近亿美元被清算 我们去DeFi平台借贷时需要注意什么

11月26日下午，去中心化借贷平台Compound遭遇黑客攻击，价值约9千万美元的加密资产被系统强制清算。除了用ETH等非稳定加密资产贷出DAI的用户遭受影响外，抵押其他稳定币借DAI的用户也被殃及。

Compound开创了今年DeFi流动性挖矿的先河，目前平台总锁仓的加密资产高达14.7亿美元，略高于Aave但低于Maker，在DeFi借贷平台中排名第二。

图：DeFi借贷平台TLV排名；来源：https://defipulse.com

Compound的此次巨额清算，罪魁祸首不是项目本身的代码漏洞，而是被很多人忽略的预言机数据源。事实上，在过去的几年里，因为代码漏洞遭遇黑客攻击的比例有所下降，但基于价格预言机操纵的漏洞攻击正在逐步上升。

无论是开发者，还是我们普通用户，都需要关注预言机的数据源，重视预言机的安全性。今天这篇文章，我们将通过通俗易懂的语言，带领大家了解：

Web3游戏公司Mythical Games完成3700万美元融资:金色财经报道，Web3视频游戏开发公司 Mythical Games 在由数字资产管理公司 Scytale Digital 领投的 C1 轮融资中筹集了 3700 万美元。该公司的新投资者包括 Cathie Wood 的 ARK Invest、Animoca Brands、PROOF、Stanford Athletics 和 MoonPay。现有资助者 Andreessen Horowitz、WestCap、Gaingels、Signum Growth 和 Struck Capital 也参与其中。[2023/6/27 22:03:43]

1、什么是预言机？

2、黑客是如何操纵预言机数据源，导致Compound发生巨额清算？

3、普通用户如何自我保护？

什么是预言机？

过去一周NFT项目Vahalla和Cockpunch交易额共计1860万美元:金色财经报道，在过去七天内，Vahalla和Cockpunch两个NFT项目的交易额共计1860万美元，在NFT排行榜上分别排名第三和第四。

CryptoSlam数据显示，Vahalla是过去一周第三大受欢迎的NFT项目，交易额为940万美元，交易数量为6774笔。Valhalla是一款基于NFT的战术策略游戏，由初创公司Stacked创建。第四大最受欢迎的NFT项目Cockpunch，交易额为920万美元，交易数量为9554笔。Cockpunch是由作家兼企业家Tim Ferriss创建的叙事奇幻小说NFT系列。（The Block）[2022/12/15 21:45:11]

提到预言机，大家可能第一时间想到预测市场。事实上，预言机并不作任何预测，相反，它只是一个提供数据、提供信息的桥梁。

1inch已支持直接从Rocket Pool智能合约铸造或销毁rETH:11月1日消息，聚合交易协议1inch针对Rocket Pool的rETH兑换进行了优化，将Rocket Pool的质押合约直接集成到1inch聚合协议中，允许直接从Rocket Pool的智能合约铸造或销毁rETH。也就是说，用户不再需要手动将rETH的市场价格与直接从Rocket Pool铸造/赎回它的成本进行比较，1inch将通过使用这两种来源的任意组合来提供较优价格。[2022/11/1 12:05:38]

举一个生活中的常见例子。你早上刚睡醒睁开眼，想知道外面是否下雨，你对着iPhone说“HiSiri，今天的天气如何，会下雨吗？”语音助手Siri回复你：“主人，现在外面正下着小雨，出门请记得带伞。”

在这个例子中，Siri就扮演了预言机的角色，扮演了现实世界和你之间的桥梁，通过它，你知道了外面正在下雨。

安全团队：Slope Wallet (Android, Version: 2.2.2)的sentry服务存在私钥泄露:8月4日消息，慢雾发布对 Solana 攻击事件的分析，据 Solana 基金会提供的数据，被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope，其余使用 Trust Wallet、Coin98 Wallet 等，IOS 和 Android 均未能幸免。

在分析 Slope Wallet (Android, Version: 2.2.2) 时，发现其使用了 sentry 的服务。Sentry 是一项广泛使用的服务，在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据，并在创建钱包时将其发送到 https://o7e.slope[.]finance/api/4/envelope/，并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”，而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布，所以 Slope 该日期之后的用户受到影响。

对于另外 60% 的使用 Phantom Wallet 用户，分析 Phantom（版本：22.07.11_65）钱包后发现，Phantom（Android，版本：22.07.11_65）也使用 sentry 服务收集用户信息，但目前没有发现任何明显的收集助记词或私钥的行为。[2022/8/4 2:58:18]

在区块链领域，我们最常见的是价格预言机，即为区块链应用提供加密资产的价格信息。

Glassnode：Binance已取代Coinbase成为拥有比特币最多供应量的交易所:金色财经报道，区块链分析公司Glassnode数据显示，Coinbase 继续出现比特币净流出，过去两年累计减少45万枚比特币。Coinbase的比特币余额以1万到3万枚的步骤持续下降。这些比特币正被转移到与Coinbase实体无关的新钱包。鉴于其持有量，这些可能是机构的托管方案。另一方面，在同一时间内，币安的净余额大约增加了30万枚比特币。因此，币安现在已经取代Coinbase成为拥有比特币最多供应量的交易所。[2022/7/11 2:04:33]

