近期 Sushi 儼然成為幣圈最火熱的話題,但吸引大量關注時,也同時引發許多爭議。推特上有用戶發現項目中有「價值 2,700 萬美元的代幣」可以被管理者隨意使用,未來很可能無預警倒貨。對此,Nomi Chef 回應:「這是給 devshare 的,我不覺得這有什麼問題。」-這對所有人來說是個警鐘嗎?
(事件背景:看懂 SushiSwap 吸血鬼攻擊:遭批跟次貸危機 CDO 雷同,它如何榨取 Uniswap 流動性?)
近兩天,幣圈最熱門的話題非 Defi 中的 Sushi 莫屬。SushiSwap 是一個從 Uniswap 分岔出來、未經審計的去中心化金融新協議,在協議宣布的三天內便獲得了來自社群十分強大的發展動力。
然而最近,Cinneamhain Ventures 的數據分析師兼合夥人 Adam Cochran 深入研究了 SushiSwap 的管理錢包結構,並在其推特上表示:
SUSHI 管理者持有價值 2,700 萬美元的自有代幣,可以出售這些代幣或將其用於 LP 代幣。當我初次查看合約時,我以為開發基金將存入由投票決策或時限鎖定的錢包。
而一位推特用戶 SaSa 則在此推文下方向 Sushi 的匿名管理員喊話回覆:
嘿 @NomiChef,我看到部署者錢包 – 0xF942Dba4159CB61F8AD88ca4A83f5204e8F4A6bd – 有大約價值 2,700 萬美元的壽司幣是可以拿來倒進 SUSHI / ETH 池中。什麼阻止了你這樣做?我有錯過什麼嗎?
1/6 As far as I can tell the $SUSHI guys are sitting on $27M USD worth of their own token that could be dumped or used to dump against LP tokens.
When I first looked through the contract, I assumed that the dev fund was going to a wallet that was locked by gov vote or timelock. https://t.co/OQZ4QciqXw
— Adam Cochran (adamscochran.eth) (@adamscochran) September 1, 2020
這個錢包的密鑰是被一個名為「Nomi Chef」的匿名管理員擁有,這意味著 Nomi Chef 可以在無需發出任何警告情況下,在 SUSHI/ETH 流動性池內拋售持有的 2,700 萬美元代幣。目前 Sushiswap 估值已經很高,如果此時有人從項目中套現如此大量的金額有很大的可能不被社群接受。
Defi 項目留存一定數量的資金用於項目開發等其實並不罕見,但通常這都帶有特定的保護措施-例如透過集體投票來解鎖,以產生分權。但是依 Sushi 的現況看來,Nomi 似乎可以自己完全決定這些資金如何使用。
Nomi 先前曾在 Discord 上的聊天室針對此事回應:
我確實擁有完全控制權。這是開發共享。
我將根據項目發行時的文章,將其用於原始 SushiSwap 文章中指定的開發。從理論上講,我可以自行決定賣掉所有代幣,但我看不出有什麼問題。
這是用於開發者股份的代幣,從一開始就被指定用途了。我並沒有要隱藏它或任何東西。
目前,上千個參與者已將 Uniswap 的 LP tokens 鎖定在 Sushi 的智能合約中,期望能夠得到平台收益。截至截稿為止,SushiSwap 總鎖定價值(TVL)突破了 12.5 億美元。
延伸閱讀:一天內上線OKEx 火幣 幣安,SUSHI 的「Uniswap 流動性掠奪」故事搶盡流量
其餘爭議
然而 Sushi 的爭議不只這個。
有位推特用戶在 9 月 1 日時發布推文表示,他發現了 SushiSwap 合約中的潛在漏洞:
Sushiswap 的 migrator 沒有被固定,管理者可以隨時更改。而控制 migrator 的任何人都有可能竊取這其中的 10 億美元代幣。
如果發生這種情況,那將是加密貨幣史上最大的搶劫案。
The sushiswap migrator is not set. The owner can always change the migrator. An antagonistic migrator would be able to steal everyone's funds. At ~1B, this would be the biggest heist in crypto. pic.twitter.com/YQIIiTQu9u
— wjmelements (@willmorriss4) August 31, 2020
意即該漏洞可能會被智能合約擁有者利用,允許擁有者進行包括將智能合約帳戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。
同時據資安團隊 PeckShield 的說法,其智能合約還存在嚴重的重入攻擊漏洞,會導致潛在攻擊者的惡意代碼被執行多次。
延伸閱讀:資安月報|Defi、錢包、交易所、詐騙… 8月共28起安全事件,危害程度評級為「中級」
然而根據 Adam 在 9 月 2 日的推特指出,針對這個問題 Nomi 再次表示:
我將把控制權轉移到某種治理上,但是現在這不是我的優先事項。
1/18
Around 24 hours ago I noted that @SushiSwap has $27M worth of $SUSHI tokens in the dev wallet with no timelock or controls. Tons of people asked about it and Cointelegraph covered it.
After not addressing it for a while the lead dev finally said:
It's "not his priority" pic.twitter.com/bVaCqLx6aa
— Adam Cochran (adamscochran.eth) (@adamscochran) September 2, 2020
對此,Adam 回應:
雖然我非常想相信這個項目,因為社群擁有的 AMM 很棒,如果你在匿名項目中有一個 2,700 萬美元的開發基金卻拒絕鎖定,且認為這不是一個優先事項 – 那對所有人來說是一個警告。
4/18
While I want so badly to believe in the project because a community owned AMM would be great, if you have a $27M dev fund at the center of your anon project that you refuse to lock up and think is not a priority – that's a red flag.
— Adam Cochran (adamscochran.eth) (@adamscochran) September 2, 2020
雖然存在著許多爭議,但無可否認 Sushi 仍為 Defi 帶來了新一波的大量關注。
Defi 風潮仍在以驚人的速度發展中,在創新方面還存在著許多未知。投資人在進行任何投資時都不該一味跟風,而需認真了解自己正在投入的項目、承擔選擇。
📍相關報導📍
DeFi 全解析|SushiSwap 壽司交易所:平台幣 SUSHI 的價值捕獲潛力
鎖倉達10億美元 SushiSwap “SUSHI” 今上線FTX,兩天暴漲 1000% DeFi 專家不看好?
SUSHI 加持?礦工一小時賺 500,000 美元,以太坊手續費飆破歷史新高
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務