ETH:簡析Asymetrix：基于LSD的非對稱收益分配協議

Asymetrix通過一種公正透明的機制，將所有質押者的收益集中分配給其中的少數幸運者，使他們獲得超額收益，而其他質押者則僅保本，不獲得任何收益。

對于資金規模有限的個人投資者而言，ETH質押所能帶來的年化收益率一般僅為5%左右，這難以激發他們的投資興趣。他們涉足加密貨幣市場的目的往往是尋求更高的回報率。Asymetrix為他們提供了這樣一種機會，即通過一種公正透明的機制，將所有質押者的收益集中分配給其中的少數幸運者，使他們獲得超額收益，而其他質押者則僅保本，不獲得任何收益。

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

用戶將質押的 ETH (stETH) 存入由智能合約支持的公共池中，一旦用戶向 Asymetrix 協議存款，智能合約就會以 1:1 的比例鑄造 PST（Pool Share Token）并將其發送到用戶的錢包。PST 代幣反映了用戶在協議中的份額，并且是提款所必需的。在當前版本的協議中，最低存款金額為 0.1 stETH。然而，存款不一定必須是 0.1 stETH 的倍數（即 0.11234 stETH 是可以接受的）。

慢霧：Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息，Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析，攻擊者（0x0d0...D00）獲利超 1 億美元，包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址，并將代幣兌換為 ETH，接著將 ETH 均轉回初始地址（0x0d0...D00），目前地址（0x0d0...D00）約 85,837 ETH 暫無轉移，同時，攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]

公共池每24小時產生一次收益；該池產生的收益由協議定期（目前每周一次）在池參與者之間隨機且不對稱地分配；

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

根據用戶在協議的 TVL 中站的比例，所有用戶都會收到 ASX 代幣獎勵作為初始分配。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

在中獎的情況下，用戶會自動以 PST（等同于 stETH 的金額）的形式獲得獎勵，因此用戶的余額會增加，這會自動增加進一步抽獎的幾率。因此，沒有必要每次都去領取獎勵。它將自動執行。

由于協議會隨著時間的推移累積收益，因此一個基本指標是用戶的 stETH 在池中的時間以及它為協議產生了多少收益。否則，加密巨鯨可能會在最后一刻以大筆存款進入協議，從而獲得巨大的賠率，并從小用戶那里“竊取”收益。

因此，影響賠率的第一個指標是TWAB（時間加權平均余額）。該指標顯示用戶對抽獎之間產生的池總收益的貢獻。如果兩次抽獎間隔為一周，一個用戶在池中質押了100stETH一周（即100%時間），那么它的TWAB值就是100。TWAB值決定用戶手里彩票的數量，彩票的總數量為池中所有用戶的TWAB值/最低存款數取整，用戶按照其TWAB值占總的比例來獲得相應數量的彩票，之后所有的彩票都會被進行散列化處理來獲得唯一id，協議向CHainlink VRF發送請求貨的隨機數，對返回隨機數取模來保證在門票數量范圍內，一旦出現符合要求的隨機數，則與彩票列表進行匹配，選出獲獎人。

協議采用AXS代幣作為治理代幣，通過持有AXS代幣，用戶可以參與治理過程，在那里他們可以對影響協議操作和性能的各種參數和策略提出和投票。例如，用戶可以決定有多少用戶將在每周抽獎中獲得收益的份額，收益將如何在他們之間分配，協議的資金將如何管理和分配，以及協議中應該實現哪些其他功能或改進。

AXS token應該是Asymetrix協議的治理token，也是捕獲協議增長價值的工具。但是，從目前的文檔來看，該協議并沒有明確的商業模式或收費結構，也沒有從協議產生的收益中收取任何費用。這意味著協議收益分配的所有利潤都給了將stETH存入協議的用戶，而AXS代幣持有者不會從協議的收入中獲得任何獎勵或股息。這也意味著AXS代幣在協議中沒有強烈的需求或效用，其價值完全取決于投機或治理參與。

該協議允許持有少量ETH的人加入令人興奮的LSDfi世界，在那里他們可以通過不對稱的收益分布享受高回報和隨機性。該協議也很容易使用，因為用戶只需要將stETH存入智能合約并等待每周的抽獎。然而，該協議的代幣經濟學設計上仍有很大改進空間，因為ASX代幣沒有明確的價值主張或激勵機制來協調用戶、開發人員和治理參與者的利益。

Go2 Mars Capital

個人專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：ETHORCFORFORCEetheral代表什么意義ORCAACU PlatformEfforce

Gateio