Defi 明星項目 Harvest Finance(Farm)26 日傳出遭攻擊事件,攻擊者取走了約 2,400 萬美元的資金。本文將說明 Harvest Finance 攻擊事件的主要收尾工具-Incognito 其願景、隱私科技(跨鏈技術)、代幣經濟、流動性挖礦等,藉此一窺其何以成為攻擊者使用工具首選。本文由專欄作者 凝視奇點的物理學徒 撰稿,現旅居星國,為新加坡國立大學「量子物理博士生」,是個希望「生活在位元世界,而非原子世界的奇點主義者」。
(事件背景:效仿SBF?有人在Cream上兩分鐘內抵押350萬美元「射交幣SWAG」,套換出大量價值代幣)
(前情提要:10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%)
本月 26 日,動區甫報導的 Defi 項目研究員 Chris Blec 發文警告,Defi 明星項目-Harvest Finance 因協議控制權完全掌握在一位匿名的私鑰管理人手上,當時總鎖定價值(TVL)突破 10 億美元的 Harvest Finance 可能隱含中心化風險等安全性爭議。
當日正午時分,便爆出 Harvest Finance 遭駭的消息:攻擊者利用閃電貸套利、取走了約 2,400 萬美元的資金,並歸還了其中的 250 萬美元給合約部署者。
如動區專欄作者先前整理一般,攻擊者首先利用以太坊上的混幣器 Tornado 隱藏鏈上蹤跡在新地址存入乾淨ETH,然後在 Uniswap 上透過閃電貸借走大量 USDC 和 USDT;在 Curve 上將 USDT 換成 USDC 後,把 USDC 全部存入 Y 池造成嚴重滑價,再將巨額 USDC 充值進 Vault 中、鑄出比原應有量還要多的 fUSDC,藉此反覆套利抽走約 2,400 萬美元的穩定幣。
隨後攻擊者將資金轉換為錨定比特幣(BTC)的 RenBTC,再將資金轉移至 7 個比特幣錢包,另有一部分約 250 萬美元則返還給 Harvest Finance。
此次攻擊事件,讓 Harvest Finance 協議共損失約 3,380 萬美元,約佔 TVL 的 3.2%。
延伸閱讀:Harvest發出10萬美元通緝令!官方指稱,攻擊者是加密社群「知名人物」
延伸閱讀:FinCEN以違反《銀行保密法》,首開罰「比特幣混幣器開發者」6,000萬美元
收尾工具:透過 Incognito 隱藏 2500 ETH 流向
然而,此次 Harvest Finance 攻擊者結束事件所使用的隱私工具-Incognito,來頭及願景可不小。
Incognito 是一條專注於跨鏈隱私交易的區塊鏈,透過側鏈將隱私功能引入各種區塊鏈網路、為其他鏈提供隱私解決方案和相互操作性,可將其他區塊鏈網路的代幣匿名化,為全球首個使用分片作為擴容解決方案的公鏈平台。
究竟其何以成為攻擊者隱匿大量ETH的收尾首選?
