区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 币安币 > 正文

DEFI:全面解读闪电贷:为什么闪电攻击将成为新常态?_btc短线交易局

作者:

时间:

编者按:本文来自链闻,撰文:HaseebQureshi,加密货币风投机构DragonflyCapital管理合伙人,Odaily星球日报经授权转载。闪电贷最近成为外界关注的热点。两名黑客利用闪电贷攻击了保证金交易协议bZx,第一起套利金额为35万美元,之后又搞了一起套利金额60万美元的翻版攻击。如果用一个词来形容这些攻击的话,可以说是「壮观」。每次攻击中身无分文的黑客贷到价值数十万美元的ETH,分散利用一系列链上协议的漏洞进行了一通操作,从所盗窃的资产中提走了数十万美元,并成功堵上巨额ETH贷款窟窿。所有这一切在瞬间完成,就是说,在一个以太坊区块中完成。

CarmineInfantino设计的漫画封面我们不清楚这些攻击者是谁、身居何处。两人都是空手套白狼,攻击完成赚到数十万美元,且没有留下任何暴露身份的痕迹。刚爆出这些攻击消息时,我正在仔细思考闪电贷及DeFi的安全性问题。我认为这个问题值得公共讨论。简单说一下我的观点:我认为闪电贷存在重大安全威胁。但闪电贷不会消失,我们需要认真考虑未来它对DeFi的安全性影响。什么是闪电贷?

闪电贷概念最早由Marble协议于2018年提出。Marble自诩「智能合约银行」,其产品是很简单、但很具智慧的DeFi创新:通过智能化合约完成的零风险贷款。

贷款如何能零风险?传统信贷机构放贷时面临两种风险。第一种是违约风险:如果贷款人携款潜逃,信贷机构会吞下苦果。但第二种是流动性风险:如果一家信贷机构在错误的时间放出太多贷款,或者借款人未及时还款,信贷机构可能意外遭遇流动性紧张,无法履行自己的义务。闪电贷减缓了这两种传统放贷风险。闪电贷的基本工作原理是:在单笔交易中贷出借款人需要的金额。然而在交易结束时,借款人必须偿还不少于贷款金额的数目。如果借款人做不到,贷款机构会自动回滚交易。简单讲,闪电贷是自动的:如果借款人不能偿还贷款,整个交易就会回滚,就像贷款根本没发生一样。这样的事情只有在区块链中才能发生。比如你不能在BitMEX交易所进行闪电贷。因为智能合约平台一次性处理交易,所以一次交易的所有元素是批处理执行的。交易执行时,可以把这个想成交易的「冻结时间」。而在中心化交易所中可能会出现激烈的竞争,可能导致你的交易部分失败;在区块链中,可以保障你的所有代码一行行逐次执行。所以简单考虑一下这里面的经济机制。传统信贷机构因为两个元素而赚到回报:他们承担的风险,以及他们所贷出资金的机会成本。闪电贷则不同。闪电贷利率上没有风险,也没有机会成本!因为借款人在闪电贷过程中「冻结了时间」,所以在其他任何人眼中,该系统的资金从来没有风险,从来没有阻塞,因此你也赚不到利息。这意味着,成为闪电贷出借方感觉上不需要任何成本。这严重违反了直觉。所以均衡状态下闪电贷的成本应该是多少?基本上讲,闪电贷应该是没有成本费用的。或者更准确的说,一笔很小的费用,能补偿让一笔资产进入可放贷状态而添加的三行代码。

韩国当局传唤Terraform Labs全体员工进行全面调查:5月30日消息,首尔南区检察院金融和金融证券犯罪联合调查组传唤了Terra开发商Terraform Labs的全体员工以进行调查。

据了解,这些员工在2019年参与了Luna及Terra的初步开发。检方获得了一份声明,即使当时有人反对推出Luna和Terra,Do Kwon还强行推出了该Token。前员工称,之所以有人反对是因为当时该试点模型在公司内部已经失败了。当时也有人指出,如果在没有稳定的抵押物或盈利模式的情况下,向投资者支付几十个百分点的利息,一开始可能会有人蜂拥而至,但到了某个时间点,就不得不崩盘,因为它无法承受利息支付和价值波动。

检察官正在关注Do Kwon等Terraform Labs的高管是否提前意识到了Luna和Terra的设计缺陷。此外,检察官还将调查Do Kwon是否存在故意操纵价格的行为,以及该国虚拟货币交易平台是否通过了适当的上币审核程序。(JTBC)[2022/5/30 3:50:06]

