闪电贷攻击的本质，其实是 Oracle 攻击？

作者?|?AdelynZhou

自今年年初以来，去中心化金融生态系统已经迅速发展到锁定总价值超过120亿美元。随着这种指数级的增长，恶意行为者操纵和攻击脆弱的DeFi协议的动机增加了，并且这通常以牺牲普通用户为代价。

最近在许多DeFi攻击中使用的工具之一是闪电贷--这是一种新型的金融原始工具，它允许用户开立无抵押贷款，唯一的规定是贷款必须在同一个区块中偿还，否则就会被收回。这与传统的DeFi贷款有很大的不同，传统的DeFi贷款往往要求用户在前期对贷款进行超额抵押。

闪电贷的新奇之处在于，它可以让世界上任何一个人暂时成为资金非常充裕的交易者，具有突然操纵市场的潜力。在最近的一连串攻击中，我们看到恶意行为者利用闪电贷瞬间借入、交换、存入并再次借入大量的Token，这样他们就可以人为地在一个DEX里操纵Token的价格。这个操作序列本身是合规的，因此它也就允许攻击者利用该DEX进行异常定价。

区块链抵押贷款平台Acre完成650万英镑种子轮融资:金色财经报道，总部位于英国伦敦的区块链抵押贷款平台Acre宣布完成650万英镑种子轮融资，McPike Global Family Office (MGFO)、Aviva、Founders Factory参投，截至目前该公司的融资总规模已达到1150万英镑。Acre平台使用区块链技术验证消费者和财产数据，为抵押贷款业务提供支撑，该平台年抵押贷款额已超过100亿英镑，新资金将用于拓展建立新的合作伙伴关系并推出其他金融产品和服务。（Finsmes）[2023/4/3 13:42:34]

当闪电贷被用作操纵协议并窃取资金的恶意计划的一部分时，"闪电贷攻击"一词就会成为本周的热门加密术语。媒体机构和推特的大V都很关注闪电贷的运作，剖析恶意行为者在一次交易中从一个Token跳转到另一个Token以及从一个协议跳转到另一个协议的每一步。

最高法：仲裁裁决裁定被申请人赔偿与比特币等值的美元，再将美元折算成人民币，违反了金融监管的规定:金色财经报道，《高哲宇与深圳市云丝路创新发展基金企业、李斌申请撤销仲裁裁决案》案例经最高人民法院审判委员会讨论通过 2022年12月27日作为指导性案例199号发布。此前，仲裁庭裁决，变更云丝路企业持有的极驱公司5%股权至高哲宇名下；高哲宇向云丝路企业支付股权转让款25万元；高哲宇向李斌支付401780美元（按裁决作出之日的美元兑人民币汇率结算为人民币）；高哲宇向李斌支付违约金10万元。高哲宇认为该仲裁裁决违背社会公共利益，请求人民法院予以撤销。

对此，广东省深圳市中级人民法院于2020年4月26日作出（2018）粤03民特719号民事裁定，撤销深圳仲裁委员会（2018）深仲裁字第64号仲裁裁决。

最高法裁判要点称：仲裁裁决裁定被申请人赔偿与比特币等值的美元，再将美元折算成人民币，属于变相支持比特币与法定货币之间的兑付交易，违反了国家对虚拟货币金融监管的规定，违背了社会公共利益，人民法院应当裁定撤销仲裁裁决。[2023/1/14 11:11:57]

但"闪电贷攻击"这个词并没有抓住问题的全部。闪电贷不会在DeFi内部产生漏洞--它们只是揭示了已经存在的漏洞。"闪电贷攻击"往往只是对Oracle的攻击，其中Oracle是连接链上DeFi应用和链下数据的中间件，比如某项资产的公平市场价格。DeFi生态系统中真正的系统性风险是围绕着中心化的Oracle，而不是闪电贷。

道明证券：11月CPI数据公布后及美联储会议前，美元的下行趋势似乎受限:12月6日消息，美元上周再次下跌。但在道明证券经济学家看来，在11月CPI数据公布和12月美联储会议之前，美元可能会盘整。他们认为英镑兑美元的升势将逐渐消退，并预计美元兑日元在年底前将重新测试140。该行还认为澳洲联储和加拿大央行本周有鸽派立场风险，美元兑挪威克朗可能会上升，尤其是如果风险情绪见顶的话。[2022/12/6 21:25:14]

