近日,DeFi市场经历了一场严峻的考验,多起攻击事件接连发生,造成了巨大的资产损失。在多数安全事件中,闪电贷攻击的“冠名”似乎成为了标配。但是,在其背后不容忽视的真相,其实是对预言机进行操控,造成内外价格差并从中套利。
所谓闪电贷,其实是一种创新金融工具,可实现无抵押贷款,但要求在同一个区块内还款,否则交易回滚。闪电贷的魅力在于,可以使贷款者在无需付出任何努力或代价的情况下秒变“富豪”。当然,庞大的资金量也预示着强大的市场操控潜力。
在此类安全事件中,攻击者通常属于“空手套白狼”,先使用闪电贷获取大量资金,拥有了攻击的启动“砝码”后,再通过一系列手段出入各类抵押、借贷、交易等协议,在实现操纵、扭曲资产价格数据后,实施套利,最后归还“本金”。
数据显示,自2020年以来,黑客基于重入漏洞的攻击数量有所下降,而基于价格操控漏洞的攻击比例正在上升,并已造成累计超过数千万美元的损失。
孙宇晨:网传的大额稳定币交易为换链操作,并非套现:12月28日消息,针对0xScope发推称“从11月7日至今,孙宇晨疑似已套现超11亿美元”一事,孙宇晨于推特回应称,网传套现传闻不实,我从始至终高度看好行业发展,网传交易均为不同稳定币之间的换链操作,我们会继续致力于保证每条链都有充足的稳定币供应,建设好行业基础设施。
稍早前0xScope曾发推称,从11月7日至今,孙宇晨疑似已套现6.26亿枚USDC以及5.01亿枚BUSD,套现的路径多为将Tron上稳定币转入币安,然后再提出至以太坊并转入Paxos和Circle。[2022/12/28 22:12:23]
那么,这个预言机到底是什么?
区块链对外沟通的“桥梁”
预言机并不是什么玄幻事物,它其实是区块链网络与互联网以及其它区块链网络等保持数据、信息沟通的“桥梁”。特别是,在DeFi智能合约这类去中心化应用中,通过预言机,开发者可以调用包括行情价格在内的各种外部数据资源,让Dapp连通外部现实世界的数据环境。
独家 | FTX创始人SBF:流动性挖矿并非完全可持续:金色财经现场报道,9月20日,由金色财经主办,水桥区块链总冠名的“共为·创业者大会”在厦门举办。金色财经CEO安鑫鑫大会现场视频连线FTX创始人SBF。连线过程中SBF表示,对于流动性挖矿,我认为这并非完全可持续,因为它的价值从发行起到现在在不断地下降,这个价值下降会导致管理的缺失,我们需要再等一等,目前不能给出很确切的回答。[2020/9/20]
毫无疑问,能够提供不可篡改、可靠数据的预言机必将成为DeFi发展的重要基石。在DeFi应用中,不论自身配置还是依赖第三方供应,通过预言机可获取各个市场的价格、汇率等重要信息。而对于去中心化交易所来说,获取准确可靠的价格数据意义更为重大。
与中心化交易所不同,Dex行情数据的“孤岛化”倾向更为明显,如果不与外界行情保持实时联动,Dex中的自动化做市商资产池很可能会因为交易量、流动性等的剧烈变化而产生价差损失。
Tether分析师:稳定币起源并非解决比特币波动性问题:国际清算银行、美国联邦储备委员会、以及金融稳定委员会三家监管机构此前将稳步描述为一种试图解决比特币(BTC)等其他加密资产高波动性加密货币,但这种表述可能并不足够准确。Tether合规分析师马特鲁·亚历山大(Matthew Alexander)认为,稳定币主要作用其实是通过向高度移动加密资产注入法定货币的基本经济属性,来解决传统法定货币和银行业的低效率问题。稳定币的起源其实和比特币波动性无关,全球加密稳定币的竞争对手并不是比特币,而是推动、促进更多人访问这种新颖的、数字化的稀缺性资产。如果传统货币和银行业务发展不那么缓慢、成本不那么高且具有排他性,那么稳定币将不复存在。(Cointelegraph)[2020/6/28]