来自0x研发人员RemcoBloemen闪电贷不能收取传统意义上的利息,因为贷款的持续时间为0,。当然,如果任何放贷机构收取更高的利息,将会被利息更低的其他竞争对手碾压。闪电贷让资金成为真正的商品。这种竞争到头来不可避免的将成本压低到0或者金额极小。dYdX目前闪电贷手续费为0。而AAVE收取本金的0.09%作为利息。我估计这种情况不会持续下去,实际上AAVE社区已经开始呼吁0利息。闪电贷有什么用?

闪电贷最初的营销标签是主要用于套利交易。Marble的亮相声明表示:「闪电贷可以帮助交易者从Marble银行贷款,在一家去中心化交易所DEX中买币,然后在另一家DEX以较高价格卖出代币,一笔自动化交易就可以让您将套利收益收入囊中。」而现实确实如此——从金额上讲,我们目前看到的多数闪电贷都被用于此类套利交易。

CoinbaseNFT市场全面开放首日不足150人注册:5月6日消息,根据 Dune Analytics 数据显示,Coinbase NFT 市场向公众开放 beta 版首日新注册用户数量不到 150 人,截至当日晚,Coinbase NFT 市场的用户总数仅有 1112 人。此外,beta 版首日的交易量仅 150 笔,交易额约为 75,000 美元。(Decrypt)[2022/5/6 2:53:27]

AAVE的闪电贷用途,来源:AAVE但金额还很小。AAVE自成立以来发起的闪电贷金额才刚刚超过1万美元。与套利交易规模和DeFi市场流动性相比,不过九牛一毛。这主要是因为多数套利交易是由运行复杂机器人的竞争性套利者完成的。他们进行链上优先gas拍卖,然后利用GasToken来优化交易费。这一市场竞争非常激烈,他们很乐意在账面上保留部分代币来优化利润。另一方面,从AAVE借款的成本约为8万gas,并收取本金0.09%,对利润微薄的套利竞争而言,这一成本过高。实际上多数AAVE套利交易中,借款人给贷款池支付的手续费多过其套利收益。长期来看,除非是某些特殊情况,否则套利者不太可能使用闪电贷。事实证明,闪电贷在DeFi中还有其他更引人注目的用例。一个例子是为贷款再融资。例如,假设我有一个Maker抵押债仓,在里面中锁定了100美元的ETH,我从其中借了40个DAI币的贷款,因此减去债务后我在CDP中的净头寸为60美元。假设我想再融资放在Compound换取更高的利率,通常我需要回购40DAI才能关闭CDP,这需要一些前期资金。相反我可以利用闪电贷借入40个DAI来关闭CDP,将60美元的未锁定ETH存入Compound,通过Uniswap将其余的40美元ETH转换回DAI,并用来偿还闪电贷。一气呵成,自动化0成本再融资。这太神奇了!这就是资本乐高运行的伟大范例。1x.ag实际上搭建了一个保证金交易聚合应用,利用闪电贷自动实现这类交易。尽管这些很酷,但bZx攻击者让我们清楚看到,闪电贷能带来多大的伤害。闪电攻击对安全的重大意义

Kava已通过CertiK的全面审计,确保平台代币发行模块代码的安全:据官方公告,Kava已通过CertiK的全面审计,确保Kava DeFi平台代币发行模块代码的安全。火币作为行业领先者已将其生态资产HBTC接入Kava DeFi发行模块,后续将在Kava上铸造数百万美元的资产。

Kava是一个跨链DeFi平台,提供主流数字货币的抵押借贷。HARD Protocol是基于Kava区块链发布的跨链加密货币市场,支持BTC、XRP、BNB、BUSD、KAVA和USDX等资产借贷和挖矿赚取收益。[2021/2/19 17:29:09]

