SushiSwap创始人套现1.8万ETH，暴跌90%

LON

如果我理解没有问题，在创世挖矿过程中参与过挖矿的矿工除了挖矿得到的那部分奖励外，这里还可以领到一次空投哦。

2）. Imtoken 钱包用户，奖励数量为694万个LON，会有25万个地址能领到。

这部分空投的认领条件是Imtoken 钱包早期和忠实用户，但是没有看到判断早期和忠实用户的具体标准，也没有找到查看是否符合条件的入口。

雪儿也没有查到Imtoken的确切用户量，只是从一些报道中得知，在2018年官方就称用户数量超过了700万。如果数据是真实的，到现在用户数超过1000万应该没有太大问题。

假设每个用户只有一个地址，那么这一次空投的地址数量大概在2.5%。

雪儿应该是Imtoken的忠实用户，是不是早期用户就不知道了，估计在看文章的你也应该是忠实用户，希望大家都能分到一点吧。查看地址也是在

特别说明：

1. 上面的这两个空投，如果你的钱包地址同时满足多个条件，是可以累加领取的哦。

2. 空投认领的时间也是今天早上8点，大家到时候记得去看看挖矿页面有没有数量可以认领（币的名称叫LON）。

早期支持者中还剩120万个会作为储备，用来回馈其他对Tokenlon做出过贡献的社区成员以及第三方，比如早期做市商伙伴，早期 DEX 合作伙伴，第三方技术顾问，白皮书顾问，法务顾问， 社区志愿者，翻译，布道者，社群，以及媒体等。

我们来算一下Tokenlon这一次的撒币地址数量有多少。

创世挖矿中有60676个，Tokenlon 的早期用户中有14个，Imtoken 的早期用户中有25万个。总数为450676。

不过这里面肯定有很多是重复的，官方文章提到早期支持者地址数是33万左右，那么这次能获得LON的地址应该就是33万左右+60676，差不多40万的样子。

Uniswap当初空投的地址是25万个，这一次Tokenlon的空投在广度上完全超过了曾引起整个币圈轰动的Uniswap世纪大空投。只是还不知道是按照什么样的标准给每个地址分配具体多少的数量，当然还有一个不能确定的因素是价格。

当初Uni空投如此轰动，除了数量可观以外，很大一个原因也是上线价格就达到3美金，而且持续走高了很长时间。

说完了空投，我们看一下LON的代币分配情况。

要进粉丝群的同学请点击下方的“了解更多”查看进群方式和要求！

欧意云链OKLink：2023年6月安全事件盘点

免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表火星财经官方立场。

小编：记得关注哦

来源：巴比特

原文标题：别再怪“闪电贷”了，bZx连遭攻击的真凶是它

文 | 海伦

一周内，DeFi贷款协议bZx遭遇两次攻击，攻击者空手套白狼，十几秒套利超百万美金。这一事件被高度关注，因为它并非一起简单的、针对单一漏洞的“黑客式”攻击，而是在充分了解DeFi的情况下，利用各产品特点组合出拳。这起攻击事件或许暴露出DeFi系统性金融风险的隐患，并对行业发展的路径选择，具有醍醐灌顶的警示意义。笔者先说结论：

首次攻击发生在2月15日，攻击者通过“闪电贷”0成本借得1万个ETH作为初始资金，利用多个DeFi协议的相互调用，实现了一笔非常不合理的交易。

笔者也做了一个表格还原资产变化和最终结果：

据悉，攻击者获得总利润为 1193 ETH，目前价值 29.8万美元。链上数据显示，攻击者已将所获资金转移到了Compound。理论上，Compound 可以使用管理员密钥没收资金，但根据Chris Blec 发起的投票，支持没收资金的仅占 12.3%，反对者占 69.5%。Hydro创始人李天放表示「使用管理者权限非常损害信任，Compound没有因为攻击遭受损失，不太可能牺牲自己的信任帮竞争对手找钱。」「Compound也可以发起社区投票，征询这种用户（攻击者）是否受欢迎，如果Compound社区一致抵制，就可以冻结资金。」数字文艺复兴基金会董事总经理曹寅表示。

今日（2月18日），bZx再次发现了使用“闪电贷”进行的可疑交易，目前没有证据表明是同一个攻击者。尽管首次攻击发生之后，bZx 关闭了 Fulcrum 交易平台进行维护，但该攻击者再出新招，使用了Synthetix进行交易，目前bZx 已暂时关闭被利用的合约。Ethhub 创始人 Eric Conner估算到，这一次攻击者获利 2,388 个 ETH，约64.4万美金。

有趣的是，尽管bZx官方表示这次的损失跟“预言机”没有任何关系。但在首次攻击发生后，bZx宣布将新增集成预言机平台 ChainLink 作为价格来源之一。「目前看来，ChainLink能够在真实反映价格和预言机去中心化之间找到比较好的平衡，避免Uniswap等去中心化交易所喂价机制流动性不足导致的价格失真问题」曹寅表示。

早期网友分析中有很多错误，最广泛流传的就是bZx的价格被操纵。但真实情况是「利用了bZx的合约漏洞，借了大笔钱，然后在bZx接入的Kyber和Uniswap上操纵价格，套利成功。」MakerDao中国社区负责人潘超表示。

我们来具体解释下，这几个协议的关系。bZx是一个保证金交易协议，用户可以抵押一种币作为保证金，在某个杠杆下借出另一种币。但是这两个币的浮动汇率是多少呢？bZx需要调用预言机或者去中心化交易所来喂价。在第一起攻击中，bZx 使用 Kyber 作为链上预言机来检查抵押品和借贷的比例。

