ABS:简析DWF Labs：出手频繁颇具争议的加密做市商_Bogdanoff Forever

作者：

时间：1900/1/1 0:00:00

4月，一家公司名为DWF Labs的公司在投资方面频频出手，很快就引起了众人的关注。在My MetaData最新的投资展示列表中，DWF Labs所投的链游项目数量就达到了3个。

图源：My MetaData那么这家公司究竟是什么性质？为何在短时期内如此高调地频繁投资？

DWF Labs是Digital Wave Finance的子公司，它将自己定义为“领先的多阶段Web3投资公司和生态系统合作伙伴”，无论市场状况如何，DWF Labs每月都将平均投资5个项目，这些项目覆盖Gamefi、Metaverse、Infrastructure、Protocols、Trading和 DeFi领域。

安全团队：Defrost Finance被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Defrost Finance预言机被恶意修改，并且添加了假的抵押token清算当前用户，损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址，随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址，最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上，目前有490万美元的DAI在0x4e22地址上，有500万美元的DAI在0xfe71地址上，剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]

然而关于Digital Wave Finance的资料却不多。据公开资料显示，DWF Labs创立于2018年，主要为所投资的公司提供代币上线、做市、OTC交易解决方案的支持。截止目前，它已经在40多个顶级交易平台进行现货和衍生品交易，位居全球加密货币交易量前5名。此外，DWF Labs的管理合伙人Andrei Grachev曾是Huobi Russia和多家加密交易公司的CEO。

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

但DWF Labs的系列高频操作也引发了极大的争议。一直以来，身为做市商的DWF Labs习惯于将项目Token转移至交易所并出售，因而人们认为其对加密初创公司的数百万美元投资不应该被称作“投资”，更适合被当做场外交易。

慢雾简析Qubit被盗原因：对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报，2022 年 01 月 28 日，Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示，本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下，在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查，导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]

4月11日，Twitter用户Nay发推文称，经过链上数据分析，DWF Labs几乎所有情况下进出代币的数量都与时间和美元金额相匹配，这意味着这些不是贷款，因此不是标准的做市商交易。DWF Labs所有交易的模式都是要么每天一次左右地购买5万至10万美元的稳定币，要么购买每笔交易高达500万美元的大额交易，然后把所有（或几乎所有）资金都存放在CEX上。

Force DAO 代币增发漏洞简析:据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现：在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。[2021/4/4 19:45:30]

此外，Nay还表示，DWF Labs在韩国市场非常活跃。一些韩国项目主动公开了在Xangle的新投资。据报道，DWF Labs披露的投资金额超过1.5亿美元，但仅6500万美元可以在链上确认，这还不包括很多没有报道的，有一种可能就是他们代表项目团队以不少于某价格出售代币并预先汇款的方式赚取了delta。许多交易有10-20%的折扣，但有些则没有。

对此，DWF Labs管理合伙人Andrei Grachev在LinkedIn上发文阐释了其愿景、工作流程和投资主题以作为回应。

Grachev表示：“我们不是“纯金钱”投资者。我们知道筹款过程有多么复杂，我们一直在努力寻找支持企业家的方法。我们如何以及何时投资——我们通常在SAFT投资种子前和种子阶段。如果代币已经上市且可交易，我们还会根据解锁时间表和锁定期或分批进行投资。除了投资，我们通常会带来额外的支持。”

对于资产的托管和余额管理，Grachev是这样表示的：“出于安全原因和资本效率（我们可以使用代币作为交易抵押品），我们将几乎所有资产存储CEX上，以及有时我们与项目分担风险并使用我们自己的余额进行做市。风险管理我们从不投资任何NFT，我们根据交易对手风险调整我们的投资，我们从不在链上钱包中存储太多资金——做市商和资金被黑客攻击的案例太多了，我们不想成为受害者。”

这一回应也算是侧面印证了投资+做市的复合型运作模式确实存在。

暂且抛开关于DWF Labs本身的争议，它自2021年开始，已经投资了113个项目。从2021年的3个项目，到2023年前4个月的53个项目，DWF Labs的投资频率越来越高。

图源：My MetaData在他们选中的项目中，DeFi&交易、基础设施和链游领域都是它的重点部署领域。

图源：My MetaData再来看链游部分，DWF Labs一共投资了26个相关项目。

图源：My MetaData如果将2023年度GameFi相关的项目单独罗列出来观察其Token涨幅，可以发现这些项目都有不同程度的波动，也符合DWF Labs做市商的本职属性。其中Top Goal和Land of Conquest在宣布融资后的最高涨幅高达131%和248%。

图源：My MetaData总结在Alameda Research暴雷之后，人们对于做市商的高调动作尤其担心。有些人认为对于DWF Labs的指责其实来源于它的竞争对手Wintermute，有些人只是担心DWF Labs过于频繁的操作本身就酝酿着极大的风险。无论是持哪种观点，投资市场本就是风起云涌，DWF Labs的成败最终还得交由时间来判断。

My MetaData

个人专栏

金色荐读

金色财经善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

欧科云链

深潮TechFlow

MarsBit