我越来越相信闪电贷真正解锁的是闪电攻击——利用闪电贷进行高额资金攻击。近期的bZx黑客攻击让我们管中窥豹,我怀疑这仅仅是个开头而已。为何闪电贷成为攻击者的利器?主要有两个原因。很多黑客攻击需要大量的前置资金。如果你1000万美元的ETH取得正收益,那应该不是什么套利交易。短期贷款可以最大程度地减少攻击者的污点。如果我有一个如何以1000万美元的ETH操纵Oracle币的想法,即使我拥有那么多的ETH,我可能也不想用自己的资金来冒险。我的ETH可能沾染污点,交易所可能会拒绝我的存款,难度大大增加。有风险!但是,如果我用闪电贷贷出1000万美元,谁在乎呢?各方都会有收益。我的贷款来源——dYdX的抵押池不会被污染,dYdX的污染某种程度上消失了。您可能不喜欢,但交易所审查制度如今已成为区块链安全模式的一部分——相当模糊且中心化。但我认为对一个攻击者而言,闪电贷实质上改变了这种风险。在比特币白皮书中,中本聪发出了著名的宣言:比特币不会遭受安全攻击,因为:「应该会发现按照规则参与的话比毁坏系统更有利可图,而毁坏系统就是毁坏他自己的资产。」而在闪电贷中,攻击者与闪电贷游戏丝毫没有利益捆绑。闪电贷从本质上改变了攻击者的风险。另外请记住,闪电贷可以累积!鉴于gas的限制,你可以在一笔交易中从所有能放贷的资金池中贷款,然后将所有资金捆绑到一个可攻击合约中。现在攻击者手里有了5000万美元的重磅大锤,只要砸出重金,任何弱不禁风的链上协议都承受不了其巨大冲击。这太可怕了。当然攻击者不是仅凭大量金钱就可以对这些协议实施攻击。如果所有DeFi堆栈都像它声称的那样安全,这应该不是个问题——面对富鲸哪种协议是不安全的?您可能会说,这些协议没有考虑到那种情况,仅仅是疏忽了。不过据称每小时用不到20万美元的资金就可以让以太坊本身遭受51%攻击**。这个金额也并不很大!如果以太坊自身的安全模式仅仅能防止资金匮乏的攻击者,我们何必那么苛责那些防不住1000万美元攻击的DeFi应用呢?如何减缓闪电攻击?

火币钱包发布iOS PRO版本,现已全面支持Ethereum、Heco和Tron网络DApp:2月2日,据火币官方消息,火币钱包正式发布iOS最新版本,该版本现已全面支持Ethereum、Heco 和 Tron 网络DApp,用户不仅可以通过该版本体验最新、最热DApp,还可以查看精选DApp列表。海内外用户可直接通过火币钱包官网下载最新版火币钱包。详情点击原文链接。[2021/2/2 18:41:37]