需要注意的是，预言机本身并没有数据，它是通过采集不同渠道的数据，然后进行加工处理，其他应用调取预言机处理后的数据信息。就像上面的例子中，Siri本身并不知道外面的天气情况，它是采集了气象服务商的实时天气数据，而我们调取了Siri获得的这个天气数据。

价格预言机，按照获取价格的方式可以分为两种：一种是通过中心化交易所API获取加密资产的实时价格，并将这个链外价格数据带到区块链上；另外一种是直接读取去中心化交易所的实时数据来获取价格。这两种方式各有利弊。

此次Compound因为DAI的价格剧烈波动而触发巨额清算，它所使用的预言机就是采集的中心化交易所DAI的价格信息。

Compound为何会发生巨额清算？

在介绍黑客是如何操控预言机数据源导致Compound触发巨额清算之前，我们先来了解一下DeFi借贷平台的借贷规则。

无论是Compound还是Maker、Aave，主营业务都是抵押贷，即贷款之前你需要有加密资产进行抵押。这个很容易理解，现实生活中你去银行贷款，也需要抵押。如果你偿还不上银行的贷款，银行会把你的抵押物拿去拍卖，用拍卖的钱偿还你的欠债。DeFi借贷平台也一样，如果你偿还不上，平台会卖出你抵押的加密资产用来还债。

DeFi是去中心化的应用，由智能合约自动执行。为了防范风险，这些DeFi借贷平台都会设置：

抵押率

清算门槛

抵押率，指的是你抵押加密资产后，可以贷出多少比例的其他资产。不同的加密资产，因为波动性和市场认可度不同，最大抵押率也可能不同。举个例子，在Compound和Aave上，ETH的最大抵押率都是75%，即你抵押价值100美元的ETH到Compound或者Aave上，你最多可以贷出价值75美元的其他加密资产；UNI最大抵押率，Compound上是60%而Aave上是40%，即抵押价值100美元的UNI在Compound可贷价值60美元的其他加密资产，而Aave上最多只能贷40美元。

清算门槛，指的是你的债务与你抵押的资产之间的比例达到某个数值后，平台会强制卖出你的抵押资产以偿还债务。同样，不同的加密资产，因为波动性和市场认可度不同，清算门槛也可能不同。举个例子，ETH在Aave平台上的清算门槛为80%，意味着当你的债务达到抵押资产价值的80%时，系统就会把你的抵押资产卖出还债。

发生清算时，借贷平台会给清算人奖励，以激励清算人代表借款人去偿还债务，防范后续出风险。举个例子，Aave上ETH的清算奖励为5%，隔壁老王抵押了1ETH，借出了300DAI。过了几天，ETH价格跌到了375USDT，隔壁老王的抵押率达到了80%，就要被清算了。矿矿作为清算人，以5%的优惠折扣，即356.25USDT的优惠价购买被系统清算的价值375USDT的1ETH，系统收到货款后，扣除隔壁老王的债务300DAI，剩余的56.25USDT还给隔壁老王。这个例子为了计算方便没有考虑利息，在实际操作中，因为利息的存在，ETH价格还没跌到375USDT就会被清算。

接下去说是昨天发生的Compound巨额清算。

Compound上的DAI价格来源于预言机，而该预言机的DAI价格采集自单一的交易所——CoinbasePro。根据目前的分析，黑客操纵了CoinbasePro上DAI的价格，下图我们可以看到，DAI的价格短时间内最高拉到了1.34USD。

CoinbasePro交易所DAI价格的上涨，让Compound上抵押其他资产借出DAI的用户债务增加了，一些杠杆率高的用户触发了清算门槛，被Compound清算，而黑客此时扮演清算人的角色，获取系统给的5%清算奖励，最终获利约355万美元。

SamPriestley在推文中分析道：当你的帐户正在清算时，清算人可以选择接受你的任何抵押品，以换取偿还你的债务。所以清算人拿走了DAI。从Uniswap借入DAI，偿还DAI债务，从清算中获取更多DAI，偿还Uniswap，坐收利润。

我们普通人应该如何自我保护？

Compound发生巨额清算，主要是预言机只采集单一交易所DAI的价格惹的祸。其他借贷平台上的DAI，比如Aave，因为采用的是Chainlink预言机，Chainlink采用的是多家运营商的报价，因而避开了此次事故。

对我们普通人而言，在使用借贷平台时，一定要先了解借贷平台的预言机数据源。数据源越多，黑客操控预言机的难度越大，相对而言越安全。

另外，在抵押借贷时，适当降低自己的抵押率。加密资产价格波动剧烈，黑客操纵价格或是插针砸盘往往在短短几分钟内完成，如果抵押率高了，很多人根本没有时间增加资产抵押，那面临的结果只能是被清算。

最后，也是最重要的一条建议，能场外借贷就不要场内借贷。场内借贷，场内杠杆，被恶意操控、恶意爆仓的例子数不胜数。

风险提示：本文内容仅为作者个人观点，不代表知矿大学的看法或立场，亦不构成任何投资意见或建议。

参考资料：1、《Compound突现9000万美元巨额清算，预言机安全应受重视》2、《Compound一日内清算逾9千万美元，Coinbase预言机难辞其咎？》3、《细数DeFi预言机攻击套路，这六种安全措施你需要了解》4、《什么是区块链预言机》

标签：COMOMPUNDCOMPCOMBI币CompoundCrypto Makers FoundationCompound Basic Attention Token

比特币价格实时行情热门资讯