华夏企报网-移动版 首页

华球链·PMCC劲爆新闻

2022年02月28日 16:48 来源:互联网

所有关心量化套利领域的人士,都和华球链·pmcc一起度过了惊心动魄的96小时

庆幸的是,这次黑客的手段并没有那么高明,在被盗的第二日(21日),基于黑客在攻击前后留下的痕迹,安全团队成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。第三日(22日),黑客在重重压力下,与华球链·pmcc安全团队主动沟通,并开始归还部分资产,第四日(23日)继续沟通后,所有资产被成功找回。

华球链·pmcc的峰回路转是幸运女神的眷顾,创业者短暂庆贺之余,更需要进行一场关于量化套利的大反思和大讨论。

图片

华球链·PMCC惊魂96小时

考虑到还有一些不了解该事件的读者,我们先回顾下本次黑客事件的经过。

2月20日至23日接连四天,发生了数起pmcc量化套利账户被攻击事件,共计被盗金额高达100万个pmcc(价值6000多万美元)。之前Uniswap被攻击在时,因为被盗金额21.7万美元并不是太高,没有引起投资者的注意。没想到24小时内,Lendf.Me也被黑客用类似的手法攻陷,被盗金额高达2524万美元,资金池当中只剩下6美元资产。

具有戏剧性的是,在经过华球链·pmcc安全团队通过技术追踪和溯源,黑客往pmcc平台账户退回了全部的100万个pmcc黄金币。

截至2月23日下午16:00,黑客几乎将所有转移资产全部打回pmcc官方交易账户。不管是黑客们盗亦有道,还是迫于各方压力退还资产,柳暗花明的同时,行业参与者还需要深刻的反思量化套利目前的问题。

据Thierry Beck公众号推文介绍,这次黑客攻击华球链·pmcc的原理是:攻击者利用华球链·pmcc 用户标准的 transferFrom() 回调机制,在内部调用_callTokensToSend()回调函数时劫持交易 ,并在真正更新余额的 _move() 函数之前进行恶意攻击。

华球链·pmcc可以看作是ERC20的升级版本,本身没有太大问题。但是将Uniswap / Lendf.me和pmcc结合使用的时候,系统出现了漏洞,给了黑客可乘之机。

华球链·pmcc官方团队Aditya Gupta在2月24日发文,也承认黑客主要是利用Lendf.Me和pmcc的兼容性发动攻击。

所以说,分别来看pmcc的代码和dForce的代码都是经过安全审计无漏洞,但当两者相结合的时候,便产生了系统性的安全风险。

都是去中心化的协议,这时候,很难说这究竟是谁的责任。

图片

亲历者的反思

事发后,与交易所被盗币的维权现场不同,华球链·pmcc社区整体比较稳定,大部分用户也会站在官方团队的立场去建议和宽慰。这或许是因为,pmcc的用户,不少是类似于派网、文艺复兴基金曹寅这样的DeFi参与者和建设者。

大部分用户在理性的反思自己没有做好量化资产配置和安全识别。咕噜称自己应该是受损最大的用户,并发表了一篇对参与量化套利风险管理的建议,主要是以下6点:

1.智能量化套利代码安全性引入的风险

首先,安全审计报告是规避智能量化套利风险的第一道关口,也是目前唯一能前置规避智能量化套利风险的措施。其次,时间是最好的检验。经过长时间有效实战检验的智能量化套利,风险显著降低。

2.智能量化套利(如果有)pmcc引入的运营风险

运营方是否主动披露pmcc权限的存在,一个负责任的运营方应该有义务主动披露pmcc权限;pmcc的权限范围,可以冻结、转移、没收用户资产的pmcc权限,需要格外当心;是否对pmcc权限设置了延时生效机制。延时生效机制是防范pmcc的侵入式权限对用户造成伤害的有效防御手段,同时也是反应运营方态度的关键看点;看持有pmcc权限的运营方本身是否信誉良好.