随着DeFi市场热度的提升,行业更多的思考倾向于项目数量、规模以及模式等方面。而对预言机安全问题的关注反倒是处于一种不温不火的状态。近段时间,频繁发生的预言机安全事件可能为此敲响了警钟,预言机安全于DeFi生态有序发展至关重要。
声音 | 分析师:目前缺乏成交量信号 表明BTC并非处于顶部:尽管最近BTC跌破1万美元让一些分析师认为,近期的高点将标志着局部见顶(local top),但加密货币分析师Big Cheds在最近的一条推文中解释称,目前缺乏成交量信号,表明这不是局部见顶:“比特币的一个通用的图表原则是,最大交易量将出现在顶部和底部。如果这是局部见顶,那么交易量在哪呢?”(NewsBTC)[2020/2/18]
典型的预言机安全事件
事件一
关于首起预言机安全事件,时间要回到2019年6月25日。DeFi衍生品平台Synthetix预言机发生异常,致使平台sKRW/sETH汇率报错,超过3700万枚sETH被低价交易,涉及金额近10亿美元。
事件原因
喂价源信息失常,预言机发生故障并将错误价格发布到链上,交易机器人发现后迅速套利。
调查发现区块链牌照并非批准相关机构开展业务的正式文件:北京商报调查发现,按照正规的营业执照要求,营业执照必须是国家工商总局或者地方工商局才能颁发的,正规营业执照必须有名称、类型、住所、法定代表人、注册资本、成立日期、营业期限和经营范围。而目前市场上所谓的“区块链牌照”,执照盖章仅是当地的工商局,并未标明注册资金额度,有登记日期但没有截止日期,也没有具体的法人信息。近年来监管层针对互联网金融发行的“第三方支付”、“网络小贷”等牌照及P2P网贷备案等要求,使得创业者误认为区块链也有相关牌照。就目前来看,我国针对区块链业务尚未有明确的准入要求。[2018/5/9]
最后,Synthetix与交易机器人所属者达成资金返还协议,巨额损失得以挽回。但值得警惕的是,上游价格源异常可能给智能合约带来毁灭性打击,而缺乏有效性验证的预言机在数据正确性、稳定性方面存在极大的安全隐患。
事件二
在此后的事件中,令人印象深刻的是“bZx连续攻击事件”。2020年2月,DeFi贷款协议bZx在一周内先后两次遭到攻击,造成了约100万美元的损失。
事件原因
黑客利用Uniswap算法价格缺陷,操纵相关资产价格数据并游走多个DeFi协议,实施套利。
时隔七个月,bZx再次遭受攻击,此次事件又造成了约800万美元的损失。bZx联合创始人KyleKistner在事件发生后曾提到,这似乎是一次预言机操纵攻击。最终,此次事件的原因被归为代码漏洞。
事件三
近期,涉及预言机攻击的事件愈发频繁,安全形势严峻。10月26日,DeFi项目HarvestFinance遭到黑客攻击,造成了约2400万美元的损失。
事件原因
该协议fToken铸币时采用Curvey池为喂价源,攻击者通过巨额兑换,操纵价格数据,控制铸币数量,从而多次套利。
官方透露,黑客通过curvey池进行攻击,使Curve中稳定币的价格异常超出387.9%,并在7分钟内多次套利。受此影响,Harvest代币FARM的价格在短时间内暴跌65%。
事件四
11月14日,ValueDeFi协议遭到黑客攻击,同样是历经了一系列协议间操作,最终导致超过700万美元的损失。
事件原因
攻击者利用价格预言机漏洞,操纵Curve资产池价格,窃取超量3CRV兑换DAI后套利。
令人唏嘘的是,黑客最后归还了200万枚DAI并留下了一条嘲讽信息:“你真懂闪电贷吗?”以此回应该团队此前的推文,声称可防闪电贷攻击。