本文將會介紹我幾個月前發現並深入研究幾週的有趣隱私專案-Incognito,它想要解決區塊鏈世界(和去中心化金融)缺乏隱私的問題,並努力讓自身成為各個區塊鏈宇宙的中繼層(而不是像 XMR / Zcash / Grin 一樣的另一個隱私資產)。
筆者會從其願景、隱私科技(跨鏈技術)、代幣經濟、流動性挖礦等面向來說明這個一歲的專案(創世區塊在2019 / 10 / 29)。
本文是閱讀 Incognito 白皮書和各類文件之心得整理,有疏漏錯誤請包涵指教.同時本文絕非投資理財建議,永遠 Do Your Own Research。
延伸閱讀:川普競選官網遭駭!駭客要求以「門羅幣」投票,要不要公開敏感資料
延伸閱讀:隱私幣危機?美國國土安全局獲取「門羅幣 (XMR) 追蹤工具」,由 CipherTrace 開發
Incognito:具 XMR 標準的跨鏈隱私層
隱私一直是區塊鏈世界的挑戰:和主流輿論所想像的不同,多數去中心化帳本科技都是完全透明公開(所有的活動和帳戶細節),僅僅是缺乏連結現實世界和鏈上紀錄的對應關係而已。
即使在 Bitcoin 上透過 Wasabi 錢包做混幣、在 Etherum 上透過 Tornado Cash 做混幣都有局限性(Dash / Zcash 我就略過不提了)。Wasabi 的地址有特性會被辨識出來(容易被交易所拒收和查水錶)、Tornado Cash 支援的幣種和轉帳數量都有限(不能賦予任意 ERC20、任意數量的金額隱私交易,這是重點因為2500ETH要透過Tornado Cash 撤離難度較高)。
而至今的隱私科技王者無庸置疑是已經做到能隱私寄送方地址、收款地址、傳送金額的門羅幣(請參考我寫過的《精通門羅幣:隱私科技的偉大結晶》),在這邊我說明簡短重複一下(Incognito 則是直接採用門羅的隱私方案):
- RingCT 確定交易合理(包含同態加密的零知識證明加上 Range Proof)
- Ring Signature 來隱藏實際的交易發起人
- 透過一次性地址來隱藏收款地址
:各種加密貨幣透過Incognito獲得隱私保障.png)
延伸閱讀:川普競選官網遭駭!駭客要求以「門羅幣」投票,要不要公開敏感資料
Incognito:跨鏈解決方案
採用了現在整個生態最棒的隱私科技建立區塊鏈之後,Incognito 同時透過跨鏈讓其他區塊鏈的資產能夠被賦予隱私,對於 ETH 這種能夠透過智能合約建立起 trustless brige 的目標來說,抵押 ETH 產生 pETH(和各種 pERC20 代幣)都像是與一個多簽控制的智能合約互動。
完全無需手續費也無需超額抵押(是透過 Incognito 網路 PoS 節點所控制的多簽金庫),甚至以後可以把資產留在 Incognito 上,然後與 ETH 上的 DeFi protocol 直接互動(像是 pKyber / pUniswap),可以說是把 DeFi(去中心化金融)提升到 P.D.F(隱私去中心化金融).
而像是 Bitcoin / BNB 這樣的公鏈就是靠有人超額抵押資產(目前是 150% PRV,之後會有 ETH 版本)來鑄造 pBTC / pBNB。這樣 trustless bridge 的路徑和以太坊上的 RenVM 就很類似,鑄造和銷毀都必須支付 0.01% 的手續費給 Custodian(不是給 Inconigto Node)。
在萬用的跨鏈解決方案 Portal 成功之前,有些重要區塊鏈就很實際得先用 Trusted bridge 來處理,包含 XMR / NEO / ZIL 等等(相關資料可以查詢 Incogito 2020 科技樹目標).而最終跨鏈方案 Portal 計畫會採用 Cosmos 技術。
以上跨鏈方案有個隱私問題是超過 XMR 系統可以回答的就是幣種(畢竟 XMR 上又不能發幣自然沒這問題),在 Incognito 鏈上即使可以隱匿交易發起人、數量、交易接收人,但是目前沒有辦法隱匿幣種(如 PRV / pETH / pXMR …),之後會有目標把整個網路升級到連資產種類都不可是(稱為 Confidential Coin)。
延伸閱讀:隱私幣危機?美國國土安全局獲取「門羅幣 (XMR) 追蹤工具」,由 CipherTrace 開發
Incognito:代幣經濟與共識機制
在理解這個隱私跨鏈區塊鏈的「隱私」、「跨鏈」之後,我們就來談談 PRV 代幣經濟和區塊鏈共識機制。
首先是 Incognito 的 PRV 代幣共有 1000 萬顆,在 2018 年時創辦人(40 多人)以 1M USD 的價格購買了 5M PRV(0.2 USD / PRV),完全沒有 VC 或外部投資人,所有成敗都是在開發者團隊自身。
接下來的 95M 會以 40 年的時間(每年減少 9% 的速度)直到完全釋放。不過也不是所有 PRV 獎勵都歸 validator 所有,第一年會有 10% 給 DAO 發流動性挖礦、和社群獎勵等等(DAO 占比會逐漸下降到 3%),個人認為算是相當公平。
.png)
對於共識節點則是採用 PoS 分片來達到拜占庭容錯,目前是已經有 8 Shard 和超過 2000 Validator。要成為驗證者就是抵押 1750 PRV 然後 1)購買官方的節點機器 pNode 或是 2)自己弄一個虛擬機。
對於沒有 PRV 的節點官方也提供出借服務,系統出借需要的 1750 PRV,節點則是獲得 35% Block Reward。Blocktime 則是 40s(從 Shard 到 Beacon Chian 要另外 40 秒),所以使用者體驗的轉帳時間大約是不到 2 分鐘。目前 8 Shard TPS 約在 100,最終 64 Shard 則是計畫達到 800 TPS.
