DEFI:闪电贷攻击频发，黑客「空手套」DeFi_EFI

编者按：本文来自蜂巢财经News，作者：凯尔，Odaily星球日报经授权转载。半个月内，发生在DeFi协议上的闪电贷攻击一起接着一起，闪电贷成了黑客借来生「金蛋」的鸡。进入11月，ValueDeFi、起源协议OriginProtocol、Akropolis和CheeseBank都遭到了闪电贷攻击，总损失额超过1000万美元。ValueDeFi的前身是被称为「五姨夫」的YFV，它的损失超过540万美元，这还是黑客「归还」了200万美元后的结果。颇有戏剧性的是，在被攻击前一天，该团队曾公开表示Value是最安全的DeFi项目，随后便被黑客「光顾」。成都链安解释，「闪电贷攻击」指利用闪电贷和其他漏洞结合后，进行套利和操纵价格等攻击。「闪电贷本身不是漏洞，不过作恶者可以利用它，以极低的成本撬动巨量资金，在多个协议间进行价格操纵或套利。」区块链开发者小岛美奈子认为，黑客能轻易操纵价格的原因是DeFi协议没有采用安全的预言机策略，即当预言机传达数据失真时，攻击便极易发生。另有行业人士点出本质，DeFi协议在实现本身的功能时，采用单一市场价格反馈的设计极其危险。「因为是新的事物，很多项目在设计时并未充分考虑到这方面风险。」成都链安提示，项目方在业务逻辑设计时，应当考虑这类极端情况，必要时应找专业的审计机构审计。4天内两DeFi协议遭「闪电贷攻击」

酒儿：DeFi后续的表现，以及以太坊信标链整体要有一个大的爆发点:金色财经报道，在11月20日举办的《金色百家谈 | Gate.io的进阶之路：DEX和金融衍生品》的直播节目中，Gate.io合伙人酒儿表示，2020年初的时候，大家谈的都是减半，但当今年已经走过半的时候，你会发现，减半的效果反而没有带来那么大的效果。随后便是一系列的热点，DeFi质押量再创新高，BTC的价格一路上涨至18000美金，以太坊信标链即将启动，可以看到疫情过后，整个国内和世界的经济恢复其实有了比较明显的起色，美国大选的热议也给BTC的价值上涨带来了强大的价值支撑。最大的感受就是之前大家群里都说百倍币、千倍币，懊悔之余，其实会发现市场的魅力就是在于不同交易对手间在策略和经验上的不同选择。

接下来，其实我认为冲高还是有压力的，从之前的经验可以看出，大牛市基本上都是有预兆，并且会有大量的圈外流量引入，比如2018年新闻曝光，需要一个非常好的点去推，但目前可以看到，这个点的表现还是不足，或者还没到成熟的位置，但值得期待的是DeFi后续的表现，以及以太坊信标链的表现。我觉得整体要是有一个大的爆发点。但是同样值得期待。[2020/11/20 21:28:49]

11月17日，起源协议OriginProtocol的稳定币OUSD遭闪电贷攻击，价格最低跌至0.13美元。此次攻击使得OriginProtocol共计损失了225万美元的DAI和100万美元的ETH。就在这起安全事故的3天前，DeFi协议ValueDeFi也被黑客「光顾」，里面也涉及到闪电贷这一工具。11月14日23点36分，ValueDeFi的MultiStables机池遭受黑客攻击，损失将近740万美金的DAI。此前，ValueDeFi曾在社交平台宣布自己是最安全的DeFi，结果立马被打脸。黑客在完成攻击后还返还了200万美元，并以「doyoureallyknowflashloan」的提问发出嘲讽。

分析 | 以太坊与BTC180天关联度保持稳定 主流交易所24H交易量有一定增长:据TokenGazer数据分析显示，截止至 11 月 15日 11 时，以太坊价格为$182.45，总市值为$19,882.15M，大概率受行情下行影响，主流交易所24H交易量约为$71.43M，环比昨日增长32.52%；以太坊对比特币汇率及算力平稳波动；基本面方面，以太坊链上交易量保持稳定，链上DApp交易量有一定提升，新增地址增速保持稳定；以太坊 30 天开发者指数约为 2.25；以太坊与 BTC 180 天关联度保持稳定，30 天 ROI 有一定反弹；据TokenGazer官网六道数据显示，以太坊情绪指数移动平均线呈下滑趋势；推特关注人数无较大变化。[2019/11/15]

