Логика взлома Pickle Finance

Дисклеймер:
Аудит контракта, завершившийся 17 ноября, не затрагивал контроллер№4, который был взломан. Т.е. баг возник после аудита и добавления новых функций.

По скриншоту видно, что эксплоит (взлом) короткий:
https://twitter.com/orbxball/status/1330395576593211392

3 основные части:
swapExactJarForJar, earn () и снова `swapExactJarForJar'.

1 ШАГ: "swapExactJarForJar" позволяет текущему алгоритму протокола Pickle Finance заимствовать DAI из протокола Compound с делевериджем ( т е заложено 20 млн DAI –> взять под их залог 10 млн DAI ).

После делевериджа DAI -> отправлять их в хранилище pDAI Jar.

2 ШАГ: Функция `earn ()`превращает заимствованные DAI в cDAI, как и ожидалось.

3 ШАГ: Повторный вызов функции swapExactJarForJar хакер отзывал cDAI обратно к контроллеру, а затем поместил их в поддельное хранилище.

В этом эксплойте используется 8 недостатков протокола Pickle Finance. Но есть одна вещь, на которую стоит обратить внимание. Этот эксплойт происходит только тогда, когда эти 8 недостатков происходят одновременно. Таким образом, если бы хоть 1 из 8 уязвимостей была исправлена, либо даже не существовала, этого эксплойта не было бы.

8 уязвимостей:

!!! 1. нет проверки соответствия по адресу, вызывавшему функцию swapExactJarForJar, именно так и было подделано хранилище, куда «складывались» украденные средства

2. _target & _data функции передавались в открытом виде

3. функция withdrawForSwap помещена в неавторизованную функцию

4. функция delegatecall помещена в неавторизованную функцию

5. адреса whitelist имеет функцию арбитража

6. адреса whitelist могут обращаться к неавторизованной функции

7. функция earn находится в публичной части контракта

8. разрешен вывод активов из стратегии (нет таймлока).

Pickle Finance старался сделать интерфейс протокола и порядок с ним взаимодействия более дружелюбным и по совместительству – хакеропригодным.

Война против криптокартеля

Сoingeek выпустил интересную статью.

Crypto Crime Cartel: BitMEX, Kraken, Binance, Bitcoin.com, Blockstream & Ethereum

Она полностью за Крейга Райта и Bitcoin SV - как оригинальное видение протокола.

Ссылаясь на недавние аресты, обвинения предъявленные Bitmex, а так же упомянув тесно связанную с Роджером Вером пирамиду BitClub - закрытую властями, статья дает посыл простым сотрудникам BitMEX, Kraken, Binance, Bitcoin.com, Blockstream & Ethereum.

В статье говорится, то что даже если вы не знали о том что ваша организация совершает мошеннические действия, то вы все равно соучастник. Сообщается что по закону есть возможность преследовать и простых сотрудников.

Что им делать, статья не говорит, но она явно направлена на подрыв моральной состовляющей, и количества "пехоты противника" :)

Учитывая то, что Крейг обещал сотрудничать, и наверняка сотрудничает с различными правительственными органами, как обещал, и то, что он как старый биткоинер, тоже стоявший у самого начала может много знать - то угроза возможно серьезная.

Но зная, так же, что Крейг может провозглашать громогласные заявления, из которых выходит пшик, может случится, что это такой случай.

Так что вероятность 50 на 50 опять. Права ли статья или нет, покажут дальнейшие аресты, посадки и проблемы в работе бирж, что само собой отразится негативно на цене биткоина, который в статье называют не правильным и его идеологию "мошеннически подмененым"

За последние двое суток объем внесенных в депозитный контракт Ethereum 2.0 монет увеличился более чем в два раза и достиг 240 384 ETH, согласно данным Glassnode.
Это составляет 45,85% от суммы, необходимой для запуска нулевой фазы.

Награда за блок в USD (6.25 BTC плюс комиссии) - годовой ATH

Источник.

Я как то писал, что за всякими движениями на Coinbase надо посматривать.

https://t.iss.one/cryptoquant_official/178

Что происходит с криптой?

