PYN:链上期权协议Opyn合约漏洞损失37万美元 官方还原攻击过程及影响_Opyn Squeeth

北京时间今日凌晨00:56，Opyn官方推特发文宣称「官方团队发现部分oToken合约出现异常，已经开始着手解决这一问题。目前已经从Uniswap上暂时移除了受影响合约的流动性，并建议用户暂时不要创建新的合约」

事件发生后不久@defiprime官推发文称可能有至少302枚ETH在此次黑客攻击中失窃，而在这则消息发布后不久@defiprime又转发@DegenSpartan的结论称失窃的ETH数额可能会超过1000枚，而这一数字仍然没有得到最终确认。

据@udon_crypto分析指出，本次黑客攻击受影响的合约为oETH，黑客在使用ETH铸造oETH后迅速行权，而Opyn合约不仅仅支付了原本就应当支付的行权价值的USDC，还「额外返还」了铸造对应oETH时使用的ETH。简单来说就是黑客通过一个简单的操作就实现了ETH资产的「翻倍」。

该消息在网络上迅速发酵，在此期间不止一位用户向Opyn官方团队反应资金遭受了损失，这些反馈以及该事件在社交媒体上的快速扩散引发了官方团队的高度重视。在经过了近6个小时的排查整理后，Opyn官方Medium账号在北京时间6:50发布了本次黑客攻击事件的公告，详细还原了本次黑客攻击的全貌，并且在第一时间做出了一系列回应，全文如下：

链上期权协议Opium将启动两个流动性挖矿计划并增加代币奖励:链上期权协议Opium宣布两个流动性挖矿计划将于UTC时间3月1日14:00（北京时间22:00）开始，并增加代币分发量。扩大1inch流动性挖矿计划，奖励提高至四倍，达到每周5万Opium。

为了增加Opium治理代币的稳定性，将支持SushiSwap流动性挖矿。SushiSwap上的流动性挖矿计划实验将直接进行（不用DROPIUM），用户需要做的是将LP代币放入耕作合约中。作为一个实验，Opium希望至少在未来4周内支持每周2.5万Opium代币分发。[2021/3/1 18:04:53]

除ETH看跌期权合约外的所有其他Opyn合约均未受到此漏洞的影响。在发现漏洞后Opyn官方团队已经做出了一系列应对措施尽可能控制损失，并承诺会对因此漏洞遭受损失的用户提供足够的支持及帮助。

发生了什么？

大约在12个小时之前官方团队成员在Discord中收到了用户的反馈，并发现有人正在恶意利用Opyn的ETH看跌期权漏洞牟利。黑客通过oToken的「双重行权」窃取了部分看跌期权卖方在发售期权时抵押的ETH。Opyn官方虽然利用ConvexityProtocol通过白帽黑客攻击从保障金库中收回了439,170枚USDC，但是截止发文时段仍然已经确认有371,260枚USDC被盗。

以太坊链上期权协议Primitive：没有协议代币 谨防受:以太坊链上期权协议Primitive发推称，Primitive没有协议代币。你可以通过查询官方合约数据库中是否包含某个Primitive合约来进行验证，官方Discord提供了数据库链接。[2021/2/15 19:48:41]

因为Opyn是一种无许可的去中心化协议，所以团队无法像许多其他协议一样直接关闭合约的访问权限。为了尽可能控制损失，团队在第一时间在Uniswap上删除了ETH看跌期权池的流动性，并在Opyn.co网站上关闭了购买ETH看跌期权的通道，以防止更多人购买这些oToken。

为了确保现有oToken持有者的权益，团队将以高于Deribit期权市场价20％的价格购买在漏洞被利用时尚未行权的所有ETHPutoToken。

团队立即与TrailofBits的samczsun合作开发了一个白帽补丁程序，该补丁程序使Opyn可以从未偿付的保险金库中删除了439,170枚USDC的抵押品，以便安全地向看跌期权卖方提供抵押品。如果您的保险金库中仍有资金，请通过Discord与我们联系。该补丁降低了现有看跌期权合约的抵押率，并允许官方团队进行自行清算，从而确保在Opyn团队控制的地址内，未行权看跌期权的卖方的抵押品是安全的。

链上期权协议Opyn在以太坊主网上发布Opyn v2版本:链上期权协议Opyn宣布在以太坊主网上发布Opyn v2版本，包括DeFi期权协议Gamma协议和使用Gamma协议的期权交易更新界面，新功能和特性包括提高保证金利用率、到期时自动行权的货币期权、无乘数看涨期权、以现金结算的欧式期权、允许将收益性资产（例如cToken、aToken、yToken）用作抵押品并获得收益、无需抵押品的闪电期权铸造、运算符功能（允许用户将其保管库的控制权委派给第三方智能合约）、使用预言机结算期权价格等。

Gamma协议已由Open Zeplin审计，审计报告将在2020年12月31日之前公开，未来几个月将进行进一步的安全审计。Opyn还发布了v2赏金计划，最高可获得10万美元的奖励。Opyn v1将继续在以太坊网络上存在，为以实物结算的ERC20资产期权提供交易场所。[2020/12/30 16:04:42]