对于看着攻击发生的旁观者来说，闪电贷有一些迷人的地方。任何人都可以突然控制巨额资金，并以新奇的甚至恶意的方式进行配置，这一想法展示了这项技术如何赋予个人权力并解锁全新的金融工具。我们没有分析闪电贷的最终功能和目标，而是惊叹于其创造者的独创性和攻击的复杂性。因此，闪电贷越来越被定性为一种危险的DeFi创新。

比特币NFT项目Crash Punks将通过销售7个NFT筹集资金制作动画:7月1日消息，基于Stacks的比特币NFT项目CrashPunks宣布将在未来2周内通过销售7个NFT筹集资金制作其系列动画第三集，NFT将成为动画主角，团队将把CrashPunk变成3D版本，为其设计衣服、装配动作、制作动画、编写剧本并聘请配音演员。团队已筹集部分资金制作前两集，第一集将于9月在电影节上首映。NFT将在Stacks上NFT市场Gamma（原STXNFT）进行销售。[2022/7/1 1:44:47]

正如DeFi协议Aave的马克·泽勒(MarcZeller)所言，闪电贷只是一种工具：它们允许你在交易期间像鲸鱼一样行动。任何通过闪电贷执行的攻击也可以在没有闪电贷的情况下由资金雄厚的持有者执行。闪电贷所能做的就是让世界上的任何人暂时成为一个资本充足的持有者，因为获得闪电贷是不需要任何许可的，也没有预先抵押品的要求。

当然，公开获得这种资金，大大增加了可以进行这种攻击的人数。但即使在一个没有闪电贷的世界里，采用更多区块链的技术会为我们继续提供更快的渠道以及获得更多流动资金的机会。

关注问题所在

我们需要关注这些恶意行为者究竟在用他们新获得的资金做什么。一个明显的模式已经出现：恶意方利用闪电贷来操控依赖于单一去中心化交易所(DEX)作为协议唯一价格Oracle的DeFi协议。他们利用闪存贷来操纵和扭曲DEX上一种或多种资产的价格，导致使用该基于DEX的价格Oracle向DeFi应用程序提供不准确的价格数据。

然后，恶意攻击者就会乘机而入，以直接损害普通用户的利益为代价获取产生利润。在沉迷于利用过程中使用的特定工具时，我们的行业忽视了这些攻击的真正教训：依赖于从单个交易场所获取数据的价格预言的DeFi协议可能被拥有大量资金的参与者破坏。

这些都是Oracle攻击，其攻击载体不仅已经被预测到而且以前也已经发生过。对闪电贷的关注分散了我们对一个更大问题的注意力，即拥有数亿甚至有时高达10亿美元TVL的DeFi协议仍然依赖于单一交易所的价格反馈Oracle。正如我们所看到的，单一交易所可能会受到各种各样的成交量变化和鲸鱼操纵。对于另一个依赖中心化价格反馈的协议，其后果是显而易见的。

如今，TVL的众多顶级DeFidApp都使用了去中心化的Oracle网络，在多个不同的交易中异步核算多个交易所的交易量和流动性差异，这使得它们对闪电贷资金的操控不敏感。随着越来越多的用户被这个生态系统的金融便利性和机会所吸引以及DeFi协议从全球市场吸收着越来越多的价值，这些协议的维护者有责任采用去中心化的Oracle解决方案，以保护用户免受目前已被熟知的、可预防的攻击。

因此，当你下次听到"闪电贷攻击"这个词时，请三思而行。闪电贷很可能是用来针对系统中的一个特定漏洞：一个没有市场覆盖的价格Oracle。Oracle应该是一个协议的权威真相来源--关于资产的价格，关于市场的状态。正如我们所看到的，谁能操纵这个源头，谁就能获得巨大的利益。闪电贷攻击背后的真相：他们的资金来源是闪电贷，但他们是价格Oracle攻击。

AdelynZhou??作者

Olivia??翻译

李翰博??编辑

标签：DEFEFIDEFIORAOrigen DEFIMooni DeFi99DEFI.NETWORKORARE

酷币下载热门资讯