Последние несколько недель в крипте начинается очередной bull run. В целом картина аналогична 2013 и 2017 годам, но с очевидной разницей в масштабе и количестве переменных. Было много написано о том почему растёт Эфир и Биткоин, поэтому не буду повторять ни умные, ни глупые тезисы. Однако, для многих эта ситуация в новинку, поэтому поделюсь несколькими простыми правилами, которые доказали свою эффективность за последние 7-8 лет.

1. Покупать ли крипту сейчас?

Да, но не на все и не на последние деньги. Все, кто более-менее в теме советовали покупать по цене $3к, но если вы готовы ждать, то сейчас тоже неплохой момент.

2. Какую крипту купить?

Есть три типа проектов:
- Биткоин и эфир, которые растут по фундаментальным причинам
- «Мертвые монеты» с миллиардным капом типа EOS, Tezos и XRP.
- «Новые» ICO, defi, blockchain проекты.

Первый тип относительно надёжен будет расти.

Второй тип умрет, но не очень скоро. Причина: 95% транзакций в ЭОС - эирдропы, 82% транзакций в тезосе - стейкинг, 98% транзакций в рипле не имеют финансового смысла. (Пруф: https://arxiv.org/pdf/2003.02693.pdf)

Третий тип это самый большой риск: скорее всего вы потеряете деньги ещё до появления ликвидности у проекта.

Ещё есть небольшая прослойка «серой зоны» в виде Polkadot, Cosmos, которые с большой долей вероятности окажутся во втором типе и с небольшой долей вероятности — в первом. Риск, но в теории на этом риске можно заработать.

3. Что насчет дефай?

Это интересная технология и может существенно повлиять на мир финансов, но реалистичная перспектива — 5-10 лет. Сегодня все, что в дефае можно купить или продать — это стейкинг и маржинальную торговлю токенами, которые ничего не стоят для их владельцев в эмиссии. Вы гарантированно потеряете деньги, если вы не профессиональный трейдер, который понимает все детали арбитража между цексами и дексами.

4. Я хочу поднять деньги для своего бизнеса через ICO

Не стоит, испортите репутацию. Что стоит делать — это поднимать часть equity раунда через криптовалюту. Вы рискуете волатильностью, но если деньги не нужны прям завтра, то можно получить хорошую выгоду за счёт отрицательного дисконта (дефляции).

5. Что такое приватные блокчейны?

По большей части — ерунда, но есть интересные применения. Как правило, в корпоративном или государственном контексте блокчейн не нужен — ни публичный, ни приватный. Рекомендую посмотреть на технологию self-sovereign identity, которая решает те же проблемы, но дешевле, быстрее и имеет реальный трекшен. Купить токенов ни в SSI, ни в приватных блокчейнах нельзя.

6. Эфир убьёт Биткоин? Или наоборот?

Оба будут параллельно существовать и развиваться, между ними практически нет и не планируется конкуренции.

7. Я слышал про проект / дапп / дефай биржу / смартконтракт / новый консенсус алгоритм ХХХ, нужно ли в него инвестировать?

Я ответил во втором пункте, но хочу подчеркнуть — нет, ни в коем случае. Вот почему:
- Вы не опоздаете, если подождёте лишние полгода. Если это что-то крутое, то у продукта будет трекшен. Трекшен крипты измеряется не в сумме проданных щиткоинов, а в количестве пользователей. Чтобы увидеть трекшен, особенно в такой новой технологии, нужно посмотреть на рост пользовательской базы за год+. «Новый эфир» не появится внезапно и незаметно.
- В большинстве этих проектов (например, играх или финансовых приложениях) нет фундаментальной нужды в технологии криптовалют. Они выпускают токены ровно для того, чтобы собрать денег с менее профессиональных инвесторов. Собравший таким методом деньги проект не имеет мотивации реально доставлять крутой продукт, никто не потребует вернуть токены.

Я тут подумал, что PayPal вовремя подсуетился. На покупку криптовалют средняя комиссия у них ~2%. С учётом того, что они сейчас скупают порядка 70% всех добываемых ежедневно BTC, то только на комиссиях они зарабатывают в день порядка $300'000, следовательно в месяц $9 млн.. Добавляем сюда растущий спрос, и то что они позволяют покупать и другие криптовалюты. И это расчёты только с покупок, а будут и продажи...