而Kyber作为去中心化代币交易协议，它有很多储备库来提供流动性。储备库为兑换者们提供代币兑换，它可以是有丰富代币的个人，也可以是专业的做市商、项目团队、DEX等。而且为了获得竞争力，Kyber设计成为兑换者提供最好的兑换汇率，Uniswap就是Kyber的储备库之一。

在第一轮攻击中，攻击者在bZx上发起了保证金交易，抵押1300个ETH用5被杠杆兑换51.3个WBTC的行为，拉高了Uniswap上WBTC兑ETH的相对价格，此时攻击者再将从Compound 借出来的112 WBTC在此价位兑换成ETH，于是就获得了利润。

不可否认，储备池式DEX的确交易深度不够、流动性不足。试想一下，攻击者仅用1300个ETH就拉高了WBTC的价格，这在主流的中心化交易所大概率不会发生。

究其根本原因，bZx被 “骗”在uniswap上做了一笔非常不合理的交易，只能怪自己太依赖第三方。「此类型的攻击方案只针对于bZx这种完全依赖第三方AMM（automatic marker maker）的DeFi产品，在dydx, DDEX，和compound等类型产品中并不存在」李天放表示。

因此，bZx被攻击的主要原因是「它自身存在设计上的失误，没有考虑到Kyber聚合型交易所的喂价机制，也没有经过极限的压力测试，于是被人利用了。」曹寅表示。从结果上来看，本次攻击也没有影响到其他协议，损失由bZx承担。

攻击事件让“闪电贷”进入了大众视线，这是攻击者无成本套利的关键。“闪电贷”是在一个区块内在不同 DeFi 借贷平台发起多笔交易的方式，也就是不同资产和债务之间的转贷。“闪电贷”也是一种无需抵押物的借贷方式，前提是贷款的发行和偿还必须在以太坊同一个区块内完成，按照目前以太坊的出块速度，就是 13 秒。如果不是空手借来的ETH，而是超额抵押借贷模式，还会出现这个情况吗？笔者采访的几位嘉宾有不同的看法。

曹寅表示，“闪电贷”本身没问题，但应该要限制“闪电贷”的使用场合，不能让大家随意调用这个协议，尤其是在DeFi这样一个无监管、去中心化、代码即法律的场景里，肯定要谨慎使用。他用了一个很形象的比喻：

但李天放认为，“闪电贷”只是降低了攻击的门槛。 就算没有“闪电贷”，一个本来就很有钱的以太坊账号也可以做出同样的攻击。当然“闪电贷”的存在让这类攻击变得更容易，合约设计者必须需要考虑到此现象的存在。

潘超也认为，闪电贷本身不是问题，而是协议之间的耦合问题。「本次攻击的漏洞对于独立的单个协议而言没有问题，但是几个协议联系起来就会被成功攻击，结果就是虽然账户里没有资产，但依然可以空手套白狼，或者说是借刀，利用其他协议的漏洞借钱，损失让其他协议承担。」就像bZx团队“狡辩”的那样，「从协议的角度来看，只是有人简单地借了一笔钱，而从贷方的角度来看，这笔贷款与其他任何贷款一样，照常支付利息。」

「这也给了 DeFi 从业者一个警示，设计产品是要谨慎考虑所接入的其他协议可能会对本身协议造成的影响和⻛险」潘超表示。DeFi各产品的智能合约自由调用，增加了很多不确定性因素，那么应该予以限制吗？

针对这个问题，李天放表示，所谓的”admin key“（管理者权限）在各个合约之间中是非常不一样的，而且并不是个0或1的选择，在每类操作中你都可以选择留出full control, limited control, time delayed control等。

「每个合约的设计者需要在”去中心化“和“便于操作”中做出一系列选择。比如DDEX为了避免中心化，留的管理者权限非常少。当然这也有一些不便，比如我们不能随便升级合约的一些模块，加功能，移动资产，哪怕是“为了用户好”的操作。」他最后说到，时间会告诉我们正确的选择是什么。

对于此次攻击事件，笔者的直观感受是DeFi很多产品的主要用途就是“加杠杆”，这让我想到2008年经济危机起因，就是华尔街把房地产打包成各种证券产品，制造了太多杠杆，同时让人们以很低的成本贷款。这和如今DeFi行业做的事情多么相似。

这究竟有什么意义?

「你说的很对，每个DeFi项目都应该考虑这些问题。一个好的协议设计应该鼓励更多有价值的”win win”行为。如果一类行为真的是空手套白狼，对整个系统是负价值的，也许协议上可以做一些调整来改善整个系统价值」李天放表示。

然而，DeFi社区不仅没有因为攻击事件变得审慎，反而在推波助澜。笔者注意到了两liang：

1．0x 的研发人员 Remco Bloemen 提出直接在代币的合约中创建免费无限的闪电贷款； 2．1inchExchange 新推出的1x.ag，利用“闪电贷”提高杠杆仓位的效率，来做无限杠杆。

「DeFi中造价值的角色有个共同点：它们都需要承担风险。比如做市商需要承担风险，liquidator（清算者）需要承担风险。但是“闪电贷”和“无风险套利”之都是在一个区块中做操作，空手套白狼」李天放表示。

「这暴露出这个行业的开发者存在误区，就是以“炫技式”的心态，去做一些DeFi协议的开发。」曹寅一刀见血的指出。

DeFi的初心究竟是什么？这值得建设者和拥护者反思，曹寅的这几段话非常有道理：

我们做DeFi的初心是什么？是为了服务那些没有金融基础设施的的中小企业、创业者、普通生产者。我们降低中心化带来的摩擦成本，去掉完全没必要的中介成本，同时把数据所有权和金融所有权，从不靠谱的中心化机构手里抢回来，还给生产者，这才是我们做DeFi的初心。