假设你是一家衍生品平台,想避免受到闪电攻击。自然会问:我是否能检测出与我交易的用户是不是在用闪电贷?简单的答案是:你做不到。以太坊的EVM设计方式不允许你从任何其他合同中读取存储。因此,如果你想知道另一个合同中发生的事情,只能通过该合同告诉你。如果你想知道客户是否正在使用闪电贷合同,则必须询问该闪电贷合同。目前许多放贷协议都无法对此类查询做出回应。即使你的衍生产品平台试图检查已知的闪电贷协议,协议平台使用代理合同或通过跨闪电贷协议链接,也很容易将任何此类查询误导。通常根本无法判断用户是否正在使用闪电贷。短短的一秒钟,如果有人要用1000万美元敲开你家交易平台的大门,无法判断这是他们自己的资金,还是一笔闪电贷。所以我们要防范闪电攻击,真正的选择是什么?我想到三种方法。说服闪电贷协议停止提供这种服务开个玩笑而已。伙计们,这可是加密世界啊!严肃地讲,试图让贷款池停止提供闪电贷,就像试图阻止噪声污染一样,这是公共领域的经典悲剧。提供闪电贷款符合每个协议的利益,并且其用户有合理原因的希望使用此功能。因此,我们可以放心地消除这一选项。闪电贷不会消失。迫使关键交易跨越两个区块要记住,闪电贷允许你在单笔交易时间内借入资本。如果一个资本密集型交易需要跨越至少两个区块,用户需要至少在两个区块时间段取出贷款,闪电攻击就成为不可能。显然这是以大幅牺牲用户体验下进行的:这意味着交易将不再是同步的,很像commit/reveal方案。用户体验很糟糕,需要谨慎三思。很多开发者抱怨智能合约异步操作,例如与Layer2或以太坊2.0的跨片通信协议的互动。具有讽刺意味的是,异步性使得这些系统更安全,避免遭遇闪电攻击。因为攻击者无法在一次自动化交易中同步完成主链与Layer2或分片的操作。这意味着ETH2.0分片或Layer2DEX不会遭遇闪电攻击。要求提供链上证明,证明完成闪电贷后用户的账户余额未出现变化如果可以通过某种方法来检测用户的实际余额是多少,我们就可以战胜闪电攻击。在原生EVM机制中无法执行此操作,但是可以对其进行修改。你要做的是:在用户与你的协议进行交互之前,你要求其提供Merkle证明,证明在上一个区块末尾时他们有足够的余额来偿还当前使用的资金。你需要针对每个区块中的每个用户跟踪此情况。这种方法一定程度上是奏效的。当然,它还很粗糙,有一些问题:验证这些链上证据在链上的成本极高,思维正常的用户没有人愿意提供这类证明,并为整个过程支付gas费用。另外用户完全可能有合法合理的理由,在上个区块想调整其余额。所以,尽管这种方法理论上有些作用,它不是一种可行的解决方案。很清楚,我上面所举的三种解决方案都不够理想。我相信面对闪电攻击没有真正好的解决办法。但有两个特别应用确实能减缓闪电攻击:市场价预言机和治理代币。像Uniswap或OasisDEX等市场价预言机,由于闪电攻击的可能性,你任何情况下不能把当前市价中位数当成喂价。攻击者只需要一笔交易就能轻而易举地大幅改变市价中位数,让预言机失灵。对此最好的解决方案是通过时间加权平均价格或成交量加权平均价格计算上一批X区块的加权平均数。Uniswapv2会自带这一功能;经济学家MaxWolff的著作《Polaris》为其它协议提供了一种通用方法。链上治理则是则会带来一连串令人头疼的问题。链上治理通常由治理代币持币人按权重投票决定。但如果这种治理代币进入某一贷款池,任何攻击者可以偷走大量选票,得到自己想要的结果。当然,多数治理协议要求这些治理代币在投票期间锁定,这让闪电攻击无计可施。但有些治理协议并非如此,例如「CarbonVote」和Maker的行政投票。在闪电攻击的阴影之下,这些治理机制完全可能被攻陷。理想情况下,你不想让治理代币进入闪电贷款池。但这并非由发币者决定,它是由市场决定的。因此,所有治理行动应该要求代币锁定期,以阻止闪电袭击。更关键的是,所有治理代币必须有时间锁。时间锁迫使所有的执行决策在生效前都有一段等候期。。如果遭遇意料之外的治理攻击,这一机制让系统有了容错时间。甚至尽管MKR目前大量未进入闪电贷资金池,近期已经有人称MakerDAO很容易遭遇此类攻击。MakerDAO当前正加快修复。这些有什么深远意义?

Coinbase Pro:UNI-USD订单簿现处于全面交易模式:Coinbase Pro发推称,UNI-USD订单簿现在处于全面交易模式。limit、market、stop order均可用。UNI市值在Coinbase Pro宣布上线后从约5000万美元飙升至3.22亿美元。CoinGecko数据显示,目前UNI报价5.19美元,24小时涨幅33.7%,市值约为3.35亿美元。(The Daily Hodl)[2020/9/18]

我认为bZx攻击事件彻底改变了局面。这不会是最后一起闪电攻击事件。第二起bZx攻击只是第一次翻版而已,我怀疑未来几个月还有一波类似攻击。现在全球各个角落有数千名聪明的青少年对所有这些DeFi乐高虎视眈眈,用显微镜寻找任何漏洞,试图找出发动闪电攻击的办法。如果攻陷一个漏洞,他们也会赚到数十万美元,对全球多数国家和地区而言,这一数字足以改变人生。对各家DeFi协议而言,闪电攻击意味着安全模式已经改变。在bZx黑客事件后如果再遭到类似攻击,会和DAO黑客事件后再遭重入式攻击一样,会成为加密世界的笑话。不过你可以预期,这是会出现的。最后,这些事件让我去思考加密世界的古老概念:矿工可提取价值。MEV指矿工可以从一个区块链系统中可以提取的总价值,包括出块奖励和费用,但也包括其它不那么正大光明的收益,例如交易重新排序或向块中插入流氓交易。从根本上讲,应该将所有这些闪电攻击都视为海量资金内存池中的单笔交易。例如,第二次bZx攻击在单笔交易中产生了价值64.5万美元的ETH利润。如果你是矿工,并且打算开始开采新区块,请想象一下查看先前区块的交易并对自己说:「这算怎么回事儿?上一个区块中包含64.5万美元的利润,我为什么要开采一个只换来500美元的新区块?」更符合你利益的做法不是继续开采新区块,而是试图重写历史,让你自己成为那个闪电攻击者。想一下:这一笔交易就相当于以太坊诚实挖矿四个小时的所得!这与拥有一个包含正常块奖励1000倍的超级块是同样的原理——这种超级块带来的合理结果是大批矿工疯狂争夺,为自己窃取那个超级块。