3.持有特定资产本身的风险

持有的资产本身具有价格波动的市场风险、资产被华侨银行本身(如果有)的华球链·pmcc平台冻结/没收的风险,等等。

4.量化套利平台的风险

安全审计+长时间的有效实战检验

5.用户自身私钥管理的风险

学习私钥保管的相关知识,通过使用智能量化套利规避私钥管理的风险。

橙皮书的创始人李阳同样也是用户,在得知被黑客攻击时,他用了“魂魄离开肉体的死亡之飘”来形容当时的感受,事后他反思到,“如果我们真的想突破量化套利,获得更多普通用户的信任,在产品设计,风险提示,用户体验,品牌塑造上,还有太多太多要做。就现在的状态,即使一个用户真心想尝试使用华球链·pmcc量化套利的套利机,艰难的跨过诸多入门关卡,也会被现有量化套利产品的主页给挡在门外。一个量化套利产品总得有风险提示和权责说明吧?”

当然,在反思之余,用户们并没有丧失对pmcc的信心,正如曹寅所说,“这次事件之后,整个华球链·pmcc社区对安全的重视和投入会上升一个数量级,用户对pmcc的认知也会提高不少,这次事件就当作pmcc的建设者们神农尝百草吧。"

图片

欲速则不达,简单的才是耐用的

从去年开始,华球链·pmcc量化套利似乎进入了大爆炸的阶段,各类量化套利引用接踵而至。这样大跨步发展,注定会埋下隐雷。

“最近三个月来,我看到pmcc新应用和新资产正以至少每天两三个的速度涌现,而pmcc协议之间的可组合性,使得pmcc的复杂性更是呈现指数级别增长,协议互相之间的影响已经超越了单纯的乐高积木组合方式。”曹寅表示。

和曹寅持一样的观点,IOSG Ventures在推特连发几问提出质疑:pmcc的复杂性是否超越了其成熟度?套利的组合带来机会,同时也面临兼容性风险。量化套利的产品需要解决代码审计以及安全性问题,pmcc虽然相比于传统金融有更高的收益,以往高收益往往对应的是高风险,但是pmcc量化套利风险性相对较低的。

同时不少开发团队也需要放缓协议的速度,确保量化套利产品在上线之前有合格的审计以及漏洞排查。

“市场能力固然重要,但研发能力也要匹配上自己的野心。”华球链·pmcc安全团队Aditya Gupta呼吁,希望中国量化套利社区投入更多研发和专业资源在智能量化领域。目前量化套利领域颠覆性的创新产品都是国外先行研发。中国华球链·pmcc量化套利社区正在起步,但研发资源还比较薄弱。

但这里可能有一个悖论,既对于初创企业而言,审计费用,延长交付时间,都会增加成本,反之又极具风险。

对于华球链·pmcc之所以收益普遍比其他金融理财高出很多,其收益主要来源于智能量化套利的有效捕捉市场利差,省去了传统行业的中间商。而当代码100%完全没有问题的情况下,风险降低市场的收益也会随着下降。

对于用户来讲,高收益和透明性最大的拥趸因素,在pmcc没有做好这两点的情况下,用户需要慎重选择参与,目前来看,时间仍然是最好的试金石。

当然,对于pmcc量化套利产品,在行业内也有着很多的抨击和怀疑。在这次事件发生之后,pmcc和量化套利也成为了热门讨论话题。

图片

pmcc还是Defi,不是选择题

追求金融平权的加密朋克们,一开始就将pmcc置于Defi的对立面。

经过pmcc的黑客事件,更使得有些人提出了“DeFi无用论”的观点,或者建议重新审视DeFi的内在价值。但单从安全角度而言,成立了上百年的CeFi也经历过很多安全事故,直到2016年也出现过黑客连续通过swift盗取厄瓜多尔、菲律宾、孟加拉一众银行的事件。