延伸閱讀:科普|以太坊2.0 Staking 指南〈參〉:分片化的共識 Sharded Consensus
Incognito:內建的 pDEX 與流動性挖礦
在把各種資產賦予隱私和帶入 Incognito 生態系後,除了讓人們互相寄送外,當然需要原生的去中心化交易所讓資產可以轉換。
Incognito 內建的 pDex 是類似 Uniswap 的系統,同時透過 PRV 的流動性獎勵使用者提指定加密貨幣的流動性(源自上段文字提到的 DAO 獎勵)。使用者提供流動性之後每個小時固定都會看到獎勵入帳(提領是 0 手續費),和 pDex 背後發生的事情無關。
而底下發生的事情是系統匹配 PRV 和其他幣種的流動性然後加入資金池,系統可能有 IL(暫時損失)不過就資金提供者而言完全沒有影響,存進去 X 單位代幣就是能提出 X 單位代幣(pDex 沒有 LP 手續費、而是由 Pnode 節點獲得挖礦獎勵),pDex 的挖礦收益歸 pNode節點、會收包含 PRV / XMR / ETH / DAI / BTC 等主流加密貨幣。
當然需要目前 Incognito 使用團隊中心化的餵價是系統最需要改進的軟肋。對於整個 Incognito 網路的原生代幣、各種隱私代幣鎖倉、pDex 交易量流動性、節點數量等資料,大家都能在官方區塊瀏覽器找找看。
註:IL 目前是由 DAO 透過系統補貼,所以 LP(資金提供者)是體驗單邊 AMM 感覺
延伸閱讀:觀點|由淺至深分析「流動性挖礦」的常見 Token 分配策略
延伸閱讀:探討》去中心化治理: DAO 的基礎設施淺析與 DeFi 流動性挖礦
其他想法
Incognito 有非常活躍的社群和明確的願景、功能更新和 Telegram 溝通都很順暢,比較大的毛病在於用論壇當作官方網站實在是有夠難找資料、閱讀也極端痛苦…
不過我在深入研究後深深覺得這個專案目標明確大有可為,文件資料整理的事情確實可以慢慢來。
Incognito 和其他加密貨幣的專案關係感覺不錯,XMR 這位隱私貨幣的王者就不用說,Binance 出資讓 Incognito 設計 BNB Trustless bridge 也是相當漂亮的進展(畢竟把中心化的機房鏈能被賦予隱私也是進步)。
我希望 CRO 在主網上線之後可以出資:讓這個將來會使用 Cosmos 建立起 Trustless Bridge 的科技能夠和 CRO 更加深度整合。其實現在就已經有 MCO / CRO 以 ERC20 的形式出現在 Incognito 上,Incognito 社群不會因為沒有流動性挖礦就不創造隱私版本的加密貨幣,人們是對於隱私有真正的需求。
相關報導
CZ全盤否認!富比士爆料:幣安「太極文件」外流,詳述 Binance 如何在美國規避監管
Crypto.com|CRO金融卡「亞洲新發卡行」選定 Payrnet,順利重啟發卡業務
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