模拟展示矿工们的激烈争夺均衡状态下,所有闪电攻击应该最终被矿工提取价值。。讽刺的是,这会成为阻止闪电攻击的一个重要元素,因为会让攻击黑客无法将窃取成果折现。也许最终矿工们会开始私下悬赏攻击代码,为黑客提供线人费。技术上讲,利用零知识认证是可以在无需信任的情况下完成。在今天这还都是科幻。矿工们明显没有这么做。他们为什么没这么干?有无数的理由。首先它很难,需要大量工作,EVM很难模拟,风险很高,存在漏洞可能造成资金流失或孤块,会招致口诛笔伐,整个矿池会遭遇公关危机,可能被列为「以太坊公敌」。在目前情况下,矿工如果这么做更有可能带来更多经济损失和孤块,而不是拿到这笔钱。在目前这是真的,但这种情况不会持续很久。这给以太坊带来了一个新的动力去尽快过渡到以太坊2.0。以太坊上的DeFi尽管令人惊叹且令人着迷,但毫无疑问是漏洞百出的。DeFi在PoW链上不稳定,因为所有高价值交易都会由矿工重新分配。对于大规模运营的系统,你需要的是不可改变性——矿工不能重写已确认的区块。这将会保护之前的区块不会被重新分配。另外,如果DeFi协议存在于单独的以太坊2.0分片上,它们不会在闪电攻击面前弱不禁风。依据我的估计,闪电攻击带给我们很小、但很有用的一个提醒是,这仅仅是个开局。我们还没有拥有出色的架构来构建未来的金融系统。目前闪电贷款会是新常态。也许在长远来看,以太坊上的所有资产都可以被投入闪电贷。交易所所持有的所有抵押物,Uniswap的抵押物,也许所有ERC-20标准代币。谁知道呢,不过是几行代码的事儿。

标签:比特币BTCDEFIEFI比特币交易app官网btc短线交易局IC DeFiMarhabaDeFi

币安币热门资讯
数字资产:解读:「Token安全港提案」的影响与价值_区块链的五大应用领域

编者按:本文来自01区块链,Odaily星球日报经授权转载。2020年2月6日,美国证券交易委员会委员HesterPeirce在芝加哥举办的国际区块链大会上发表题为《RunningOnEmpty.

EFI:币价暴涨、51%攻击,比特币现金(BCH)减产路上的“毁”与“誉”_DEFI

Coin360最新数据显示,2020年元旦以来,加密货币总市值从最低1768亿美金增长至近期最高3077亿美金,涨幅达到74%.

比特币:比特币锚定币大PK:以太坊、EOS、波卡混战正酣_HBTC币

比特币是加密世界的基石,由于比特币网络不支持复杂的操作,基于比特币网络实现的应用非常少,这限制了比特币在加密世界更广泛的使用.

EFI:少了中国的Voice,还说要“game changing”吗?_InfiniityDeFi

编者按:本文来自区块律动BlockBeats,作者:0x29,Odaily星球日报经授权转载。 在这个冷清到连朋友圈都没有人晒转账的情人节,EOS创始人DanielLarimar成了加密货币行业.

EOS:星球日报 | Bakkt比特币期货合约交易量已超过现金结算比特币产品成交量;近七日Tether新发行1.57亿USDT_区块链专业考研方向

头条 Bakkt比特币期货合约交易量已超过现金结算比特币产品成交量根据Skew的最新数据,Bakkt的实物结算期货交易量超过了其现金结算产品的交易量.

以太坊:币安想做企服平台?CZ预计五年内云服务成最大收入来源_加密货币交易违法吗知乎

文|秦晓峰编辑|Mandy王梦蝶出品|Odaily星球日报 交易所一直是加密交易行业中竞争激烈的“必争之地”,牛市中几乎每天都有新的交易所诞生,又不久就批量夭折.