Nimbus流动性攻击的完整概述和已实施的解决方案

Hello Nimbus社区&＃xff0c;

今天&＃xff0c;我们为您提供了有关此帖子中涉及的NBU交换的最新事件的重要更新&＃xff1a;https://nimbusplatform.medium.com/provided-liquidity-and-token-value-update-6c6d3616f000。

我们致力于尽可能透明。因此&＃xff0c;在下面&＃xff0c;您将对发生的事情以及Nimbus如何解决此情况进行非常详细的描述&＃xff0c;包括团队将如何在最近的时间弥补流动资金提供者的潜在损失。

2021年3月1日&＃xff0c;NBU兑换交易发生了什么&＃xff1f;

如前所述&＃xff0c;我们受到套利智能合约的攻击。

但是&＃xff0c;我们的分析一直在努力理解的是&＃xff0c;智能合约如何才能在几分钟之内达到这样的结果并耗尽几乎所有的流动性&＃xff1f;通常&＃xff0c;要达到这一目的需要很多交易&＃xff0c;并且这些交易要花费更长的时间。但就我们而言&＃xff0c;这一切都是瞬间发生的。为什么&＃xff1f;

过去几天我们一直在寻找答案。好消息是-我们已经找到了&＃xff01;

我们的分析表明&＃xff0c;即使在Zokyo审核了Nimbus智能合约之后&＃xff0c;也仍然存在一个零缺失。尽管看起来微不足道&＃xff0c;但它使这种情况升级了很多。

以下是逐步展开流动性攻击的方式&＃xff1a;

1&＃xff09;2021年3月1日世界标准时间凌晨3:15:17&＃xff0c;以下地址0x3a518964ff40ee733d30749a213d2e5c9ffb2b8c进行了初始交易&＃xff0c;将1.994E-15 NBU插入到Nimbus交换上的ETH-NBU交换对中。

2&＃xff09;之后&＃xff0c;在Nimbus Swap上从ETH-NBU对撤出了516.9 ETH和597712.9 NBU的流动性。值得注意的是&＃xff0c;这发生在没有Nimbus LP代币参与的情况下。当此类代币在Nimbus平台上提供流动性时&＃xff0c;便会发行给所有Nimbus流动性提供商&＃xff0c;并且是撤回流动性所必需的。但是在这种情况下&＃xff0c;没有使用此类代币就撤回了流动性&＃xff0c;这就是异常开始的地方。

3&＃xff09;然后&＃xff0c;其他地址将该过程重复了几次。

4&＃xff09;结果&＃xff0c;不仅NBU代币的价值和流动性受到套利活动的影响&＃xff0c;而且&＃xff0c;Nimbus内部交换机的NBU对中的90&＃xff05;的流动性在几笔交易中被撤回。

Nimbus智能合约中的零缺失&＃xff08;即使审计人员也未注意到&＃xff09;如何影响情况&＃xff1f;

在Nimbus智能合约的测试阶段&＃xff0c;尚未发现任何漏洞。此外&＃xff0c;外部技术审核也没有发现任何错误&＃xff0c;并确认了Nimbus平台功能齐全且安全。

但是在Nimbus团队本身发起的最新调查中&＃xff0c;我们检测到代码中的错误。在下面&＃xff0c;您可以找到详细的技术说明&＃xff1a;

为了在Factory.sol合同的第405和406行中计算balance0Adjusted和balance1Adjusted&＃xff0c;必须已使用10,000位&＃xff0c;并且正确完成了此操作。但是&＃xff0c;为了使智能合约能够检查新卷是否与基本智能合约算法相对应&＃xff0c;必须在第407行中使用相同的10,000位。但是由于错误&＃xff0c;“ 1,000”位在这里使用&＃xff0c;而不是“ 10,000”。

结果&＃xff0c;这个单一的缺失数字允许恶意智能合约将其套利攻击与进一步撤回流动性相匹配。

我们完全理解并承认&＃xff0c;此次活动的责任在于Nimbus团队。我们已经修复了该问题&＃xff0c;即将将资产返还给流动性提供商。方法如下&＃xff1a;

1&＃xff09;首先&＃xff0c;Nimbus团队将向所有流动性提供者全额偿还流动性。您可以确定&＃xff0c;我们不会让任何恶意的第三方损害您的健康&＃xff01;

2&＃xff09;其次&＃xff0c;已识别的漏洞已得到修复。新版本的智能合约已在我们的GitHub上发布-因此&＃xff0c;需要在3月4日CET上午7点至8点之间进行Nimbus平台维护。

维护工作现已结束&＃xff0c;流动性提供者的警告已删除。您可以再次将流动性添加到平台&＃xff0c;并轻松地知道所有功能都可以正常运行。

这是我们的GitHub链接&＃xff0c;为您提供方便&＃xff1a;https&＃xff1a;//github.com/nimbusplatformorg。

3&＃xff09;最后&＃xff0c;正如已经宣布的那样&＃xff0c;我们已经激活了针对流动性提供者的通知系统。从现在开始&＃xff0c;它会在我们的持续分析发现的市场中潜在的攻击和其他风险情况下保护其资产。

此外&＃xff0c;我们还修改了开发和测试方法&＃xff0c;以避免将来出现类似情况&＃xff1a;

1&＃xff09;从现在开始&＃xff0c;我们将使内部测试完成后&＃xff0c;每个人都可以测试我们的代码。这将通过Bug赏金计划完成-参与者可以测试代码性能并在发现bug时获得奖励&＃xff01;

2&＃xff09;此外&＃xff0c;我们与外部审计师的互动过程发生了重大变化。从现在开始&＃xff0c;我们将引入更多的测试和审核回合&＃xff0c;并以更加多样化的方式进行。它应该让我们的用户感觉到并且是——在此事件发生后的所有情况下均安全。

最后&＃xff0c;我们已经开始与流动性提供商和兑换用户紧密合作&＃xff0c;以确保NBU的市场更具可持续性。这应该有机地平衡将来任何令人讨厌的市场状况。

正如我们之前的帖子&＃xff08;https://nimbusplatform.medium.com/provided-liquidity-and-token-value-update-6c6d3616f000&＃xff09;所述&＃xff0c;由于NBU市场增长非常快&＃xff0c;因此该事件首先成为可能快速且仍处于开发阶段。尽管这为市场参与者创造了许多有益的机会&＃xff0c;但同时也带来了此类事件的不稳定性和风险。为什么&＃xff1f;因为市场仍然非常敏捷&＃xff0c;并且可以对“大型”参与者&＃xff08;例如当前的攻击者&＃xff09;做出反应。

但是&＃xff0c;考虑到Nimbus最近在内部交换渠道上吸引了超过3,000,000美元的流动性&＃xff0c;并为Uniswap吸引了30万美元的流动性&＃xff0c;并且每天的交易量增加到500,000美元以上&＃xff0c;我们肯定会走上正确的道路&＃xff01;我们只需要适应这种增长。

特别是&＃xff0c;我们需要确保代表Swap用户的活动更加稳定&＃xff0c;以及流动性提供商的更坚实和协调的支持。这些条件将平衡任何市场活动&＃xff0c;并确保短期和长期的健康趋势。

现在&＃xff0c;我们已准备好面对其他许多恶意市场情况&＃xff0c;并根据这种经验来抵御它们&＃xff01; 但可喜的是&＃xff0c;我们的新做法会尽可能地减少其发生的可能性。您可以确信&＃xff0c;Nimbus及其所有用户的前途更加光明&＃xff01;感谢您与我们一起完成此过程&＃xff0c;并确保很快会收到来自我们的更多好消息&＃xff01;