如何利用GMX的交易机制进行价格操纵?外部攻击与内部作恶的方法分析

过去20天,GMX平均每天有930名活跃用户交易1.1亿美金,可以说是目前最成功的去中心化衍生品交易所。

我们注意到GMX的几个竞品的负责人近期针对GMX的交易机制展开批评,虽然出发点绝对不中立,但立场只能决定价值判断,而无法左右事实判断。

本文仅针对GMX交易机制的事实进行讨论,以作为读者综合判断GMX的参考信源。

0滑点带来外部攻击

GMX有一个优势,那就是0滑点。这意味着你交易1美金的代币与交易1亿美金的代币的价格是一样的,都是交易时预言机的喂价。

0滑点对交易者天然具有吸引力,尤其是大额交易者。一个不太恰当但很形象的比喻是,相当于你拥有让时间静止的超能力,然后去跟人打架……

观点:现货比特币ETF浪潮的出现仍需时日:金色财经报道,CoinDesk采访的多位行业专家表示,尽管贝莱德申请推出现货比特币ETF,但不要指望该产品很快就会大量涌现。对冲基金经理James Koutoulas表示,虽然加密货币社区的乐观情绪是有道理的,但不确定是否能够最终批准。他表示:“在Coinbase诉讼得到解决或平息之前,ETF 不会获得批准,因为监管机构希望ETF具有很强的可信度”。

绝大多数接受采访的专家预测,虽然这需要时间,而且可能比加密社区想象的还要长,但贝莱德可能在ETF竞赛中占据第一名。Koutoulas说:“如果有人能获得批准,那一定是贝莱德,因为贝莱德的记录是大约500份申请中只有一份申请被永久拒绝,而且美国政府与贝莱德有如此多的业务往来”。[2023/7/18 11:01:12]

而GMX的机制是交易者与LP互为对手方,交易者赚钱,意味着LP亏钱,因此LP是不被保护的。

“木头姐”旗舰基金年内受挫 新的阴云已开始积聚:12月30日消息,木头姐凯西·伍德最糟糕的一年还没过去,2023年的阴云就开始积聚了。在过去的几周里,华尔街一直在下调她58亿美元的旗舰基金ARK创新ETF(ARKK)中一些最大持仓的收益预期,这预示着她的策略将面临更多的痛苦,在整个2022年,她的投资策略被美联储几十年来最激进的紧缩政策所打击。机构数据显示,由于利率将保持2007年以来的最高水平,分析师已经下调了ARKK中一半最大权重公司的12个月收益预期,其中包括特斯拉和Zoom。咨询公司ETF Store的总裁Nate Geraci说,ARK的投资组合中充斥着久期较长的科技股,这些股票肯定受到了利率上升的影响。如果美联储在2023年比预期的更激进,小心这可能是另一场血战。[2022/12/30 22:16:58]

最早公开怀疑0滑点机制潜在风险的是ZigZag的创始人Taureau,这是一个基于ZKRollups的去中心化交易所,他于9月2日在Youtube上表示,GMX的交易模式有漏洞,他很怀疑这种模式能否长期持续,因为trader如果利用漏洞就很容易赚GLP代币持有者的钱。

Celo生态合作项目共计融资超7700万美元,用于支持金融包容性、互操作性和ReFi:10月28日消息,Celo宣布Celo生态合作伙伴已共计融资7730万美元,用于支持金融包容性、互操作性和ReFi(再生金融)。

其中,ReFi项目共融资600万美元,包括Loam(400万美元)、impactMarket(100万美元)、Circular Impact(100万美元)。互操作性项目Hyperlane融资1850万美元。DeFi平台中,为DApp和智能合约提供数据的RedStone融资700万美元,为新兴市场企业提供融资的Jia融资430万美元。区块链工具方面,Tatum完成4150万美元融资,MakerDojo完成150万美元融资。(Businesswire)[2022/10/28 11:51:50]

9月18日,GMX确实遭遇了价格操纵攻击,攻击者利用GMX的最小价差和0滑点的特性对AVAX/USD进行价格操纵,赚取了56.5万美元的AVAX。

Unstoppable Domains与迈阿密市合作,为迈阿密市民提供免费Web3教育:金色财经消息,Web3数字身份平台和NFT域名提供商Unstoppable Domains与迈阿密市的Venture Miami团队合作,加速其本地Web3教育工作。

迈阿密风险投资公司将于2022年6月17日至19日在迈阿密戴德学院举办 \"迈阿密人人共享 \"Web3教育活动。该活动将为迈阿密社区提供一个包容和参与的环境,以了解Web3,同时让有技能的参与者有机会利用其专业知识,通过Web3和传统技术创造社会影响。(prnewswire)[2022/6/17 4:35:50]

