宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Fil > 正文

并非闪电贷攻击 “幕后元凶”是它

作者:

时间:1900/1/1 0:00:00

近日,DeFi市场经历了一场严峻的考验,多起攻击事件接连发生,造成了巨大的资产损失。在多数安全事件中,闪电贷攻击的“冠名”似乎成为了标配。但是,在其背后不容忽视的真相,其实是对预言机进行操控,造成内外价格差并从中套利。

所谓闪电贷,其实是一种创新金融工具,可实现无抵押贷款,但要求在同一个区块内还款,否则交易回滚。闪电贷的魅力在于,可以使贷款者在无需付出任何努力或代价的情况下秒变“富豪”。当然,庞大的资金量也预示着强大的市场操控潜力。

在此类安全事件中,攻击者通常属于“空手套白狼”,先使用闪电贷获取大量资金,拥有了攻击的启动“砝码”后,再通过一系列手段出入各类抵押、借贷、交易等协议,在实现操纵、扭曲资产价格数据后,实施套利,最后归还“本金”。

数据显示,自2020年以来,黑客基于重入漏洞的攻击数量有所下降,而基于价格操控漏洞的攻击比例正在上升,并已造成累计超过数千万美元的损失。

孙宇晨:币安并非交易较小市值meme币的最佳平台:5月19日消息,波场 TRON 创始人、Huobi 全球顾问委员会成员孙宇晨表示,“币安可能是市场份额最大的加密交易平台,但它并非交易市值较小的 meme 币的最佳场所。如今,币安在上架加密资产方面有着非常高的标准。某个 代币首先需要至少达到 1 亿美元甚至 10 亿美元(市值)才能在币安上线。我认为这为其他交易平台的发展留下了非常大的空间。”[2023/5/19 15:14:03]

那么,这个预言机到底是什么?

区块链对外沟通的“桥梁”

预言机并不是什么玄幻事物,它其实是区块链网络与互联网以及其它区块链网络等保持数据、信息沟通的“桥梁”。特别是,在DeFi智能合约这类去中心化应用中,通过预言机,开发者可以调用包括行情价格在内的各种外部数据资源,让Dapp连通外部现实世界的数据环境。

SushiSwap澄清:4700万枚SUSHI解锁将会分批进行以Claim的模式领取,并非一次释放:官方消息,SushiSwap表示,海外币圈媒体Decrypt的SUSHI解锁报道存在多处事实错误,误导社区用户和读者;提到代币解锁,只提总金额却不提分批解锁,制造不必要的恐慌FUD。SushiSwap澄清了几处基本错误:1. 解锁时间原定三月底,社区对此没有分歧和争议,团队没有计划变更时间或取消解锁。2. 解锁将会分批进行以Claim的模式领取,并非一次释放,具体规则以稍后的官方公告为准。3. 质押的SUSHI可随时提取,收益亦不锁仓。4. 在一月份的提案中,就讨论过排除例如Harvest之类的协议,并不是新闻,也并非修改原计划。排除协议的原因是想把奖励分给真正参与的用户,关于协议是否收到奖励会在之后的公告中公布此前消息,Decrypt发文表示,将有4700万枚SUSHI代币(约合8.78亿美元)会从4月份开始解锁。[2021/3/29 19:24:47]

毫无疑问,能够提供不可篡改、可靠数据的预言机必将成为DeFi发展的重要基石。在DeFi应用中,不论自身配置还是依赖第三方供应,通过预言机可获取各个市场的价格、汇率等重要信息。而对于去中心化交易所来说,获取准确可靠的价格数据意义更为重大。

Compound创始人:清算并非协议本身问题 正在讨论是否进行赔偿:11月27日,Compound创始人Leshner发文回应遭遇预言机攻击一事。他表示,由于Coinbase Pro上的DAI价格迅速上升,导致DAI借贷者的资产共计8520万美元被清算。 其中,最大的一笔资产清算来自名为“yield farming” 的地址,一共要偿还4620万DAI,总计清算4980万DAI。在225,793个地址中,此次事件一共影响了124个地址,与此同时,协议中并不存在欠担保账户,所有市场都是健康的。但遭清算的地址认为协议风险参数和喂价机制过于激进。

对此,Leshner表示,从根本上讲,协议和喂价机制均按照协议设计进行,但此次清算事件也应该作为一个提醒,以进行协议校准,规避未来发生类似风险。基于此,Leshner建议社区进行讨论。其提到的协议更改内容包括:1.修改DAI市场参数(包括借款上限)以减小DAI市场相对于交易场所的规模;2.通过收紧锚定范围,将价格上限(例如上限为1.05)或利用其他报告者来修改DAI喂价;3.在某些情况下或全部情况下删除报告程序,仅依靠Uniswap,或采取完全不同的方法。此外,他还提到,受影响的地址一直在要求赔偿清算费用,如分配协议治理代币COMP,该诉求需要考虑是否合理。[2020/11/27 22:18:14]

与中心化交易所不同,Dex行情数据的“孤岛化”倾向更为明显,如果不与外界行情保持实时联动,Dex中的自动化做市商资产池很可能会因为交易量、流动性等的剧烈变化而产生价差损失。

