Forwarded from Horizon
yDAI 볼트는 DAI를 커브의 3Crv 풀에 예치하고 3Crv LP토큰을 받은 후, 여기에서 리워드로 나오는 CRV 토큰을 매번 DAI로 다시 교환해 다시 3Crv 풀에 예치하는 방식으로 복리이자를 구현하는 strategy를 사용한다. USDT/USDC 볼트와 앞에 ‘crv’가 붙은 커브 메타풀 볼트들도 이와 마찬가지 방식을 사용하며, yETH 볼트의 경우 (i) 예치된 ETH로 메이커에서 CDP를 열어 DAI를 발행하고, (ii) 이를 다시 yDAI 볼트에 예치하는 방법을 사용한다. 이 때 실제로 DAI를 메이커에서 대출해가는 entity는 curve.fi 프로토콜이므로, DAI 수요가 높아져서 유동성이 상대적으로 낮아지면 yETH 볼트를 사용해 아비트라지를 수행할 수 있다. 그만큼 3Crv 토큰을 더 많이 받아갈 수 있기 때문이다. (실제로 yETH 볼트가 DAI의 고질적인 수요 - 공급 mismatch에 따른 프리미엄 해소에 기여하고 있다는 평가를 받기도 한다).
여기서 모든 것이 “아비트라지” 기반으로 돌아간다는 사실을 눈여겨볼 필요가 있다. 만약 아비트라지가 기대했던 것과 정반대로 발생해버리면 어떻게 될까?
5.
다음의 공격 트랜잭션을 눈여겨보자. https://etherscan.io/tx/0x59faab5a1911618064f1ffa1e4649d85c99cfd9f0d64dcebbc1af7d7630da98b
안드레가 최초로 발견한 문제의 볼트 공격 트랜잭션인데, 이 하나의 트랜잭션 안에서 다음의 일들이 순차적으로 발생했다.
(i) dYdX에서 117K ETH를 플래시론한다.
(ii) Aave에서 111K ETH를 플래시론한다.
(iii) 총합 228K ETH를 컴파운드에 담보로 예치한다. 따라서 약 11M cETH가 발행되었다.
(iv) 11M cETH를 다시 각각 143.4M DAI와 133M USDC를 컴파운드에서 대출해오는 데에 사용한다.
(v) 대출해온 143M DAI 중 38M DAI로 커브 3Crv 풀에 유동성을 제공하고, 3Crv 토큰을 받아온다.
-> 이에 따라 DAI 쪽으로 3Crv 풀의 유동성이 쏠렸다. 이 글을 작성하는 현재 3Crv 풀에 예치된 DAI는 210M DAI다.
(vi) 대출해온 133M USDC 전체를 3Crv 풀에 예치하고, 3Crv 토큰을 받아온다.
-> USDC 쪽으로 풀의 유동성이 더 쏠린다. 이 글을 작성하는 현재 3Crv 풀에 예치된 USDC는 233M USDC다.
(vii) 받아온 3Crv 토큰 대부분인 169M 3Crv를 다시 풀 유동성 제거에 사용해, 167M USDT를 받아온다.
-> 유동성을 제공할 때는 거액의 USDC와 DAI를 예치했지만, 제거할 때는 거액의 USDT를 출금했다. 이에 따라 3Crv 풀에서 USDT 유동성의 80%에 가까운 금액이 공격자에 의해 빼앗겼다 (현 유동성 207M USDT). 공격의 영향이 아직 풀에 남아있지만, 현 유동성 기준으로 계산해보면 위 세 오퍼레이션이 일어난 이후 248M DAI, 366M USDC, 40M USDT가 풀에 남아있는 모양이 된다. USDT의 비중은 본래 31%에서 6% 이하로 떨어졌다. 이 정도면 아무리 레버리지를 적용하더라도 3Crv 발행량에 유의미한 영향을 미칠 수 있을 정도의 수준이다.
(viii) 남은 105.4M DAI를 yDAI 볼트에 예치한다. 공격자는 95M yDAI 토큰을 수령하고, yearn은 해당 DAI를 3Crv 풀에 예치해 3Crv 토큰을 받아와…야 하는데 위의 공격의 영향으로 인해 실제 받아와야 하는 3Crv보다 적은 102M 3Crv를 수령했다. 비율상으로는 1:1에 아직 가깝긴 한데 (스테이블스왑이 버텨줘서), 그래도 절대적인 액수가 워낙 커서 양쪽으로 거의 3M개가 차이난다. yearn은 해당 3Crv를 다시 3Crv 볼트에 예치해 y3Crv를 발행한다.
