETH 資產的「翻倍」。
該消息在網絡上迅速發酵,在此期間不止一位用戶向 Opyn 官方團隊反應資金遭受了損失,這些反饋以及該事件在社交媒體上的快速擴散引發了官方團隊的高度重視。在經過了近 6 個小時的排查整理後,Opyn 官方 Medium 帳號在北京時間 6:50 發布了本次黑客攻擊事件的公告,詳細還原了本次黑客攻擊的全貌,並且在第一時間做出了一系列回應,全文如下:
除 ETH 看跌期權合約外的所有其他 Opyn 合約均未受到此漏洞的影響。在發現漏洞後 Opyn 官方團隊已經做出了一系列應對措施儘可能控制損失,並承諾會對因此漏洞遭受損失的用戶提供足夠的支持及幫助。
發生了什麼?
大約在 12 個小時之前官方團隊成員在 Discord 中收到了用戶的反饋,並發現有人正在惡意利用 Opyn 的 ETH 看跌期權漏洞牟利。黑客通過 oToken 的「雙重行權」竊取了部分看跌期權賣方在發售期權時抵押的 ETH。Opyn 官方雖然利用 Convexity Protocol 通過白帽黑客攻擊從保障金庫中收回了 439,170 枚 USDC,但是截止發文時段仍然已經確認有 371,260 枚 USDC 被盜。
因為 Opyn 是一種無許可的去中心化協議,所以團隊無法像許多其他協議一樣直接關閉合約的訪問權限。為了儘可能控制損失,團隊在第一時間在 Uniswap 上刪除了 ETH 看跌期權池的流動性,並在 Opyn.co 網站上關閉了購買 ETH 看跌期權的通道,以防止更多人購買這些 oToken。
為了確保現有 oToken 持有者的權益,團隊將以高於 Deribit 期權市場價 20%的價格購買在漏洞被利用時尚未行權的所有 ETH Put oToken。(如果您目前持有 ETH Put oToken,請與通過 Discord 聯繫 Opyn 團隊)
團隊立即與 Trail of Bits 的 samczsun 合作開發了一個白帽補丁程序,該補丁程序使 Opyn 可以從未償付的保險金庫中刪除了 439,170 枚 USDC 的抵押品,以便安全地向看跌期權賣方提供抵押品。如果您的保險金庫中仍有資金,請通過 Discord 與我們聯繫。該補丁降低了現有看跌期權合約的抵押率,並允許官方團隊進行自行清算,從而確保在 Opyn 團隊控制的地址內,未行權看跌期權的賣方的抵押品是安全的。
除 ETH 看跌期權合約外的所有其他 Opyn 合約均不受此漏洞的影響。
我們了解到許多用戶因此損失了資金,這很令人難過,畢竟保護用戶資金的安全一直是團隊的頭等大事,我們將不懈地努力以重新獲得您的信任,並確保我們的合同具有更高的安全標準。未來團隊將對安全維度進行更嚴格的內部審查,除現有的 OpenZeppelin 審計外,還會增設審計,並採取一些措施來儘可能降低本次事件造成的用戶損失。針對這次的攻擊,團隊還將在未來幾天內發布更深入的技術分析文檔。
我是 oToken 持有人,我該怎麼辦?
如果您當前持有 ETH 看漲期權,COMP 看跌期權,BAL 看跌期權,cToken 看跌期權或 aToken 看跌期權,您無需採取任何措施。本次攻擊利用的漏洞不會影響到這些合約。
如果您目前持有 ETH 看跌權,請通過 Discord 聯繫 Opyn 團隊,團隊將以高於 Deribit 市價 20%的價格贖回您的看跌期權。
我是 oToken賣家,我該怎麼辦?
如果您出售了 ETH 看漲期權,COMP 看跌期權,BAL 看跌期權或 cToken 看跌期權,則無需採取任何措施,您的資金沒有任何風險。
如果您當前已出售 ETH 看跌權,請加入官方 Discord 獲取最及時的解決方案。目前官方正在制定具體方案來儘可能減輕本次事件對您的影響。
一旦發現漏洞,將 Opyn 關閉會有意義嗎?
官方無法關閉協議。Opyn 是無許可且去中心化的,官方團隊並不能關閉或禁用 Opyn 合約。不過一旦發現漏洞,官方團隊將採取積極措施以最大程度地減少用戶的虧損。比如通過一些手段阻止進一步的攻擊發生以及儘可能保證可能受影響用戶抵押品的安全。
Opyn 將來會採取什麼措施來防止這種情況的發生?
Opyn 協議的安全性一直是團隊最高優先級的事項。本次攻擊事件的發生讓用戶失望了,不過團隊會在未來對安全性這個維度更加重視,目前已經確認的有以下四步:
1)對於我們發布的任何合約,都將對其進行全面的內部測試。我們將重新梳理內部測試的流程,以使其更加強大;
2)所有合同將通過 Trail of Bit 的 Echidna 系統進行驗證;
3)我們將繼續只發布經過審核的代碼,並與 OpenZeppelin 和 Trail of Bits 等頂級審核公司合作;
4)我們將為現有的 Bug 賞金計劃增加賞金獎勵。
擴展閱讀:
Opyn 是一個基於「Convexity 協議」, 建立在 Ethereum 區塊鏈上的通用期權協議,允許用戶使用其特有的 oToken 創建期權。Opyn.co 提供了一個易於用戶使用的界面接口來買賣 ETH 的看跌和看漲期權。
Opyn 在 2019 年創立初期,進行了保證金交易的業務嘗試,並在 2020 年 2 月轉型為保險平臺,用戶可以為其 Compound 的存款購買保險來規避該平臺的技術風險和相關金融風險。2020 年 3 月末,Opyn 推出了針對 ETH 持有者的第一批保護性期權,這些 oTokens 是通過 Uniswap 提供流動性的 ETH 看跌期權,故這些產品都可以視為 DeFi 用戶的保險類產品。所以 Opyn 平臺不是為投機而生的。
oToken 由基於智能合約的 Convexity 協議支持。oToken 智能合約的每個期權產品都必須指定的 8 個不同的參數 :(1) 到期時間 (2) 標的資產 (3) 執行價格 (4) 執行資產 (5) 看漲或看跌 (6) 抵押品類 (7) 抵押所需的保證金 (8) 美式或歐式期權。為了保障市場的流動性,目前期權的主要參數主要由 OPYN 來控制和創建。期權賣方可以通過在官方網站的界面,通過在一定期限內鎖定抵押物來創設期權代幣 oToken。期權賣方可以在 Uniswap 上出售這些 oTokens 以賺取期權費。
目前,Opyn 要求期權的賣方必須足額抵押。用戶開具 ETH 看跌期權合約並鑄造期權代幣,必須存入合約行權價的 100%USDC 金額作為保證金進行鎖定,同樣的,用戶開具 ETH 看漲期權合約並鑄造期權代幣,必須將相應數量的 ETH 存入合約並作為保證金進行鎖定。
由前述 8 個參數的不同組合而來的不同的期權,在 Opyn 中以不同的 oTokens 進行標記區分,並由單獨的智能合約控制。
參考:
https://medium.com/
https://twitter.com/
https://www.chainnews.com/
本文來源: 金色財經 /