LABS:简析DWF Labs:出手频繁 颇具争议的加密做市商

4月,一家公司名为DWF Labs的公司在投资方面频频出手,很快就引起了众人的关注。在My MetaData最新的投资展示列表中,DWF Labs所投的链游项目数量就达到了3个。

图源:My MetaData那么这家公司究竟是什么性质?为何在短时期内如此高调地频繁投资?

DWF Labs是Digital Wave Finance的子公司,它将自己定义为“领先的多阶段Web3投资公司和生态系统合作伙伴”,无论市场状况如何,DWF Labs每月都将平均投资5个项目,这些项目覆盖Gamefi、Metaverse、Infrastructure、Protocols、Trading和 DeFi领域。

安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]

然而关于Digital Wave Finance的资料却不多。据公开资料显示,DWF Labs创立于2018年,主要为所投资的公司提供代币上线、做市、OTC交易解决方案的支持。截止目前,它已经在40多个顶级交易平台进行现货和衍生品交易,位居全球加密货币交易量前5名。此外,DWF Labs的管理合伙人Andrei Grachev曾是Huobi Russia和多家加密交易公司的CEO。

安全团队:获利约900万美元,Moola协议遭受黑客攻击事件简析:10月19日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,Celo上的Moola协议遭受攻击,黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析,结果如下:

第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金(182000枚CELO).

第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。

第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。

第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。

第五步:攻击者进行了累计4次抵押MOO,10次swap(CELO换MOO),28次借贷,达到获利过程。

本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时,通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方,将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]

但DWF Labs的系列高频操作也引发了极大的争议。一直以来,身为做市商的DWF Labs习惯于将项目Token转移至交易所并出售,因而人们认为其对加密初创公司的数百万美元投资不应该被称作“投资”,更适合被当做场外交易。

慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:

1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。

综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

4月11日,Twitter用户Nay发推文称,经过链上数据分析,DWF Labs几乎所有情况下进出代币的数量都与时间和美元金额相匹配,这意味着这些不是贷款,因此不是标准的做市商交易。DWF Labs所有交易的模式都是要么每天一次左右地购买5万至10万美元的稳定币,要么购买每笔交易高达500万美元的大额交易,然后把所有(或几乎所有)资金都存放在CEX上。

慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

此外,Nay还表示,DWF Labs在韩国市场非常活跃。一些韩国项目主动公开了在Xangle的新投资。据报道,DWF Labs披露的投资金额超过1.5亿美元,但仅6500万美元可以在链上确认,这还不包括很多没有报道的,有一种可能就是他们代表项目团队以不少于某价格出售代币并预先汇款的方式赚取了delta。许多交易有10-20%的折扣,但有些则没有。

对此,DWF Labs管理合伙人Andrei Grachev在LinkedIn上发文阐释了其愿景、工作流程和投资主题以作为回应。

Grachev表示:“我们不是“纯金钱”投资者。我们知道筹款过程有多么复杂,我们一直在努力寻找支持企业家的方法。我们如何以及何时投资——我们通常在SAFT投资种子前和种子阶段。如果代币已经上市且可交易,我们还会根据解锁时间表和锁定期或分批进行投资。除了投资,我们通常会带来额外的支持。”

对于资产的托管和余额管理,Grachev是这样表示的:“出于安全原因和资本效率(我们可以使用代币作为交易抵押品),我们将几乎所有资产存储CEX上,以及有时我们与项目分担风险并使用我们自己的余额进行做市。风险管理我们从不投资任何NFT,我们根据交易对手风险调整我们的投资,我们从不在链上钱包中存储太多资金——做市商和资金被黑客攻击的案例太多了,我们不想成为受害者。”

这一回应也算是侧面印证了投资+做市的复合型运作模式确实存在。

暂且抛开关于DWF Labs本身的争议,它自2021年开始,已经投资了113个项目。从2021年的3个项目,到2023年前4个月的53个项目,DWF Labs的投资频率越来越高。

图源:My MetaData在他们选中的项目中,DeFi&交易、基础设施和链游领域都是它的重点部署领域。

图源:My MetaData再来看链游部分,DWF Labs一共投资了26个相关项目。

图源:My MetaData如果将2023年度GameFi相关的项目单独罗列出来观察其Token涨幅,可以发现这些项目都有不同程度的波动,也符合DWF Labs做市商的本职属性。其中Top Goal和Land of Conquest在宣布融资后的最高涨幅高达131%和248%。

图源:My MetaData总结在Alameda Research暴雷之后,人们对于做市商的高调动作尤其担心。有些人认为对于DWF Labs的指责其实来源于它的竞争对手Wintermute,有些人只是担心DWF Labs过于频繁的操作本身就酝酿着极大的风险。无论是持哪种观点,投资市场本就是风起云涌,DWF Labs的成败最终还得交由时间来判断。

My MetaData

个人专栏

阅读更多

金色荐读

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

欧科云链

深潮TechFlow

MarsBit

Arcane Labs

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

币赢LABS:从 0 到 1:Web3 社区建设的五大关键步骤

在 Web 3 领域,社区建设是项目成功的关键之一。真正的社区是由一群拥有共同愿景和信念的人组成的。这些人可以一起开发和维护项目,参与决策,提供反馈和建议,并成为项目的有力推广者和代言人.

[0:15ms0-2:809ms