声音 | 新加坡金管局TIO主管：我们所查看过的代币中，没有一个绝对安全:据BABI财经消息，在9月19日新加坡举行的共识大会上，新加坡金管局（MAS）金融科技和创新组科技基础设施处（TIO）主管Damien Pang称，我们查看过的代币中，没有一个是绝对安全的；对于代币，金管局不会只看其技术，还会仔细地看其相关特性；金管局不会直接监管分布式账本技术本身，技术正在发展。[2018/9/19]

ValueDeFi的MultiStables机池正常页面闪电贷似乎成了黑客近来最得心应手的工具。今年以来，多起DeFi的安全事故都被安全机构指出利用了「闪电贷攻击」，受害项目方包括bZx、Balaner、Havest、Akropolis、CheeseBank等，以及最近的ValueDeFi和OriginProtocol。「开发者还没有了解以太坊的特性，」区块链开发者小岛美奈子认为，频频发生闪电贷攻击是因为项目开发者对此缺乏了解。闪电贷是什么？利用它的攻击到底是怎么发生的？Jeff是区块链安全公司PeckShied硅谷研发中心负责人，他对蜂巢财经介绍，区块链上的闪电贷是一种「不需要抵押就可以借贷」的贷款方式，但贷方必须在同一区块内还贷，否则这个交易就会失败。所以闪电贷对借款平台来说基本是零成本、零风险。而黑客就可以利用这样的贷款方式，以很小的成本借出大笔资金，然后用这笔资金去造成一些数字资产的价格波动，再从中渔利。根据安全机构的梳理，我们可以清楚地从ValueDeFi的这起攻击中，看到闪电贷攻击的运作方式。当晚，黑客先通过Aave的闪电贷功能借来8万枚ETH，紧接着通过UniswapV2上的闪电贷借来1.16亿枚DAI。借来大把钱后，黑客开始在Curve和ValueDeFi上操纵价格进行套利。选择这两个协议，黑客是利用了它们之间的关联——Curve上有USDC的兑换池，要想在ValueDeFi合成资产3CRV，也需要用到USDC。在Curve上，黑客主要是用闪电贷借来的钱抬高USDC的价格，一度让这个美元稳定币脱锚上涨至1.788美元。而在ValueDeFi上，黑客将一部分DAI存入该协议的机池中，铸造出名为3CRV的合成资产。ValueDeFi机池合约中有3种合成资产，分别是3CRV、bCRV和cCRV，为了方便计价，该协议合约在铸币时会将bCRV、cCRV转换成3CRV进行计价，转换途径需先将bCRV/cCRV换成USDC，再把USDC换成3CRV。问题就出在这里。由于ValueDeFi以Curve的价格作为预言机，而Curve上USDC的价格已经大幅上涨。因此，当攻击者发起3CRV提现时，合约会照常将bCRV、cCRV转换成以3CRV计价，但此时USDC/3CRV的价格被操作拉高，导致用bCRV、cCRV能兑换出更多的3CRV。黑客正是凭此完成了套利，在归集资产、还完闪电贷后，空手套利740万美元。简单来说，整个过程中，闪电贷本身正常运行，但黑客先后利用Aave、UniswapV2的闪电贷功能借出一大笔钱，再通过Curve操纵USDC的价格，影响ValueDeFi的功能，铸币套利。预言机策略失当是风险源头

UniLend闪电贷将70%的费用作为质押奖励分配，并提供空投功能:3月11日，去中心化现货交易和借贷协议UniLend发文介绍其无需许可的闪电贷技术，要点如下：

