Rui (@YeruiZhang)

这几天和几个Alts的项目方聊，都是今年内上合约和现货，大部分说法是保本或者小赚，保本的是卖币的部分能Cover包括现货保证金，渠道费，早期投入等等一系列费用，小赚的是找了主动做市商配资，要不然账面有利润但还拿不出来，要不然和平分手，拿到小几个M的分成。 时代变了，Alts想靠开盘获取大利润已经很难了。

今天，我们一直在跟 @blockaid_ 密切合作，详细调查昨晚发生的针对 @humafinance v1 协议的漏洞攻击事件。Blockaid 的事件分析报告非常详尽（链接见第一条回复），在此不做赘述。 以下是事件 TL;DR 及我们从中学到的关于系统架构和运营的经验教训。 👇 TL;DR 攻击事件： 攻击者发现了智能合约中的一个漏洞，并从 Polygon 上的三个 v1 老池子中盗取了约 10.1 万美元的 protocol fee & pool owner fee。 用户资金： 用户资金没有受到任何影响。 风险隔离： 问题出在 Huma EVM v1 合约。与 PST 及 Huma 在 Solana 上所有的智能合约完全无关。 Solana 合约： Solana 上的程序采用了全面重新设计的架构，不包含此次被攻破的逻辑。 当前状态： 所有 v1 资金池均已暂停。 关键的经验教训：表面上看，这是 2023 年初上线的 v1 版本中的一个智能合约漏洞，但它凸显了在协议设计和运营方面的几个问题： 1. 不要把重要的状态转换（state transitions）混在有复杂逻辑的函数里 _updateDueInfo() 和 _getDueInfo() 计算到期款项和各类费用，是 v1 合约中最复杂的部分。将借款人状态转换嵌入到这些复杂函数中不是一个明智的选择。我们后来对这个设计也不太满意，在 Huma v2 智能合约的设计上放弃了这个方案，采用了更简单的架构。 2. 坚决剔除不必要的功能。 引入 requestCredit() 是为了支持未来的扩展，但在实际运营中从未用到过。非关键函数天生会受到较少的测试和安全审查，从而产生了不必要的攻击面。在发布前我们曾讨论过要不要把它拿掉，但当时认为没有大碍就保留了。如果某个函数不是必须，就不应该放进合约里。 3. 积极关闭不再使用的池子。 保留不再需要的旧池子会产生不必要的风险。今天，开发者和攻击者攻防双方都积极使用 AI，一些旧合约没用经过 AI 审计，可能会有更多的薄弱环节。关停 v1 资金池的工作此前已经在进行中，但没有放在最高的优先级，我们在这一点上应该更坚决。 这是一个惨痛的教训。我们应该好好从中学习，以不辜负这高昂的学费。在此分享我们第一时间的反思和经验教训，希望能帮助生态别的建设者，尤其是有老合约的项目方，能更有效地提高对黑客的防范。DeFi United, DeFi Strong! 🛡️

今天和一个朋友聊天，他基本没有任何存储的仓位，但是靠满仓TQQQ也挣了不少钱，玩自己看的懂的，在舒适区内的。 另外如果不是职业交易员（以交易为生），像我们这种普通人，无论怎么不看好，减仓空仓都行，摸顶做空大不可为。

根据我在币圈投股权项目的惨痛经验，一旦一个高增长的公司跟你来讲Pe的时候，大概率就是他在融最后一波骗你上车了… 所以看到Ai公司的Arr/存储公司的动态Pe的时候我都是麻的，反而Minimax/Intc这种估值全靠梦想的会热泪盈眶…

妖币之后中登山寨币在起来。逻辑是熊市进行了8个月，一批换手充分的中老币还有几个B的市值，只需要合约OI冲一下就能把价格做起来，涨起来还能钓到习惯做空的散户。 为首的是Zec/Ton这两个名牌有大哥买盘的，其他标的包括前几个月有过表现的Tao/Virtual/Fil。比较有意思的是一些叙事币也有动作，包括币股叙事的Ondo和Arb。 这里的状态是能看到资金/OI流入，但是相比隔壁美股存储的大行情还是差很多逻辑上的确定性，可持续性也未知。

1. 现在这些顶着大费率拉盘的币，很大部分原因是散户不上钩，所以想骗套利的进场，甚至是交易所的自营对赌MM，这些人底子厚可以爆出大金… 2. 熟手Mm和生手Mm很容易看拉盘手法看出来，有些能不停拉拉不停，有些就有冷却期，这就是活儿好不好的差距。

当时看到Aster这个比赛就觉得这不是Free 的10K吗……和几个参加比赛的朋友说可不可以套…没想到还真能 真不愧是格局最大的项目方，下次有这种好事能不能带带我…