(ix) 제거한 167M USDT를 다시 풀에 돌려놓는다. 이렇게 되면 다시 3Crv 풀의 유동성 균형이 어느 정도 돌아온다.
(x) 95M yDAI를 볼트에 보내 소각하고 다시 DAI로 바꿔온다. 엥, 그런데 생각해보니 그 사이에 3Crv 풀의 균형이 바뀌었다. 원래 받아야 할 3Crv 개수보다 적게 받은 상황에서, 풀의 균형이 돌아오고 난 이후 다시 3Crv를 DAI로 바꿔오려니 yDAI 볼트가 받아야 할 DAI보다 토큰을 적게 받게 된다. 받아보니 103.6M DAI 정도를 돌려받았다. 즉, 다시 말해 볼트가 0.7M DAI 정도 손해를 본 것이다.
(xi) 위의 (viii) - (x)를 DAI 액수를 조금씩 줄여가면서 반복한다. 유동성 균형이 지속적으로 깨지므로 매번 액수를 줄여가며 공격해야 더 많은 액수를 풀에 남겨둘 수 있기 때문이다.
(xii) 5번 반복한 후, 3Crv로 USDT의 유동성을 제거하는 대신 남은 3Crv 전체를 사용해 DAI와 USDC의 유동성을 제거한다. 풀이 133M USDC와 41M DAI를 반환했으므로 원래 대출해온 DAI보다 3M DAI가 더 남았다.
(xiii) 모든 부채를 다시 되갚는다.
위의 과정을 여러 트랜잭션에 걸쳐 반복하면 yDAI 볼트의 잔액을 점진적으로 제거할 수 있다.
이러한 공격이 발생할 수 있었던 원인은 크게 두 가지인데, 첫 번째는 슬리피지 보호치가 1%로 지나치게 유연하게 설정되어 있었고, 두 번째는 v1 볼트였던 탓에 마음대로 earn()을 호출해 strategy 컨트랙트로 잔액을 마음대로 넣을 수 있었다는 것이다 (해당 권한 문제는 v2에서 패치되었다). v1 -> v2 마이그레이션이 진행중이었으므로 0.5% exit fee가 면제되고 있었던 것도 어느 정도 영향은 주었겠지만 절대적이지는 않았던 듯하다.
Curve strategy를 공유하는 모든 v1 yearn 볼트는 동일한 문제점을 가지고 있으므로, 현 시점에서 모두 폐쇄된 상태다. 커뮤니티 YFI를 담보로 DAI를 발행해 사용자들의 손해를 메꿔주자는 보상안이 발표되었으나 근본적인 해결책이 될지는 아직 미지수다.
6.
이쯤 되면 디파이에서의 취약점은 단순 기술 문제만이 아니라, 여러 프로토콜들에 걸쳐져서 존재하는, 간과하고 넘어가기 쉬운 약간의 기술적인 결함들과 간과하고 넘어가기 쉬운 약간의 금융공학적인 결함들이 합쳐져서 발생하는 것이 아닌가 싶다.
즉, 기술적인 난점들과 금융공학적인 난점들을 동시에 이해하고 파악하고 있어야 대비 및 대응이 가능하다는 것인데, 그럴 만한 능력이 있는 사람이 지구상에 몇이나 될까 싶다. 모든 결점들과 퍼즐 조각을 맞춰 저 취약점을 찾아낸 사람도, 그걸 38분 만에 찾아내 11분 만에 패치해낸 yearn 팀도 대단하다.
블록체인의 몇 안 되는 유일한 유즈 케이스 중 하나는 똑똑한 사람들끼리의 전쟁을 통한 계층상승이라는 말을 들은 적이 있다. 그렇게 되지 않기를 바라지만, 도저히 예측 불가능한 지점에서 계속해서 사고가 터지면 결국 정말 organic한 사용자는 다 빠져나가고 똑똑한 사람들끼리의 금융전쟁터 정도로만 남게 되지 않을까.
여러 방면에서 지속적으로 고민할 필요가 있어보인다.
여기서 모든 것이 “아비트라지” 기반으로 돌아간다는 사실을 눈여겨볼 필요가 있다. 만약 아비트라지가 기대했던 것과 정반대로 발생해버리면 어떻게 될까?
5.
