引言:关于DeFi的安全问题,从2020年2月份到现在,损失数亿美元,各路专家已有无数文章来解析DeFi乐高的风险,直到现在这类问题依然没有引起开发者们的高度重视,在市场持续狂热以及锁仓规模不断推高的环境中,人们似乎已经忘了,那个深埋在狂欢大陆土地下的隐患,并没有消失......
曾经的DeFi之王YFI协议未能幸免
2021年第一次闪电贷攻击事件,发生在了2020年的DeFi王者——YearnFinance协议身上,当然,这是偶然事件还是开年先拿王者开刀,来嘲讽DeFi的无能,我们暂且不论,也无从洞察“攻击者”的心境,这里,我们来看一下发生了什么。
根据慢雾科技的情报,遭受攻击的是YearnFinance协议的DAI策略池,具体情况如下:
Delphi Labs总法律顾问:Hinman文件不会对Ripple起到实际作用:金色财经报道,Delphi Labs总法律顾问Gabriel Shapiro在推特上表示,其认为在SEC诉Ripple案中,刚公开Hinman文件不会对Ripple起到实际帮助作用。Shapiro表示,Vitalik和Hinman(SEC前财务部主任William Hinman)的演讲并不是新信息,而是众所周知的事实。同意Hinman与ConsenSys和Vitalik合作的事实有助Ripple的公平通知辩护,但这些事是在Hinman文件公开之前就已为人所知。这些文件并不是Ripple案的重要线索。[2023/6/14 21:35:46]
1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH
DigiDaigaku Free NFT Factory即将上线,Digi Genesis收藏者将获得Bitcoin NFT:2月16日消息,DigiDaigaku母公司Limit Break首席执行官Gabriel Leydon发推称,正在设置Limit Break比特币节点。DigiDaigaku Free NFT Factory将很快投入运营。Digi Genesis收藏者将可以获得一个Free Bitcoin NFT。[2023/2/16 12:11:17]
2.攻击者使用从第1步借出的ETH在Compound中借出DAI和USDC
3.攻击者将第2步中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CurveDAI/USDC/USDT的大部分流动性
CoinShares:上周数字资产投资产品交易额为10亿美元,同比下降55%:8月22日消息,据CoinShares报告显示,上周数字资产投资产品净流出870万美元,比特币投资产品净流出1530万美元,以太坊投资产品流入290万美元,做空比特币的投资产品的资金净流入20万美元。此外,上周数字资产投资产品交易额为10亿美元,为今年第二低的交易额,同比下降了55%。[2022/8/22 12:41:21]
4.?攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值
5.攻击者第3步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币
过去3小时由Otherside产生的以太坊Gas费用收入超1亿美元:5月1日消息,据etherscan数据显示,从北京时间 5 月 1 日早上 9 点开始,过去三小时 The Otherside: OTHR Token 产生的 Gas 费用达到 39,045.25 ETH,约合 108,080,771.26 美元,占到以太坊全网 Gas 费用的 61.04%。 此前由于 Yuga Labs 元宇宙项目 Otherside 启动铸币活动一度导致 Etherscan 无法访问,目前已恢复。[2022/5/1 2:43:37]
6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复
7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例提现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中
8.由于第3步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者
9.重复上述3-8步骤5次,并归还闪电贷,完成获利
攻击者利用闪电贷进行这一循环套利,使得YearnFinance损失高达千万美元!
根源不是闪电贷,而是脆弱的价格机制
YFI和Curve之间的组合,利用LP的不同净值来计算份额,通过池子里的份额来决定价格,这是典型的价格操控!
我们把现在的各DeFi协议当作是各个国家,每个国家制定不同的政策规则,商人通过政策规则之间的组合,寻找突破口,来获取利差。这是光明正大的赚取合理收益,无法责怪攻击者,因为,你的机制告诉了别人,怎么来操控我的价格进行套利。
关于闪电贷攻击的问题,我们已经阐述过多次,《解读|Compound遭受价格预言机操纵攻击事件始末》,这篇文章里有详细描述。
价格操控的背后所暴露的问题,才是我们更应该去思考和研究的方向。
现如今的DeFi协议开发者,往往把快速、高效放在第一位,对区块链的本质充耳不闻,大家都求快,不愿去解决本质问题的根源。因为几乎所有人都正在这样做,睁一只眼闭一只眼。
比特币的设计,是让所有节点一起对正在广播的交易进行验证,所有人都同意的广播,这笔交易才作数。其本身就是一个冗余的复杂系统,比特币并非是为了在“可用性”方面做出创新,而是在“可信性”方面给出了一个完美的解决方案,解决了去中心化过程中的安全问题。比特币网络的算力规模越大,网络越安全,但其处理交易的效率并没有提高。
如果一个价格机制可以简单的利用所谓的“可信”节点上传到链上或者通过LP份额的方式来简单决定,而使用这个价格的DeFi协议或者用户无法对你的价格进行无需许可的有效验证,那么你给出的价格就是你说的算,并不是共识过的价格,并不是大家一起说的算;进而,基于这套价格体系的链上经济体的安全系数,也必然不会随着规模的扩大而增强。简单来讲,这与区块链本质背道而驰,舍本逐末。
坚定去中心化的安全之路
NESTProtocol坚持以无需许可,可被任何人验证的无套利空间的价格同步在链上生成,供DeFi协议调用,随着NEST报价矿工/验证者参与规模的增长,其在链上生成的价格数据质量也会同步提高,这是一个非合作博弈系统所应该表现出来的基础属性,可累积博弈。
在有效市场下,这种报价矿工之间的博弈、报价矿工与验证者之间的博弈,以及协议与二级市场之间的博弈,多维度非合作博弈生成的链上价格才是我们应该去追求的安全之根。
坚持区块链本质,坚定去中心化精神,是区块链行业发展的第一准则。
撰文|NESTFANS.知鱼
来源:金色财经
市场风云,变幻莫测,不如定其心,观其势,谋定而后动,取己所需,不贪婪,不好战,收放自如,方能稳操胜券!大家好我是罗浩天! ??实时快讯 今天上午,BTC震荡下行至38000USDT附近.
1900/1/1 0:00:00今天聊聊“高抛低吸”的问题,有人说:假如一个币一天涨幅超过30%甚至更多,接下来大概率会回调下跌,那先卖掉低点再接回来,这不是很好吗?我相信很多人在二级市场都有过上面这样的想法.
1900/1/1 0:00:00当比特币价格徘徊在3万美元的临界点附近时,一大批专家警告投资者要做好应对冲击的准备,这表明比特币这一加密资产正处于调整的边缘,可能再次跌至2万美元左右的区域.
1900/1/1 0:00:00比特币合约自2017年诞生后,萌发了各种各样的新玩法,每一种新玩法的问世,短时间内必将引领市场,给掌握者带来无比丰厚的回报.
1900/1/1 0:00:00配图来自Canva可画 搜狗滞留在美股市场的原因,其实非常有意思。2019年下半年到2020年上半年,搜狗的股价一直在3-4美元之间徘徊.
1900/1/1 0:00:00为了回馈用户,LBank「币生息」将启动DBNK年化50%持币生息。无需锁仓,持有即得,每日结息,天天有币.
1900/1/1 0:00:00