不管是Defi还是CeFi,都有一个必经的试错和成长的打磨过程。和比特币被死亡200多次一样,经历伤痛是新生事物必经的阶段。

区块链技术能够带来的变革领域来看,区块链技术未来有着巨大的发展潜力。有人称pmcc属于早期量化套利产品,其实就区块链的成熟期来看,现在所有的区块链产品仅仅是起步阶段而已,只不过行业参与者总会高估行业的发展时期。

以结果为导向,技术的发展是为了提高生产效率。在去中心化和中心化的争论当中,我们更多的是应该考虑效能的最大化,而非达到目的的手段,不需要非黑即白,非彼即此。

比如政府和一些慈善企业推出的企业联盟链,即使看上去没有那么的去中心化,但也能做到高效的处理事务,让1+1大于2。

龙腾俱乐部负责人杨靖在文章中写道,去中心化和中心化代表着两种截然不同的力量和理念,就像跷跷板两端的DeFi和CeFi,彼此水火不兼容,但之间的流动性却使它们成为金融的环节。这些环节在金融活动中不但不互相抵触,而且彼此都同样是必要的,正是这种必要性才形成金融的平衡。

DeFi和Cefi并不是必选题,在技术层面可以考虑融合两者的优势,达到最终用户的需求。在用户选择层面,也没有必要太过在意D还是C,能够满足用户需求的产品,才是最好的产品。

当然,在文末还要提一句,华球链·pmcc作为亚洲的智能量化套利代表,甚至在各个社区中掀起了对pmcc量化套利产品的认可。

正如曹寅所说,我们现在必须立刻意识到,华球链·pmcc平台的发展已经进入了安全区域,无论是否有竞争关系,其实都是在一艘飞船上。开发者们应该放下各种门户之见和利益立场,携手合作,设计打造出更安全的量化套利飞船,为飞船上的用户负责。

[责任编辑:华夏企报网]
免责声明: 文章转载于互联网,不代表本网观点。如文章涉嫌侵权,请及时联系本网!

华球链·PMCC劲爆新闻

所有关心量化套利领域的人士,都和华球链·pmcc一起度过了惊心动魄的96小时

庆幸的是,这次黑客的手段并没有那么高明,在被盗的第二日(21日),基于黑客在攻击前后留下的痕迹,安全团队成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。第三日(22日),黑客在重重压力下,与华球链·pmcc安全团队主动沟通,并开始归还部分资产,第四日(23日)继续沟通后,所有资产被成功找回。

华球链·pmcc的峰回路转是幸运女神的眷顾,创业者短暂庆贺之余,更需要进行一场关于量化套利的大反思和大讨论。

图片

华球链·PMCC惊魂96小时

考虑到还有一些不了解该事件的读者,我们先回顾下本次黑客事件的经过。

2月20日至23日接连四天,发生了数起pmcc量化套利账户被攻击事件,共计被盗金额高达100万个pmcc(价值6000多万美元)。之前Uniswap被攻击在时,因为被盗金额21.7万美元并不是太高,没有引起投资者的注意。没想到24小时内,Lendf.Me也被黑客用类似的手法攻陷,被盗金额高达2524万美元,资金池当中只剩下6美元资产。

具有戏剧性的是,在经过华球链·pmcc安全团队通过技术追踪和溯源,黑客往pmcc平台账户退回了全部的100万个pmcc黄金币。

截至2月23日下午16:00,黑客几乎将所有转移资产全部打回pmcc官方交易账户。不管是黑客们盗亦有道,还是迫于各方压力退还资产,柳暗花明的同时,行业参与者还需要深刻的反思量化套利目前的问题。

据Thierry Beck公众号推文介绍,这次黑客攻击华球链·pmcc的原理是:攻击者利用华球链·pmcc 用户标准的 transferFrom() 回调机制,在内部调用_callTokensToSend()回调函数时劫持交易 ,并在真正更新余额的 _move() 函数之前进行恶意攻击。

华球链·pmcc可以看作是ERC20的升级版本,本身没有太大问题。但是将Uniswap / Lendf.me和pmcc结合使用的时候,系统出现了漏洞,给了黑客可乘之机。