다음의 공격 트랜잭션을 눈여겨보자. https://etherscan.io/tx/0x59faab5a1911618064f1ffa1e4649d85c99cfd9f0d64dcebbc1af7d7630da98b
안드레가 최초로 발견한 문제의 볼트 공격 트랜잭션인데, 이 하나의 트랜잭션 안에서 다음의 일들이 순차적으로 발생했다.
(i) dYdX에서 117K ETH를 플래시론한다.
(ii) Aave에서 111K ETH를 플래시론한다.
(iii) 총합 228K ETH를 컴파운드에 담보로 예치한다. 따라서 약 11M cETH가 발행되었다.
(iv) 11M cETH를 다시 각각 143.4M DAI와 133M USDC를 컴파운드에서 대출해오는 데에 사용한다.
(v) 대출해온 143M DAI 중 38M DAI로 커브 3Crv 풀에 유동성을 제공하고, 3Crv 토큰을 받아온다.
-> 이에 따라 DAI 쪽으로 3Crv 풀의 유동성이 쏠렸다. 이 글을 작성하는 현재 3Crv 풀에 예치된 DAI는 210M DAI다.
(vi) 대출해온 133M USDC 전체를 3Crv 풀에 예치하고, 3Crv 토큰을 받아온다.
-> USDC 쪽으로 풀의 유동성이 더 쏠린다. 이 글을 작성하는 현재 3Crv 풀에 예치된 USDC는 233M USDC다.
(vii) 받아온 3Crv 토큰 대부분인 169M 3Crv를 다시 풀 유동성 제거에 사용해, 167M USDT를 받아온다.
-> 유동성을 제공할 때는 거액의 USDC와 DAI를 예치했지만, 제거할 때는 거액의 USDT를 출금했다. 이에 따라 3Crv 풀에서 USDT 유동성의 80%에 가까운 금액이 공격자에 의해 빼앗겼다 (현 유동성 207M USDT). 공격의 영향이 아직 풀에 남아있지만, 현 유동성 기준으로 계산해보면 위 세 오퍼레이션이 일어난 이후 248M DAI, 366M USDC, 40M USDT가 풀에 남아있는 모양이 된다. USDT의 비중은 본래 31%에서 6% 이하로 떨어졌다. 이 정도면 아무리 레버리지를 적용하더라도 3Crv 발행량에 유의미한 영향을 미칠 수 있을 정도의 수준이다.
(viii) 남은 105.4M DAI를 yDAI 볼트에 예치한다. 공격자는 95M yDAI 토큰을 수령하고, yearn은 해당 DAI를 3Crv 풀에 예치해 3Crv 토큰을 받아와…야 하는데 위의 공격의 영향으로 인해 실제 받아와야 하는 3Crv보다 적은 102M 3Crv를 수령했다. 비율상으로는 1:1에 아직 가깝긴 한데 (스테이블스왑이 버텨줘서), 그래도 절대적인 액수가 워낙 커서 양쪽으로 거의 3M개가 차이난다. yearn은 해당 3Crv를 다시 3Crv 볼트에 예치해 y3Crv를 발행한다.
(ix) 제거한 167M USDT를 다시 풀에 돌려놓는다. 이렇게 되면 다시 3Crv 풀의 유동성 균형이 어느 정도 돌아온다.
(x) 95M yDAI를 볼트에 보내 소각하고 다시 DAI로 바꿔온다. 엥, 그런데 생각해보니 그 사이에 3Crv 풀의 균형이 바뀌었다. 원래 받아야 할 3Crv 개수보다 적게 받은 상황에서, 풀의 균형이 돌아오고 난 이후 다시 3Crv를 DAI로 바꿔오려니 yDAI 볼트가 받아야 할 DAI보다 토큰을 적게 받게 된다. 받아보니 103.6M DAI 정도를 돌려받았다. 즉, 다시 말해 볼트가 0.7M DAI 정도 손해를 본 것이다.
(xi) 위의 (viii) - (x)를 DAI 액수를 조금씩 줄여가면서 반복한다. 유동성 균형이 지속적으로 깨지므로 매번 액수를 줄여가며 공격해야 더 많은 액수를 풀에 남겨둘 수 있기 때문이다.
(xii) 5번 반복한 후, 3Crv로 USDT의 유동성을 제거하는 대신 남은 3Crv 전체를 사용해 DAI와 USDC의 유동성을 제거한다. 풀이 133M USDC와 41M DAI를 반환했으므로 원래 대출해온 DAI보다 3M DAI가 더 남았다.
(xiii) 모든 부채를 다시 되갚는다.