除ETH看跌期权合约外的所有其他Opyn合约均不受此漏洞的影响。

链上期权衍生品协议 Primitive 在主网上部署 v1 版本:据官方消息，以太坊链上期权协议 Primitive 宣布已在主网上部署 v1 版本，即将将接口部署到 IPFS，对 Connector 合约库进行智能合约审计，以及在页面上抽象化 WETH 的使用，方便用户直接使用 ETH。之后，Primitive 将对核心期权智能合约进行几项升级，如使用许可进行元交易批准。注：Primitive 是一种建立在以太坊上的期权协议，可为以太坊上的任何资产提供代币化期权。[2020/12/29 15:58:45]

我们了解到许多用户因此损失了资金，这很令人难过，毕竟保护用户资金的安全一直是团队的头等大事，我们将不懈地努力以重新获得您的信任，并确保我们的合同具有更高的安全标准。未来团队将对安全维度进行更严格的内部审查，除现有的OpenZeppelin审计外，还会增设审计，并采取一些措施来尽可能降低本次事件造成的用户损失。针对这次的攻击，团队还将在未来几天内发布更深入的技术分析文档。

链上期权协议Hegic上线测试版:基于以太坊的DeFi项目Hegic已上线公开测试版，这是一个链上的期权交易协议，可以用来对ETH的价格进行保护，但是目前公测版本未经过审计，存在风险。该项目由匿名人士发起，白皮书中自称为 Molly Wintermute。[2020/3/2]

我是oToken持有人，我该怎么办？

如果您当前持有ETH看涨期权，COMP看跌期权，BAL看跌期权，cToken看跌期权或aToken看跌期权，您无需采取任何措施。本次攻击利用的漏洞不会影响到这些合约。

如果您目前持有ETH看跌权，请通过Discord联系Opyn团队，团队将以高于Deribit市价20％的价格赎回您的看跌期权。

我是oToken卖家，我该怎么办？

如果您出售了ETH看涨期权，COMP看跌期权，BAL看跌期权或cToken看跌期权，则无需采取任何措施，您的资金没有任何风险。

如果您当前已出售ETH看跌权，请加入官方Discord获取最及时的解决方案。目前官方正在制定具体方案来尽可能减轻本次事件对您的影响。

一旦发现漏洞，将Opyn关闭会有意义吗？

官方无法关闭协议。Opyn是无许可且去中心化的，官方团队并不能关闭或禁用Opyn合约。不过一旦发现漏洞，官方团队将采取积极措施以最大程度地减少用户的亏损。比如通过一些手段阻止进一步的攻击发生以及尽可能保证可能受影响用户抵押品的安全。

Opyn将来会采取什么措施来防止这种情况的发生？

Opyn协议的安全性一直是团队最高优先级的事项。本次攻击事件的发生让用户失望了，不过团队会在未来对安全性这个维度更加重视，目前已经确认的有以下四步：

1）对于我们发布的任何合约，都将对其进行全面的内部测试。我们将重新梳理内部测试的流程，以使其更加强大；

2）所有合同将通过TrailofBit的Echidna系统进行验证；

3）我们将继续只发布经过审核的代码，并与OpenZeppelin和TrailofBits等顶级审核公司合作；

4）我们将为现有的Bug赏金计划增加赏金奖励。

扩展阅读：

Opyn是一个基于「Convexity协议」,建立在Ethereum区块链上的通用期权协议，允许用户使用其特有的oToken创建期权。Opyn.co提供了一个易于用户使用的界面接口来买卖ETH的看跌和看涨期权。

Opyn在2019年创立初期，进行了保证金交易的业务尝试，并在2020年2月转型为保险平台，用户可以为其Compound的存款购买保险来规避该平台的技术风险和相关金融风险。2020年3月末，Opyn推出了针对ETH持有者的第一批保护性期权，这些oTokens是通过Uniswap提供流动性的ETH看跌期权，故这些产品都可以视为DeFi用户的保险类产品。所以Opyn平台不是为投机而生的。

oToken由基于智能合约的Convexity协议支持。oToken智能合约的每个期权产品都必须指定的8个不同的参数:(1)到期时间(2)标的资产(3)执行价格(4)执行资产(5)看涨或看跌(6)抵押品类(7)抵押所需的保证金(8)美式或欧式期权。为了保障市场的流动性，目前期权的主要参数主要由OPYN来控制和创建。期权卖方可以通过在官方网站的界面，通过在一定期限内锁定抵押物来创设期权代币oToken。期权卖方可以在Uniswap上出售这些oTokens以赚取期权费。

目前，Opyn要求期权的卖方必须足额抵押。用户开具ETH看跌期权合约并铸造期权代币，必须存入合约行权价的100%USDC金额作为保证金进行锁定，同样的，用户开具ETH看涨期权合约并铸造期权代币，必须将相应数量的ETH存入合约并作为保证金进行锁定。

由前述8个参数的不同组合而来的不同的期权，在Opyn中以不同的oTokens进行标记区分，并由单独的智能合约控制。

参考：

https://medium.com/

https://twitter.com/

https://www.chainnews.com/

标签：PYNOpynOPYETHOpynOpyn SqueethCOPYCAT币togetherbnb手游下载女鬼

Gate.io热门资讯