苏打水48小时：黑客攻击和鲸鱼添加

在短短两三个月的时间里，DeFi已经从一个小渠道迅速成长为加密世界的基础设施。

在Devi疯狂增长的同时，它也暴露了契约安全性存在的问题。

作为去中心化金融，其安全性完全依赖于智能合约。

因此，当dic刚刚爆发时，众多项目在fomo情绪下快速运转，暴露出合同安全问题。

根据peckshield的说法，自从compound在6月份开始流动性挖矿以来，由于合同安全问题，DeFi部门已经损失了至少400万美元。

例如，故意的，超过120万美元的EMD（翡翠）在网上13小时后被转移。

当然，更多的是无心造成的，比如两天前的苏打事件和400多ETH的恶意清算。

但是，合同已经修复，团队已经赔偿了用户的所有损失。

连锁茶馆以苏打水为例。从发现合同漏洞到追偿需要48小时，希望他们能从发现合同漏洞中吸取教训，避免不该发生的共同风险。

苏打水–当你出来的时候

按揭贷款平台Soda于9月15日在以太坊上成立，9月20日首矿正式开挖。

开张6小时内，苏打水飙升至500美元，锁定金额超过8000万美元。

许多被大机构认可的DeFi项目并没有取得这样的成果，更不用说由一个匿名团队开发了。

因为苏打的挖矿规则很有吸引力——双汇。

具体来说，用户可以使用wETH挖矿苏打水，然后将其wETH抵押用于挖矿，借用平台发布的合成资产soETH，然后用更多wETH代替soETH来挖矿更多的苏打。

简而言之，我们可以把本金放大3.5倍。

所以苏打在他出局后就进入了C区，但他没想到那是**时期，因为他很快就被发现有合同漏洞。

Whistler警报代码漏洞

9月20日下午5:00，一位名为“waste x waste”的微博用户发送了一条关于苏打金融（苏打）协议。

“不要用抵押贷款来借钱。合同有漏洞。其他人可以随意结清您的贷款单。”

然而，他并没有利用这一弱点获取利润（他只是通过了以太坊以示证明）。

因为苏打公司的官员没有在第一时间做出回应，所以风险警告被公之于众。

据连锁茶馆称，苏打官方从苏打不和谐集团得到消息，因为一些用户将上述微博截图转给了该集团。

但当时用户群普遍认为，只是因为项目火爆，被黑客入侵，所以他们并不在意。

但一个小时后，苏打公司的官员证实了病毒的存在，引发了资金的恐慌性外逃。

当时，湿水池中的抵押资产超过1000万美元，苏特的贷款接近700万美元。

也就是说，从理论上讲，黑客可以通过发起清算，破坏超过1000万美元的资产，从而赚取数百万美元。

于是在接下来的几个小时里，苏打的货币价格从400美元跌至50美元，大量锁定资金外逃，直接被切断。

惊心动魄的一刻——黑客与鲸鱼的博弈

尽管当晚4时正式发布了补丁，并部署了新的智能合约，但用户还是无法松一口气。

因为智能合约有时间锁，这意味着补丁至少需要48小时才能生效。

所以在这48小时内，黑客会随时利用漏洞。

事实上，当晚至少有6名黑客试图从袭击中获利。

同时，也有一些人胆子大了，不退却，反而增加了阵地。

因此，仍有12000个苏伊尔在流通。

例如，一头鲸鱼当晚直接借给苏斯861英镑，这意味着他必须抵押至少1230湿，黑客随时可以清除这些债务。

鲸鱼从火中驱赶自然会带来很高的回报——在接下来的两天里，超过soETH-ETH-uni-v2-lp游泳池的一半。

那么谁会在黑客和鲸鱼之间的竞争中获胜呢？

48小时后-晚上下雨了

经过48小时的漫长等待，补丁终于生效了。

黑客和鲸鱼之间的斗争终于平息下来了。

据苏打官方统计，有14个用户的合同漏洞被破坏。清理总量448湿，实际损失134.5湿（因为用户借用的soETH有70%不再需要偿还，而soETH的货币价格略高于wETH）。

苏打公司的官员还提出了一个补偿方案：soETH应该用来补偿用户的湿气损失，这是清理总量的30%。

据连锁茶馆介绍，截至发稿时，大部分用户已经接受了上述补偿方案。

所以事情本该安定下来的，但是苏打水的货币价格从300美元降到7美元，几乎是原来的50倍。

更糟糕的是，房子每晚都会漏水，汽水也被“机关*池”堵住了。

在soda的漏洞被修复之前，YFV就打开了soda的机*池，并投入了数百万美元。这意味着苏打池子里的利润很容易被机关*池无情地挖出来卖掉。

具有讽刺意味的是，YFV**了苏打的部分代码，并将其命名为饮料苏打。

苏打官方回应将苏打-ETH-uni-v2-lp池挖矿倍数从5倍提高到20倍，并承诺在首批10万枚苏打币挖矿完成后，将进行社区投票，并决定剩余90万枚苏打币的发行计划。

苏打的合同安全问题已经结束，那么它能否凭借之前的优势重回**呢？

对于DeFi用户和项目所有者来说，**的教训是合同必须经过审计。

审计也许不是**的，但毕竟它可以避免一些不应该常见的风险。