Если я не ошибся, то это более $10 млн. в месяц и это только начало...

​​В моем канале в этом посте, был представлен вот этот график от SGBarbour

Так как у нас есть возможность дальше рисовать этот график, то мы его продлили до текущего момента.(скриншот)

Разберемся что мы сейчас видим , еще SGBarbour назвал уровень 1.7USD/Ehash приблизительным уровнем доходности для Antminer S9 при цене электричества 0.063 USD за киловатт.

Я нарисовал этот уровень красной линией.
А теперь попробуем разобраться что же это значит.

Когда этот график ушел, за линию этой «поддержки» вниз мы начали наблюдать плавные по мере падения доходности но массовые отключения старых моделей асиков (сеть BTC на тот момент состояла на 60% из Antminer S9, большой процент был за практически равным S9 по доходности моделями Whatsminer и остальным)

В основном оставались на этом падении те, у которых дешевая розетка. Когда этот график достиг дна, то в сети из асиков подобных S9 оставались только те у кого розетка была совсем за смешные цены, а в основном бесплатно (Читаем множество статей про воровство электричества по всему миру)

В тоже самое время, естественным образом, происходила плавная замена оборудования на асики типа Antminer S17 а позднее и S19, и поэтому хешрейт даже плавно рос, обеспечивая безопасность и работоспособность сети.

Что происходит теперь ?

С учетом роста цены биткоина, доходность в долларах на EH начала расти, и уже на стадии ее роста, начали включаться назад S9 подобные майнеры имеющие цену розетки 2-3 рубля за киловат.

В основном - это наши сибирские парни, Иран, Средняя азия, Абхазия и китайские майнеры во время сезона дождей. (Про сезон дождей и что там происходит, рекомендую прочитать по поиску «сезон дождей»)

Также сложилась абсолютно уникальная ситуация - такой в майнинговой индустрии еще не было.

1. Нового этапа в модернизировании ASIC качественным образом (условные чипы 5нм) — нет и не предвидится .

2. Наблюдается дефицит поставок «старых» 7 нм чипов. Скорее всего из-за истории с Хуавэй и «экономической войны» со штатами.

Судя по тому что нет в продаже разнообразных модернизированных S9 то и с 14 нм — дела обстоят также . В результате все новые асики выкуплены до января. А что будет в январе — неизвестно.

Кстати, про январь. Тут пост, где я магическим образом вычислил, что это какое-то ключевое время для индустрии.

3. Высокий уровень отказов новых моделей. Первые партии доходили до 50% отказов. Последующие отгрузки были получше. 20-30% Также, асики авалон и whatsminer этого же поколения, говорят имеют нормальную надежность.

Продолжение в следующем посте..

​​И какие выводы можно из этого сделать ?Продолжение этого поста.
Ну во первых, я редко берусь прогнозировать цены, но тут цена, как раз важная фундаментальная составляющая,, от которой зависит работа конкретных моделей асиков.
Итак:
Мы видим, что сейчас доходность в долларах на EH вернулась обратно к уровню, на котором балансировала до массовых отключений.
Я думаю основное количество S9 никуда не делось, просто отключено, продано оптом , и прочее, прочее, прочее. В общем включить их проблем не составит.

Почему я думаю что будут покупать S9 на вторичном рынке , а не предпочут им S17- S19.
1. Новых их нет (пункт 2 в предыдущем посте)
2. БУ, я думаю их тоже, не особо партиями накупишь (купленные новыми они скорее всего стоят и майнят, так как дают доходность и должны окупаться)
3. Надежность — S9 надежен как танк и потеря нескольких S9 для фермы, гораздо более мягко перенесется чем потеря нескольких S19

Предположим как будут развиваться события по мере их включения.

Немного вводных.
Во первых скорее всего все «центры силы» которые могут управлять ценой BTC — заинтересованы в том чтоб сеть работала надежно и ее хешрейт (как показатель надежности) рос.

Никому не хочется заголовков в прессе о падении хешрейта сети BTC - это отрицательно сказывается на инвестиционной привлекательности. А ведь в этот раз все нацелено на более богатых чем в 2017.
Все так называемые «институционалы» околокриптовые (таких подавляющее большинство), или IT компании. Они сами были бы очень рады если какойнибудь совершенно некриптовый фонд купил BTC.