위의 과정을 여러 트랜잭션에 걸쳐 반복하면 yDAI 볼트의 잔액을 점진적으로 제거할 수 있다.
이러한 공격이 발생할 수 있었던 원인은 크게 두 가지인데, 첫 번째는 슬리피지 보호치가 1%로 지나치게 유연하게 설정되어 있었고, 두 번째는 v1 볼트였던 탓에 마음대로 earn()을 호출해 strategy 컨트랙트로 잔액을 마음대로 넣을 수 있었다는 것이다 (해당 권한 문제는 v2에서 패치되었다). v1 -> v2 마이그레이션이 진행중이었으므로 0.5% exit fee가 면제되고 있었던 것도 어느 정도 영향은 주었겠지만 절대적이지는 않았던 듯하다.
Curve strategy를 공유하는 모든 v1 yearn 볼트는 동일한 문제점을 가지고 있으므로, 현 시점에서 모두 폐쇄된 상태다. 커뮤니티 YFI를 담보로 DAI를 발행해 사용자들의 손해를 메꿔주자는 보상안이 발표되었으나 근본적인 해결책이 될지는 아직 미지수다.
6.
이쯤 되면 디파이에서의 취약점은 단순 기술 문제만이 아니라, 여러 프로토콜들에 걸쳐져서 존재하는, 간과하고 넘어가기 쉬운 약간의 기술적인 결함들과 간과하고 넘어가기 쉬운 약간의 금융공학적인 결함들이 합쳐져서 발생하는 것이 아닌가 싶다.
즉, 기술적인 난점들과 금융공학적인 난점들을 동시에 이해하고 파악하고 있어야 대비 및 대응이 가능하다는 것인데, 그럴 만한 능력이 있는 사람이 지구상에 몇이나 될까 싶다. 모든 결점들과 퍼즐 조각을 맞춰 저 취약점을 찾아낸 사람도, 그걸 38분 만에 찾아내 11분 만에 패치해낸 yearn 팀도 대단하다.
블록체인의 몇 안 되는 유일한 유즈 케이스 중 하나는 똑똑한 사람들끼리의 전쟁을 통한 계층상승이라는 말을 들은 적이 있다. 그렇게 되지 않기를 바라지만, 도저히 예측 불가능한 지점에서 계속해서 사고가 터지면 결국 정말 organic한 사용자는 다 빠져나가고 똑똑한 사람들끼리의 금융전쟁터 정도로만 남게 되지 않을까.
여러 방면에서 지속적으로 고민할 필요가 있어보인다.
Ethereum (ETH) Blockchain Explorer
Ethereum Transaction Hash (Txhash) Details | Etherscan
Ethereum (ETH) detailed transaction info for txhash 0x59faab5a1911618064f1ffa1e4649d85c99cfd9f0d64dcebbc1af7d7630da98b. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.
Forwarded from 취미생활방📮
아시아경제
[속보]현대차, 애플과 자율주행차량 개발 협의 진행 안해
블록워터, 디지털 자산 커스터디 서비스 ‘바이프라임’ 지분 전량 인수
https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=014&aid=0004581088
(주)블록워터매니지먼트에서 바이프라임 지분 전부인수
(산하)
- 블록워터테크놀로지스 : 퀀트리서치
- 바이프라임 : 투자.수탁.운용 전문
수직계열화 완성으로 포트폴리오 강화에 전략적 투자
향후 디파이 연계지원과 디지털자산 종합금융서비스 빌딩을 위한 초석을 다지는 행보임을 천명
https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=014&aid=0004581088
(주)블록워터매니지먼트에서 바이프라임 지분 전부인수
(산하)
- 블록워터테크놀로지스 : 퀀트리서치
- 바이프라임 : 투자.수탁.운용 전문
수직계열화 완성으로 포트폴리오 강화에 전략적 투자
향후 디파이 연계지원과 디지털자산 종합금융서비스 빌딩을 위한 초석을 다지는 행보임을 천명
Forwarded from Digitalasset Korea 이슈/뉴스 (Vitamin Lemon)
https://www.blockmedia.co.kr/archives/169365
#이번 결정을 내린 사람들
테슬라의 비트코인 투자 및 결제 채택. 가능성과 위험성을 평가한 사람들은 누구일까요. 머스크의 제안을 승인한 감사위원회 면면이 흥미롭습니다. 위원들이 자신이 속한 조직에서도 비트코인 투자나 결제를 진행할 수 있으니까요.