价格操纵攻击事件发生后,JoshuaLim在Twitter上分析了攻击的步骤,他是机构数字资产服务商Genesis的衍生品交易部门负责人。

根据JoshuaLim的分析,攻击者在GMX上以预言机的喂价反复开大量多头和空头的头寸,但是GMX上的大额头寸会影响到其它交易所的AVAX/USD价格,然后预言机才反应过来并喂价给GMX,此时攻击者平仓盈利。

这里举一个更夸张的假设可能更形象。

你在GMX上做多10亿美金的AVAX,照理说这么大的资金量会拉高你实际交易的价格,但GMX的机制是0滑点,所以你还是按照预言机的喂价来开仓。但这个体量的交易会拉高其它交易所上AVAX的价格,假设涨了20%,预言机才会把最新的价格反馈到GMX上,此时你就可以按AVAX涨了20%的价格来平仓,并把赚到的AVAX提取到其它交易所卖出。你赚到的AVAX,就是GLP持有者亏损的AVAX。

所以此次攻击是「合理但恶意」地利用GMX的交易机制,未来是否还会遇到类似的攻击?目前来看,唯一的避免方式就是取消0滑点机制。

不过还有一种修正方式,那就是限额,但只是增加了攻击者的操作步骤,并没有从根本上解决。

Keeper引出内部作恶?

0滑点带来外部攻击是已经被事实验证过的,但GMX依赖的keeper机制来作恶的事件目前并没有发生,我们只能说就keeper机制而言,团队的确有作恶的权限。

GMX的交易流程并不是在你发起交易后,由智能合约按预言机的喂价自动执行,而是所有的交易请求都要经过keeper来统一执行,这样确实效率更高,但代价是keeper有权限在预言机价格的0.12%幅度以内执行。而且最大偏差达到2.5%才会触发强制执行,价格在Keeper的价格和预言机的价格之间。

GMX为了监督keeper不篡改预言机的价格,还有watcher节点来验证,但正如上所述,如0.12%这种幅度的偏差是完全合规的,因此keeper可以非常隐蔽地窃取资产,他可以向交易者窃取,也可以向LP窃取,只要偏差足够小,就不会被发现。

当然,这只是一种可能性,并不意味着keeper真的会作恶,是否信任keeper是一回事,但我们必须要清楚地知道,keeper的权力并没有关进制度的笼子里。

GMX的另一个竞品DeriProtocol的创始人0xAlpha在一篇题为《GMX,一个可能作恶的“AMM”》中表示,无法从外部验证他们有没有作恶,但这不重要,重要的是crypto世界里最基本价值观也是最大的进步就是从「不作恶」转变为「不能作恶」,所以这种依靠掌权者的善意来运作的系统,不应该属于crypto世界。

总结

针对GMX的0滑点招致外部攻击,在取消0滑点之前,可能还会有类似攻击,毕竟0滑点意味着交易者在任何时刻都拥有无限流动性。

针对GMX的keeper机制给团队内部作恶的权限,如果以最坏的恶意去揣测,就是“身怀利器,杀心自起”。

当然,本文不能当作投资意见,因为这只是一种可能性。

责任编辑:Kate

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

SANDNFT 2022 年 Q3 销售额暴跌 相比 Q2 下降 60%

10月4日消息,据路透社报道,根据区块链追踪DappRadar的数据,2022年第三季度NFT的销售量大幅下降,因为加密货币投资者认为“加密货币的冬天”到来了,对高度投机的数字资产的需求几乎没有恢复的迹象.

芝麻开门交易所霍学文:构建金融操作系统实现数字化转型

作者|霍学文,北京银行党委书记、董事长发表于《中国金融》2022年9月增刊总书记指出,数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量.

FTXAI 与 Web3 的交集:开放神经网络

一夜之间,海外投资机构对于AI的关注度重回几年前的高点,甚至盖过了今年以来的Web3投资热点。那么AI与Web3的结合会有什么新火花?这篇CoinFund近期的深度研究文章向我们介绍了,AI+Web3有哪些用武之地.

火星币Greenstone靠谱吗?平台安全性与用户体验梳理

有不少人还不知道Greenstone是不是靠谱,自己能不能安心使用。本文主要将探讨Greenstone在监管、资安、风控等方面的议题,以及看看Greenstone是不是有跑路的可能性,投资人在Greenstone又该如何保障自己的安全.

[0:15ms0-1:529ms