Другим, таким как производителям асиков, тоже это нужно. В их владении огромнейшие фермы, из эффективно подключенных, охлажадаемых (в основном это бескорпусные платы в ваннах с охлаждающей жидкостью) асиков.

Поэтому, думаю все «центры силы» будут действовать вместе.
А то что старые криптаны находятся друг от дуга на расстоянии условного «звонка» - я не сомневаюсь. И скоординироваться им проблемы нет.

Итак: попробуем провести расчеты.

 ! Методика расчетов — моя. Она — не проверенна никем, поэтому не воспринимайте значения цены BTC — как финансовый совет.

При замене\отключениях старых моделей асиков на новые - было отключено около 70-80% асиков типа Antminer S9.

Хешрэйт в это время(возьмем условно самое дно графика — с мая по октябрь 2020) вырос с 94 в мае до 140 в октябре .

То есть скорее всего надо брать дату выпуска\поставки S19 (январь) условно снимать процентов 20 на S17 и от этой цифры брать 80%. . Как видите - цифры совсем приблизительные, но точных я думаю мало кто знает, даже производители оборудования. Расчет приводить не буду - это будет 60-70 EH
То есть — это вероятная цифра роста хешрейта от включившихся s9.

Сколько добавить на долю еще не приехавших S19, и асиков такого же типа от других производителей ? Думаю на примере роста хешрейта за этот год еще 50 -80 EH.

Получается, вероятный рост хешрейта где то до февраля - марта 2021 составит 120-150 EH.
По динамике роста — цифра тоже подходит. Соответственно сложность, несмотря на все игры с ней в какие крупные майнеры, умеют играть, увеличится минимум в двое.

Держать цену доходности — затратное занятие. Еще и ее надо держать так чтобы не дай бог BCH или Bitcoin SV показали лучшую доходность. При пятикратной разнице в доходности — любой майнер забудет идеологию и пойдет майнить форки.
Думаю будут держать такую доходность на EH как и сейчас.
И график в предыдущем посте, тогда должен колебаться вокруг красной линии. Тогда цена в идеальном случае, должна увеличится в двое, в соответствии с увеличившимся вдвое хешрейтом и сложностью майнинга.

То есть фундаменально - есть предпосылки как минимум 40 к за биткоин к весне 2021 года.
Но вместе с фндаментальными предпосылками, может придти и хайп, вместе с "синдромом чистильщика сапог" тут я ничего гадать не могу, разве что осторожно накинуть 10-15 тыс долларов к своему прогнозу.

СМИ: Китайский рейтинг криптовалют составляется независимо от мнения властей

Глобальный рейтинг криптовалют, публикуемый Центром по развитию индустрии информационных технологий Китая (CCID), не связан с регуляторами и является частным мнением консалтинговой компании, пишет Librehash.

https://cryptocurrency.tech/smi-kitajskij-rejting-kriptovalyut-sostavlyaetsya-nezavisimo-ot-mneniya-vlastej/

Биржа OKEx провела тестовый вывод средств с платформы

Биржа криптовалют OKEx провела испытания вывода средств в преддверии полноценного восстановления операций.

https://cryptocurrency.tech/birzha-okex-provela-testovyj-vyvod-sredstv-s-platformy/

OKEx CEO confirmed that it was testing.

Jay Hao Twitter | View Chart | @cryptoquant_official

Перевод статьи «Биткоин: беспрецедентный эксперимент с честным распределением». Ее авторы — сооснователь Digital Asset Research Лукас Нуцци и команда Coin Metrics — обнаружили, что несмотря на спрос со стороны институционалов, первая криптовалюта равномерно распределена среди множества пользователей.
https://forklog.com/bespretsedentnyj-eksperiment-kak-raspredelyaetsya-bogatstvo-v-seti-bitkoina/

—Исследователи разработали метрики, оценивающие равномерность распределения биткоина на различных категориях адресов.
—Выяснилось, что предложение цифрового золота распределено относительно равномерно в сравнении с другими криптоактивами.
—Равномерному распределению биткоина способствуют механизм его эмиссии и действия майнеров, вынужденных продавать значительную часть добычи для покрытия затрат.