1. UniLend的闪电贷将支持所有代币，不像其他热门产品只支持20-30种资产。

2. 从UniLend闪电贷中收取的费用的70%将作为质押奖励进行分配。

3. UniLend闪电贷将支持新的创新代币技术，如弹性代币和合成资产。

4. UniLend的自动质押奖励池将在多个区块链中保持更统一的奖励分配。

5. “空投”功能将允许任何人立即向所有池参与者空投代币。[2021/3/12 18:40:15]

从ValueDeFi的失窃案例看，它被攻击主要是由于预言机出了问题。实际上，被攻击时只是Curve上的USDC价格出现了短暂偏差，其他市场的USDC价格并没变。但由于ValueDeFi采用的是Curve现货价格作为预言机，才导致了套利空间的出现。小岛美奈子认为，防范闪电贷攻击，需要协议开发者使用安全的预言机策略。但怎样才算得上是安全的预言机策略？这正是目前开发者需要持续探索的难题。由于闪电贷攻击频频发生，这个功能被一些人贴上了黑标签。有人认为，闪电贷是危险的工具；还有人觉得，它只是让协议的漏洞更早暴露出来，对协议的安全提升有益。Chainlink的CMOAdelynZhou便是带着发展的眼光来看待闪电贷的两面性。他认为，闪电贷的新奇之处在于，它可以让世界上任何一个人短暂地成为资金充裕的交易者，当然，这也让这个人具备了突然操纵市场的可能性。但本质上，「闪电贷攻击」这个词并没有抓住问题的全部。闪电贷本身不是漏洞，它只是揭示了DeFi存在已久的系统性风险。AdelynZhou与小岛美奈子的观点一致，即闪电贷攻击往往只是对价格预言机的攻击，「DeFi生态系统中真正的系统性风险是围绕着中心化的Oracle，而不是闪电贷。」因此，AdelynZhou认为，「闪电贷攻击」这种说法分散了关注点，一些拥有数亿美元TVL的DeFi协议仍然依赖于单一交易所的价格反馈Oracle，这才是导致价格容易被操纵的根源。这其实与一些中心化交易所合约市场被操纵的情况类似。去年5月，Bitstamp交易所BTC现货价格闪崩，导致合约交易平台Bitmex短时爆仓2万个比特币，时值1.5亿美元。这是因为，Bitmex的BTC合约指数成分中采用了Bitstamp的BTC现货价格，且权重达50%。而在OKEx的合约指数成分中，采用了4个以上的交易所现货价格，且权重分散，因此受到的影响较小。这或许能给予DeFi开发者们一些启示——要在价格预言机这一源头上下功夫，才能避免因预言机传达失真数据而带来的价格操纵风险。Jeff则提供了另一种预防方案，他介绍，根据闪电贷的特性，借贷和取款都要在一个区块内完成，所以对DeFi协议开发方来说，更稳妥的设计是不允许在同一个区块内存款和取款，这样试图利用闪电贷的黑客便无计可施。作为一种新的、不存在于传统金融世界的借贷模式，闪电贷通过区块链被创造，颇有创新意义，但它不应成为黑客的帮凶。DeFi协议开发者理应在频频发生的「闪电贷攻击」中吸取教训。成都链安提示，项目方在业务逻辑设计时，应当考虑这类极端情况。如果对此不了解，应找专业的审计机构进行审计和研究，防范各种可能的风险。

OUSD公布闪电贷攻击事件细节 共损失700万美元:11月17日，Origin Protocol创始人Matthew Liu发文公布Origin Dollar (OUSD) 闪电贷攻击事件细节。内容显示，截止目前，攻击已造成约700万美元损失，其中包括Origin及创始人和员工存入的超过100万美元资金。团队正在全力以赴确定漏洞原因，以及确定是否能够收回资金。官方提醒称，目前已取消了金库存款，请不要在Uniswap或Sushiswap上购买OUSD。此外团队表示，官方不会离开，此次事件不是欺诈，也非内部局。[2020/11/17 21:02:50]

标签：DEFDEFI比特币EFIDefiBoxLibre DeFi比特币行情热议最新消息Global DeFi

SHIB最新价格热门资讯