首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

三天三次閃電貸攻擊 DeFi為何如此脆弱?

之前,起源協議Origin Protocol穩定幣OUSD被爆出遭到閃電貸攻擊,Origin Protocol共損失225萬美元的DAI和100萬美元的ETH。隨後不久,Origin Protocol創始人Matthew Liu發文公布Origin Dollar(OUSD)閃電貸攻擊事件細節。

文中表示,此次閃電貸攻擊已造成約700萬美元損失,其中包括Origin以及創始人和員工存入的超過100萬美元資金。Origin團隊正在全力以赴確定漏洞原因,以及確定是否能夠收回資金,並強調,團隊不會離開,此次攻擊事件不是欺詐,也不是內部騙局,稱黑客技術卓絕,願意聘請其為安全顧問,如果黑客全額歸還資金,將不對其進行追蹤也不采取法律措施。截止目前並沒有進一步進展。

Origin並特地提醒用戶,目前已取消了金庫存款,不要在Uniswap或Sushiswap上購買OUSD。Origin團隊也表示正在采取措施以追回資金,包括和交易所以及其他第三方合作,以此識別出黑客地址,對資金進行凍結。黑客使用Tornado Cash和renBTC來洗錢和轉移資金,目前還有7137枚ETH和224.9萬枚DAI留在黑客錢包中。

來源:medium

受到攻擊事件的影響,OUSD價格出現急跌,跌至0.13美元,同時Uniswap中OUSD流動性也從16日的35萬美元跌至12萬美元。

至於具體的攻擊手法,根據目前Origin團隊的分析,攻擊者是利用了一筆小額貸款和OUSD合同中的漏洞來啟動所謂的“變基” ,在將SushiSwap和Uniswap上新產生的代幣交換為USDT之前,攻擊人為地誇大了協議中OUSD代幣的供應。

在過去短短的三周時間裏,這已經是第五個遭受閃電貸攻擊的DeFi項目,Harvest Finance、Akropolis、Value DeFi和Cheese Bank,損失均在百萬美元級別以上,大部分損失最終都是散戶在買單。那麼閃電貸攻擊到底是什麼?為什麼DeFi總是遭受黑客攻擊?

閃電貸:迷人又危險

可能大部分用戶最早聽到閃電貸攻擊這個名詞,是在今年2月bZx遭受閃電貸攻擊,當時攻擊者僅用時13秒即套利36萬美元,雖然bZx通過admin key限製了操縱人提現,使攻擊者無法真正套利,但自此之後“閃電貸”開始頻繁成為熱門話題,巨額的套利收益抓人眼球。

閃電貸Flash Loan隸屬DeFi生態,DeFi熱度全麵起來之後,各種安全問題隨之而來,閃電貸就是一種常見的攻擊方式。閃電貸與傳統的DeFi借貸有很大的不同,傳統的DeFi借貸要求用戶在前期對貸款進行超額抵押,也導致資金利用率較低。而閃電貸則允許借款人無需抵押資產即可實現借貸,隻要求借款人必須在同一個區塊中償還即可,否則就會被收回,整個交易回滾,閃電貸也不會發生。

閃電貸在極大提高資金利用率的同時埋下了安全隱患。一筆鏈上交易可以做很多事情,使得用戶可以在借款和還款間加入其它鏈上操作,這就存在了作惡的空間,很多用戶惡意利用閃電貸借入、交換、存入並再次借入大量的Token,人為地在DEX裏操縱Token價格。這出現了目前常見的閃電貸攻擊。

有人曾這樣評價閃電貸,“閃電貸之於DeFi,就是一個核彈,而且開關擺在廣場上,它的危險程度用PoS類比,相當於任何人可以通過付利息的方式來借用全網Staking進行51%攻擊。”試想任何一個普通用戶分無分文卻可以控製巨額資金,空手套白狼,誰人不心動,這或許是隻有區塊鏈才能帶來的的新奇金融世界。

但是有一點需要表明的是,用戶利用閃電貸進行的一係列套利行為從交易的本身來講是被允許的。技術沒有對錯,閃電貸隻是一種工具,如果錯了那麼就是因為使用工具的人。

DeFi:新奇又脆弱

閃電貸攻擊自bZx攻擊事件之後頻繁發生,但是閃電貸攻擊並不是DeFi生態中真正的係統性根源風險,究其根源在於Oracle(預言機)攻擊,閃電貸攻擊往往隻是對Oracle的攻擊。Oracle是連接鏈上DeFi應用和鏈下數據的中間件,由於使用去中心化的Oracle網絡,在多個交易所中存在交易量和流動性差異,那就加大了Oracle攻擊風險。

據samczsun.com網站研究人員發布的報告,在2020年,針對價格Oracle操縱行為非常多,迄今為止已導致逾3000萬美元損失,而且沒有放緩的跡象。還指出,多年來基於可重入性的攻擊已經減少,而基於價格Oracle操縱的攻擊現在正在上升。

其實很多閃電貸攻擊並不涉及到任何區塊鏈及智能合約的漏洞安全問題,這讓避免閃電貸攻擊變得難以捉摸,攻擊發生之時也沒有太多時間留給項目反應。很多閃電貸套利事件發生的前提條件隻是因為在不同的DEX中存在價格差。

區塊鏈安全公司CertiK針對這種價差套利提出了兩點建議,第一,從控製價格差的角度思考,不同交易所之間建立價格同步機製或者采用同一種價格預言機,可以降低套利事件發生的概率;第二,從執行套利事件的智能合約角度思考,對涉及交易數目巨大的交易采取額外的驗證步驟或者提高對該種交易的交易費用,會減少套利事件的發生。

閃電貸發明的本意是讓想開發者可以任意借貸而無需提供質押物,但也打開了潘多拉魔盒。

未來閃電貸不會消失,但會以何種形態繼續發展不得而知,雖然有風險,但是在這之中確實看到了金融的創新,這是區塊鏈的想象力,是DeFi去中心化金融所帶來的新金融體驗。DeFi本就是一場大型的社會實驗,有成功自然也會失敗,這還不是終點,等待DeFi的完美試驗結果。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20201118A01ZHS00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券