DERISWAP – Андре Кронье. Новая статья про свопы, фьючерсы, опционы и кредиты

После начала работы Кронье с Винтермьют и погружения Андре в мир формул Блэка-Шоулза, разработчик представляет свое видение финансовых деривативов. Перевод статьи:

«Я все больше и больше одержим идеей эффективности капитала. Текущая ликвидность сегментирована.
Вы можете выбрать один из них;
• Обмен (Uniswap, Sushiswap, Bancor, …)

• Опционы (Deribit, Hegic, Opyn, Primitive, …)

• Кредиты (Aave, Compound, DyDx, …)

Deriswap (в настоящее время находится на стадии аудита) объединяет свопы, опционы и кредиты в единый эффективный контракт капитала, позволяя взаимодействовать между двумя активами, составляющими пару.

Давайте рассмотрим пару ETH-BTC.

Свапы (обмен)

Контракт по обмену является стандартным Uniswap x * y = k. Поставщики ликвидности LPs обеспечивают ETH-BTC в качестве ликвидности. Трейдеры могут поменять ETH на BTC и наоборот. LPs зарабатывают торговую комиссию.

Ораклы (определители, предсказатели цен)

Оракл TWAP (он встроен в том числе в экосистему KP3R – замечание автора) был кастомизирован, чтобы получать информацию по торговой паре каждые 30 минут, это позволяет нам сообщать о реализованной дисперсии, реализованной волатильности, подразумеваемой волатильности (полученной из реализации опционных улыбок) и цене в произвольном выбранном временном ряду.

Опционы

Приведенные выше производные значения позволяют нам котировать опционы Call/Put с использованием Black Scholes. Это американские опционы, и они могут быть «извлечены» в любой момент времени. Расчет происходит в активах пары, поэтому call должен купить базовый актив, а пут – продать базовый актив.

Объединение свопов и опционов имеет интересное взаимодействие, опционы-это торговля на волатильности, торговые сборы-это хеджирование от волатильности.

Волатильность пары( +ve торговые сборы) компенсирует убытки от урегулированных опционов (-ve расчет). (схожая ликвидность майнинга в опционном протоколе Hegic описана в утренней статье – примечание автора)

Прим. автора: в моделе опционной торговли Hegic – выплачивается лишь разница в курсовой стоимости, тогда как в Deriswap будет реализована концепция поставки опционов. (т е в Hegic – купил call по 19к, заплатил премию 0,6к, BTC вырос до 25к, ты получил 25к-19к-0,6к = 5,4к, то у Андре – при купленном call – ты будешь иметь возможность получить базовый актив BTC по 19к – затраты на премию).

Полное исполнение опциона также было выбрано, поскольку поставщики ликвидности LPs имеют постоянную позицию по самой паре, если только прибыль урегулирована, что является постоянным убытком, однако если базовый уровень урегулирован, то это непостоянный убыток.

Исполнение опционов может происходить как в деньгах, так и вне денег. (прим. автора: Главное отличие от HEGIC!).

Фьючерсы

Фьючерсы расширяют и упрощают опционы, Вы платите премию, а также базовый актив, и это позволяет вам рассчитываться против другой пары в определенную пользователем будущую дату.

Займы

Займы будут предоставляться как в случае с фьючерсной моделью, т.е, вы платите премию, а также залог, и это обеспечивает вам заемный актив. Затем вы можете погасить заемный актив до определенной пользователем будущей даты или отказаться от обеспечения.

Вторичный рынок

Кредиты, фьючерсы и опционы-все это маркируется с помощью незаменяемых токенов (NFT), которые позволяют торговать/создавать вторичные рынки.

Вывод

Deriswap позволяет создать консолидированный, эффективный рынок капитала для торговли опционами, фьючерсами и кредитами, что позволяет поставщикам ликвидности LPs сохранять свой риск и получать дополнительные сборы и вознаграждения.»

Браво, мистер Андре. Нас ждёт четвертая часть увлекательного балета с новым токеном от Кронье.

Оригинал статьи:
https://andrecronje.medium.com/deriswap-capital-efficient-swaps-futures-options-and-loans-ea424b24a41c