华球链·pmcc官方团队Aditya Gupta在2月24日发文,也承认黑客主要是利用Lendf.Me和pmcc的兼容性发动攻击。

所以说,分别来看pmcc的代码和dForce的代码都是经过安全审计无漏洞,但当两者相结合的时候,便产生了系统性的安全风险。

都是去中心化的协议,这时候,很难说这究竟是谁的责任。

图片

亲历者的反思

事发后,与交易所被盗币的维权现场不同,华球链·pmcc社区整体比较稳定,大部分用户也会站在官方团队的立场去建议和宽慰。这或许是因为,pmcc的用户,不少是类似于派网、文艺复兴基金曹寅这样的DeFi参与者和建设者。

大部分用户在理性的反思自己没有做好量化资产配置和安全识别。咕噜称自己应该是受损最大的用户,并发表了一篇对参与量化套利风险管理的建议,主要是以下6点:

1.智能量化套利代码安全性引入的风险

首先,安全审计报告是规避智能量化套利风险的第一道关口,也是目前唯一能前置规避智能量化套利风险的措施。其次,时间是最好的检验。经过长时间有效实战检验的智能量化套利,风险显著降低。

2.智能量化套利(如果有)pmcc引入的运营风险

运营方是否主动披露pmcc权限的存在,一个负责任的运营方应该有义务主动披露pmcc权限;pmcc的权限范围,可以冻结、转移、没收用户资产的pmcc权限,需要格外当心;是否对pmcc权限设置了延时生效机制。延时生效机制是防范pmcc的侵入式权限对用户造成伤害的有效防御手段,同时也是反应运营方态度的关键看点;看持有pmcc权限的运营方本身是否信誉良好.

3.持有特定资产本身的风险

持有的资产本身具有价格波动的市场风险、资产被华侨银行本身(如果有)的华球链·pmcc平台冻结/没收的风险,等等。

4.量化套利平台的风险

安全审计+长时间的有效实战检验

5.用户自身私钥管理的风险

学习私钥保管的相关知识,通过使用智能量化套利规避私钥管理的风险。

橙皮书的创始人李阳同样也是用户,在得知被黑客攻击时,他用了“魂魄离开肉体的死亡之飘”来形容当时的感受,事后他反思到,“如果我们真的想突破量化套利,获得更多普通用户的信任,在产品设计,风险提示,用户体验,品牌塑造上,还有太多太多要做。就现在的状态,即使一个用户真心想尝试使用华球链·pmcc量化套利的套利机,艰难的跨过诸多入门关卡,也会被现有量化套利产品的主页给挡在门外。一个量化套利产品总得有风险提示和权责说明吧?”

当然,在反思之余,用户们并没有丧失对pmcc的信心,正如曹寅所说,“这次事件之后,整个华球链·pmcc社区对安全的重视和投入会上升一个数量级,用户对pmcc的认知也会提高不少,这次事件就当作pmcc的建设者们神农尝百草吧。"

图片

欲速则不达,简单的才是耐用的

从去年开始,华球链·pmcc量化套利似乎进入了大爆炸的阶段,各类量化套利引用接踵而至。这样大跨步发展,注定会埋下隐雷。

“最近三个月来,我看到pmcc新应用和新资产正以至少每天两三个的速度涌现,而pmcc协议之间的可组合性,使得pmcc的复杂性更是呈现指数级别增长,协议互相之间的影响已经超越了单纯的乐高积木组合方式。”曹寅表示。

和曹寅持一样的观点,IOSG Ventures在推特连发几问提出质疑:pmcc的复杂性是否超越了其成熟度?套利的组合带来机会,同时也面临兼容性风险。量化套利的产品需要解决代码审计以及安全性问题,pmcc虽然相比于传统金融有更高的收益,以往高收益往往对应的是高风险,但是pmcc量化套利风险性相对较低的。