近段时间,仅由预言机攻击造成的资产损失已累计超过3000万美元。此类事件中,黑客正是通过操纵预言机,造成可实施套利的兑换率,最后利用价格差窃取了协议资产。
因此,DeFi生态中最具系统性风险的因素是易受价格操控的预言机,而非闪电贷这种金融工具。
解决方案的探索
预言机有着广泛的应用场景,需与链下数据进行交互的Dapp皆可借助预言机来实现功能和价值。其中,典型应用场景包括,Dex、衍生品、稳定币、借贷平台、游戏、保险、预测市场等。面对这个“数据要塞”,通过迭代升级、安全测试等,预言机有望提供更为优质的服务。
由于区块链本身不具备验证数据是否公平、合理的功能,因此,那些错误的外部数据在去中心化机制下,将被预言机无差别地执行返回,而这种“将错就错”极容易造成各类损失。
预言机的迭代升级,应实现链上与链下可信数据的对接,确保数据环境正常、稳定、有序。在报价方面,预言机应尽量从多节点聚合数据,对价格偏差预留处理机制,并按照时间同步更新,确保提供给智能合约的数据可靠、可信、抗干扰。
在Dex中,预言机应在提供报价更新的同时维护、调整AMM的权重,确保内部汇率与外部市场价格保持匹配,并通过验证机制,异常报警机制等有效拦截攻击者对价格、汇率的操纵,防止套利空间的产生。
另一方面,DeFi开发者应加强预言机的针对性测试,特别是在项目上线前,尽可能模拟价格操控攻击的各类场景,及时发现问题并找出解决方案,切实提高项目抗预言机攻击的能力。
项目上线后,开发者应根据情况选择接入第三方预言机服务、安全测试服务等;举办相关漏洞赏金活动,做到及时查缺补漏,优化整体结构,在最大程度上降低同类型事件再度发生的可能性。
结语
事物的两面性总能在各方面得到体现。对于闪电贷而言,本是一种创新金融工具,可高效提供大额资金,促进价值循环。然而,它却被攻击者利用,沦为了窃取资产的重磅武器。
不论是DeFi发展还是区块链新领域的拓展,链上、链下的数据交换势在必行,预言机的作用不可小觑。其实,攻击者的操控手段也并非高深,只是在现阶段预言机还不够智能,很难及时应对和抵御。
同样,事物发展的道路也总是曲折。在遭受诸多惨痛代价后,预言机这个“短板”暴露无遗。为区块链生态安全计,在完全抗操控攻击的预言机诞生之前,加强多方技术的验证和检测,防范攻击于未然成为了当务之急。
END
标签:EFIDEFIDEF区块链Pi Network DeFiDefina FinancePieDAO DEFI艺术币区块链
Filecoin主网启动上线已经1个月,对所有矿工和投资者来说,最大的感受就是落差太大,不是之前说好的单T产出为0.1枚FIL吗?甚至最夸张的前期宣传单T能到0.5枚左右!但主网上线之后的差异太.
BTC、ETH最近都创了近两年的新高,牛市的步伐正在向我们靠近,有多近呢?按当前BTC价格18240U,离历史最高点的19875U,仅仅只差一个10%的涨幅.
印度新德里电视台22日报道,英国男子伊恩.琼斯,是一名慈善机构工作人员。在印度工作期间,琼斯分别感染了疟疾和登革热。新冠疫情暴发后,琼斯选择留在印度继续帮助当地社区,却在不久后感染了新冠病.
?交易做的是概率游戏,在交易中,只有合理的分配资金和科学的设置止盈、止损,才能在人生的交易中做到长期稳定的盈利,才能真正在交易的人生中使自己立于不败之地,成为交易的赢家.
链闻消息,DeFi基金「M&A」发布推特宣布已购入375枚DeFi固定利率生成协议原生代币MPH,约合1800万美元完全稀释的市值,并称此前想投资88mph,但遭到拒绝.
律动BlockBeats消息,11月24日,锁定在DeFi的代币总价值已经创下新高,但是激增的加密价格掩盖了一个令人惊讶的新趋势,锁定在DeFi协议中的ETH的数量实际上正在下降.