作者:Crescent
Voltz在12月9日宣布完成600萬美元種子輪融資,由FrameworkVentures領投,FabricVentures、CoinbaseVentures、AmberGroup、Wintermute、RobotVentures、Mgnr、EntrepreneurFirst及其他天使投資者參投。
Voltz是利率掉期(IRS)的非托管自動化做市商(AMM),其突出特點就是將?利率掉期?引入DeFi,使資本利用率比其他模式高出了3000倍。
所謂利率掉期,是通過互相交換付息的方式,而改變債權或債務的結構的方法,比如以浮動利率交換固定利率,訂約雙方不交換本金,本金只是作為計算基數。
安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]
我們常見的AMM是在各個不同token之間進行的,而該協議是給固定利率和浮動利率之間做了一個AMM,不同的DeFi協議之間借貸利率也各不相同,有些還有很大波動,從2%到40%以上不等,這就存在了許多的操作空間,該協議的存在消除了固定利率和浮動利率之間交換的限制。
安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]
項目簡介
利率掉期也稱之為利率互換,是衍生品的一種。
Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]
該項目提供了一個交易利率的市場,讓所有人有了一個可以做多做空APY的平臺。比如用戶預計未來某項目的利率會上漲,那么就可以支付固定利率,得到浮動利率,這就是做多浮動利率,當利率如預期一樣向上浮動之時,就可以得到利差回報。當然,在該平臺也可以支付浮動利率,收取固定利率。
Grim Finance 被黑簡析:攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報,2021 年 12 月 19 日,Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣,并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。
2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作,而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中,depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣,本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。
3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性,攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時,惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押,此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。
4. 由于攻擊者對 GrimBoostVault 合約重入了多次,因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。
此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]
在VoltzIRS市場中,一是使有對沖需求的用戶可以在該平臺上實現對沖,二是單純看好某項目的未來礦池收益,可以選擇做多,三是可以根據利率波動差異,做多做空賺取差價。且交易員和LP能夠以大約10-15倍的杠桿進行操作,這讓用戶有了更多玩法選擇。
Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]
特點——AMM
除此協議之外,不乏有些協議用AMM作為將固定利率引入DeFi的機制,不過存在的局限性頗多,該項目在資本使用效率、利率收益、交易者進出頭寸靈活程度等問題方面做出些許調整。
與許多其他AMM一樣,Voltz使用常數乘積不變量,但有一些顯著不同:
其一,傳統AMM是將資產放到流動性池中,而此協議不同,Voltz僅僅用集中流動性虛擬AMM(vAMM)進行價格發現,采用這種方法使抵押品管理不再與AMM儲備掛鉤,增加了更多靈活性。
其二,因IRSAMM是允許交易者交換固定利率和浮動利率的,所以它設計了基于利率的軸。其中:
x軸代表1%的虛擬固定token,這些token背后的概念是,如果一個參與者有權獲得100個1%的虛擬固定token,假設IRS池的期限恰好是一年,那么在IRS池到期時,他們可以要求獲得標的的1個token。
y軸代表可變token,表示出了IRS池中虛擬可變token的數量。VoltzIRSvAMM也使用的常數乘積公式(xy=k),其中(x)代表1%的固定代幣數量,(y)代表可變代幣數量,(k)是常數,因此,vAMM定義了交易者可以交換固定現金流或可變現金流的比率。
VoltzvAMM
vAMM價格與隱含固定利率之間的關系如下:
其三,該協議像Uniswapv3一樣可以集中流動性,允許LP將流動性存入一定的范圍內。
在普通恒定產品AMM中,LP將流動性分散在整個價格范圍內(0,∞),這意味著很大一部分流動性最終不會被使用。為了緩解這種情況,VoltzIRSvAMM受Uniswapv3啟發,有了集中流動性的想法。
流動性集中意味著LP能夠在有限的自定義價格范圍存入流動性。將浮動利率token和1%的固定利率token存入vAMM。當固定利率超出LP的頭寸時,流動性處于非活動狀態。
這使LP存款的資本效率比其他模式高出了3000倍,LP也能夠以自己認為合適的市場利率來部署流動性,從而更好地控制自己的資本。
其四,該協議的資產是通過保證金引擎進行基礎資產的管理的,保證金引擎有效地定義了交易者和流動性提供者可用的杠桿,管理協議的抵押品并處理不利情況下的清算事件。同時還可以使流動性提供者和交易者能夠對其頭寸進行控制。
下圖為該機制運行流程:
圖中的FixedTakers(FT)是交易浮動利率換取固定利率的固定接受者,VariableTakers(VT)是交易固定利率換取浮動利率的可變接受者。通過vAMM和保證金引擎進行價格發現、管理資產。
特點——LP
vAMM與其他AMM一樣,都需要流動性提供者(LP)才能發揮作用,但還是有些差異性。
第一,每個IRS池都建立在單一基礎可變資產之上。為了存入流動性,LP必須為基礎代幣產生的利息支付提供保證金。由于可變利率支付和固定利率支付是在同一資產中支付的,LP只需存入該單一資產即可充當IRSLP。
第二,Voltz的保證金引擎的運作與LP保證金回收。
Voltz的保證金引擎通過參與者在Voltz協議上向Trade或LP提供保證金運作。為了最大限度地提高資本效率,所有參與者都必須提供保證金。Voltz協議允許交易者和LP對其頭寸進行部分抵押。
流動性提供者將流動性存入自己標記的范圍內,從而使FT和VT進行交易。每次進行交易時,LP都會收取費用。Voltz協議中有LP保證金回收概念,當對應的FT和VT頭寸可以匹配時,交易相互抵消,LP保證金就會被回收,以便再次用于向交易者收取費用。
如下圖所示:
LPCollateralRecycling
第三,關于資金利率風險。
在該項目中,因為LP只需要存入單一資產即可創建市場的任何一方,這樣一來,VoltzAMM就消除了無常損失的概念。但是由于其引入了利率掉期概念,這使LP又面臨著「資金利率風險」,這是一種特定于利率掉期的新風險類型。
該項目目前還未發幣,Twitter有1771人關注,關注者不算多,據其說明將在2022年第一季度上線測試網,最開始會推出穩定幣池。VoltzDAO正在開發中,在之后,隨著時間的推移,Voltz協議將由VoltzDAO管理,完成一個逐步去中心化的過程。
原文作者:NatashaChe,Soundwise創始人原文編譯:0x137,律動在當今的加密市場,單純持有?BTC?和?ETH?或許并不能為你帶來可觀的收益.
1900/1/1 0:00:00原文作者:禿GaoFlynn 原文來源:Mirror前言 Curve.fi—Defi世界中的TVL王者,Curve.fi在功能上并非一個復雜的defi產品.
1900/1/1 0:00:00鏈捕手消息,印尼金融應用Pluang獲得由Accel領投的5500萬美元融資,Monzo首席運營官SujataBhatia、AxieInfinity創始人AleksanderLeonardLar.
1900/1/1 0:00:00來源:KainWarwick推特 整理:念青,鏈捕手 前段時間,Synthetix創始人KainWarwick曾與三箭資本聯合創始人SuZhu就公鏈發展形勢進行激烈辯論.
1900/1/1 0:00:00鏈捕手消息,基于Polkadot的跨鏈互操作性項目Interlay完成650萬美元融資,DFG領投.
1900/1/1 0:00:00鏈捕手消息,據Sprise聯合創始人MontanaWong在推特上透露,雖然阿迪達斯此前設定adidasNFT銷售上限為每人最多2件,但有人利用漏洞繞過此限制在單次交易中購買了330個.
1900/1/1 0:00:00