위원장은 로빈 덴홀름. 테슬라 이사회 의장입니다. 주피터네트워크, 도요타 호주 등에서 활동했습니다. 위원은 안토니오 그라시아스(투자회사 발로르 CEO), 히로미치 미주노(금융전문가), 제임스 머독 등입니다. 제임스 머독? ★월스트리트저널을 소유한 루퍼트 머독 뉴스코프 회장의 아들입니다★ 비트코인이 인싸 중의 인싸 속으로 들어왔네요.
#이번 결정을 내린 사람들
테슬라의 비트코인 투자 및 결제 채택. 가능성과 위험성을 평가한 사람들은 누구일까요. 머스크의 제안을 승인한 감사위원회 면면이 흥미롭습니다. 위원들이 자신이 속한 조직에서도 비트코인 투자나 결제를 진행할 수 있으니까요.
위원장은 로빈 덴홀름. 테슬라 이사회 의장입니다. 주피터네트워크, 도요타 호주 등에서 활동했습니다. 위원은 안토니오 그라시아스(투자회사 발로르 CEO), 히로미치 미주노(금융전문가), 제임스 머독 등입니다. 제임스 머독? ★월스트리트저널을 소유한 루퍼트 머독 뉴스코프 회장의 아들입니다★ 비트코인이 인싸 중의 인싸 속으로 들어왔네요.
블록미디어
[초점] 테슬라, 보유현금 7.7% 비트코인에 투자...노림수가 뭐냐? | 블록미디어
테슬라는 왜 비트코인에 투자했을까요? 일론 머스크가 비트코인 같은 암호화폐를 좋아해서? 머스크는 기업인이죠. 즉흥적으로 행동하는 것 같지만 노림수가 있는 것 같아요. 우선 테슬라가 증권거래위원회(SEC)에 제출한 10K 서류를 자세히 살펴봤습니다. # 비트코인 15억
Forwarded from Deleted Account
2021/02/09 ☀️바이프라임 Daily News
☀️테슬라 "15억달러 BTC 매수, 가까운 미래에 결제 지원"
☝🏻"BTC 가치 $4만5천 돌파"
🌤카르다노 재단 CEO "블록체인, 'GME 사태' 막을 수 있다"
☝🏻공매도와의 전쟁이었던 게임스톱 사태
☀️제미니 창업자 "ETH 가치, 여전히 저평가"
☝🏻"ETH 가치 $1600 돌파"
☀️프리즘그룹 임원 "美 금융기관, 기술보다 암호화폐 자체로 관심 이동"
☝🏻암호화폐 상세 법령을 준비하는 금융기관들의 행보.
☀️NFT 기반 예술품 거래량 8,000만 달러… 매달 증가
☝🏻 암호화 예술분야의 대표 디지털 아티스트의 작품, 항시 구입가능!
☀️한은 보고서 "CBDC, 법화 지위 부여 가능…법 개정 필요"
☝🏻CBDC 발행 방법으로 '도매'로 제안?
☀️테슬라 "15억달러 BTC 매수, 가까운 미래에 결제 지원"
☝🏻"BTC 가치 $4만5천 돌파"
🌤카르다노 재단 CEO "블록체인, 'GME 사태' 막을 수 있다"
☝🏻공매도와의 전쟁이었던 게임스톱 사태
☀️제미니 창업자 "ETH 가치, 여전히 저평가"
☝🏻"ETH 가치 $1600 돌파"
☀️프리즘그룹 임원 "美 금융기관, 기술보다 암호화폐 자체로 관심 이동"
☝🏻암호화폐 상세 법령을 준비하는 금융기관들의 행보.
☀️NFT 기반 예술품 거래량 8,000만 달러… 매달 증가
☝🏻 암호화 예술분야의 대표 디지털 아티스트의 작품, 항시 구입가능!
☀️한은 보고서 "CBDC, 법화 지위 부여 가능…법 개정 필요"
☝🏻CBDC 발행 방법으로 '도매'로 제안?
Forwarded from MAJIN QUEEN (MJQ 게란)
게라니 정기컨텐츠 👀
이번주는 MFI에 대해 조사해보았습니다.
MFI는 RSI와 유사한 지표이나 차이점이 있습니다.
https://blog.naver.com/mjqsignal/222237578502
이번주는 MFI에 대해 조사해보았습니다.
MFI는 RSI와 유사한 지표이나 차이점이 있습니다.
https://blog.naver.com/mjqsignal/222237578502
NAVER
MFI (Money Flow Index)보조지표를 알아보자!