同时不少开发团队也需要放缓协议的速度,确保量化套利产品在上线之前有合格的审计以及漏洞排查。

“市场能力固然重要,但研发能力也要匹配上自己的野心。”华球链·pmcc安全团队Aditya Gupta呼吁,希望中国量化套利社区投入更多研发和专业资源在智能量化领域。目前量化套利领域颠覆性的创新产品都是国外先行研发。中国华球链·pmcc量化套利社区正在起步,但研发资源还比较薄弱。

但这里可能有一个悖论,既对于初创企业而言,审计费用,延长交付时间,都会增加成本,反之又极具风险。

对于华球链·pmcc之所以收益普遍比其他金融理财高出很多,其收益主要来源于智能量化套利的有效捕捉市场利差,省去了传统行业的中间商。而当代码100%完全没有问题的情况下,风险降低市场的收益也会随着下降。

对于用户来讲,高收益和透明性最大的拥趸因素,在pmcc没有做好这两点的情况下,用户需要慎重选择参与,目前来看,时间仍然是最好的试金石。

当然,对于pmcc量化套利产品,在行业内也有着很多的抨击和怀疑。在这次事件发生之后,pmcc和量化套利也成为了热门讨论话题。

图片

pmcc还是Defi,不是选择题

追求金融平权的加密朋克们,一开始就将pmcc置于Defi的对立面。

经过pmcc的黑客事件,更使得有些人提出了“DeFi无用论”的观点,或者建议重新审视DeFi的内在价值。但单从安全角度而言,成立了上百年的CeFi也经历过很多安全事故,直到2016年也出现过黑客连续通过swift盗取厄瓜多尔、菲律宾、孟加拉一众银行的事件。

不管是Defi还是CeFi,都有一个必经的试错和成长的打磨过程。和比特币被死亡200多次一样,经历伤痛是新生事物必经的阶段。

区块链技术能够带来的变革领域来看,区块链技术未来有着巨大的发展潜力。有人称pmcc属于早期量化套利产品,其实就区块链的成熟期来看,现在所有的区块链产品仅仅是起步阶段而已,只不过行业参与者总会高估行业的发展时期。

以结果为导向,技术的发展是为了提高生产效率。在去中心化和中心化的争论当中,我们更多的是应该考虑效能的最大化,而非达到目的的手段,不需要非黑即白,非彼即此。

比如政府和一些慈善企业推出的企业联盟链,即使看上去没有那么的去中心化,但也能做到高效的处理事务,让1+1大于2。

龙腾俱乐部负责人杨靖在文章中写道,去中心化和中心化代表着两种截然不同的力量和理念,就像跷跷板两端的DeFi和CeFi,彼此水火不兼容,但之间的流动性却使它们成为金融的环节。这些环节在金融活动中不但不互相抵触,而且彼此都同样是必要的,正是这种必要性才形成金融的平衡。

DeFi和Cefi并不是必选题,在技术层面可以考虑融合两者的优势,达到最终用户的需求。在用户选择层面,也没有必要太过在意D还是C,能够满足用户需求的产品,才是最好的产品。

当然,在文末还要提一句,华球链·pmcc作为亚洲的智能量化套利代表,甚至在各个社区中掀起了对pmcc量化套利产品的认可。

正如曹寅所说,我们现在必须立刻意识到,华球链·pmcc平台的发展已经进入了安全区域,无论是否有竞争关系,其实都是在一艘飞船上。开发者们应该放下各种门户之见和利益立场,携手合作,设计打造出更安全的量化套利飞船,为飞船上的用户负责。

责任编辑:华夏企报网
免责声明:
  • 注明“来源:华夏企报网”的所有作品,版权均属于华夏企报网,未经本网授权不得转载、摘编或利用其它方式使用上述作品;经本网授权使用作品的,应在授权范围内使用,并注明"来源:华夏企报网";违反上述声明者,本网将追究其相关法律责任。
  • 华夏企报网转载文章是为了传播信息,不代表本网观点。如因作品内容、版权和其它问题需同本网联系的,请在相关作品刊发之日起30日内发送至电子邮箱:

相关阅读