声音 | 欧洲央行管委:比特币具有高度投机性,并非货币:据金十消息,欧洲央行管委维勒鲁瓦表示,比特币是具有高度投机性的资产,其并非货币。[2019/1/11]

随着DeFi市场热度的提升,行业更多的思考倾向于项目数量、规模以及模式等方面。而对预言机安全问题的关注反倒是处于一种不温不火的状态。近段时间,频繁发生的预言机安全事件可能为此敲响了警钟,预言机安全于DeFi生态有序发展至关重要。

典型的预言机安全事件

事件一

关于首起预言机安全事件,时间要回到2019年6月25日。DeFi衍生品平台Synthetix预言机发生异常,致使平台sKRW/sETH汇率报错,超过3700万枚sETH被低价交易,涉及金额近10亿美元。

事件原因

喂价源信息失常,预言机发生故障并将错误价格发布到链上,交易机器人发现后迅速套利。

声音 | 印度IT行业协会:加密货币非法并非我们的立场:据ethereumworldnews报道,印度有影响力的IT行业机构全国软件和服务企业协会(Nasscom)在推特上澄清自己对加密货币的立场:鉴于最近有媒体报道NASSCOM称加密货币非法,我们想澄清一下,在回应媒体质疑时,我们引用了印度储备银行在这个问题上采取的立场。这不是反映我们在这个问题上的立场。NASSCOM会在印度的法律框架内运营,并建议我们的会员公司也这样做。据此前报道,Nasscom的总裁Debjani Ghosh曾对媒体表示,从协会的角度来看,加密货币是非法的。[2018/10/27]

最后,Synthetix与交易机器人所属者达成资金返还协议,巨额损失得以挽回。但值得警惕的是,上游价格源异常可能给智能合约带来毁灭性打击,而缺乏有效性验证的预言机在数据正确性、稳定性方面存在极大的安全隐患。

事件二

在此后的事件中,令人印象深刻的是“bZx连续攻击事件”。2020年2月,DeFi贷款协议bZx在一周内先后两次遭到攻击,造成了约100万美元的损失。

事件原因

黑客利用Uniswap算法价格缺陷,操纵相关资产价格数据并游走多个DeFi协议,实施套利。

时隔七个月,bZx再次遭受攻击,此次事件又造成了约800万美元的损失。bZx联合创始人KyleKistner在事件发生后曾提到,这似乎是一次预言机操纵攻击。最终,此次事件的原因被归为代码漏洞。

事件三

近期,涉及预言机攻击的事件愈发频繁,安全形势严峻。10月26日,DeFi项目HarvestFinance遭到黑客攻击,造成了约2400万美元的损失。

事件原因

该协议fToken铸币时采用Curvey池为喂价源,攻击者通过巨额兑换,操纵价格数据,控制铸币数量,从而多次套利。

官方透露,黑客通过curvey池进行攻击,使Curve中稳定币的价格异常超出387.9%,并在7分钟内多次套利。受此影响,Harvest代币FARM的价格在短时间内暴跌65%。

事件四

11月14日,ValueDeFi协议遭到黑客攻击,同样是历经了一系列协议间操作,最终导致超过700万美元的损失。

事件原因

攻击者利用价格预言机漏洞,操纵Curve资产池价格,窃取超量3CRV兑换DAI后套利。

令人唏嘘的是,黑客最后归还了200万枚DAI并留下了一条嘲讽信息:“你真懂闪电贷吗?”以此回应该团队此前的推文,声称可防闪电贷攻击。

近段时间,仅由预言机攻击造成的资产损失已累计超过3000万美元。此类事件中,黑客正是通过操纵预言机,造成可实施套利的兑换率,最后利用价格差窃取了协议资产。

因此,DeFi生态中最具系统性风险的因素是易受价格操控的预言机,而非闪电贷这种金融工具。

解决方案的探索

预言机有着广泛的应用场景,需与链下数据进行交互的Dapp皆可借助预言机来实现功能和价值。其中,典型应用场景包括,Dex、衍生品、稳定币、借贷平台、游戏、保险、预测市场等。面对这个“数据要塞”,通过迭代升级、安全测试等,预言机有望提供更为优质的服务。

由于区块链本身不具备验证数据是否公平、合理的功能,因此,那些错误的外部数据在去中心化机制下,将被预言机无差别地执行返回,而这种“将错就错”极容易造成各类损失。

预言机的迭代升级,应实现链上与链下可信数据的对接,确保数据环境正常、稳定、有序。在报价方面,预言机应尽量从多节点聚合数据,对价格偏差预留处理机制,并按照时间同步更新,确保提供给智能合约的数据可靠、可信、抗干扰。

在Dex中,预言机应在提供报价更新的同时维护、调整AMM的权重,确保内部汇率与外部市场价格保持匹配,并通过验证机制,异常报警机制等有效拦截攻击者对价格、汇率的操纵,防止套利空间的产生。

另一方面,DeFi开发者应加强预言机的针对性测试,特别是在项目上线前,尽可能模拟价格操控攻击的各类场景,及时发现问题并找出解决方案,切实提高项目抗预言机攻击的能力。

项目上线后,开发者应根据情况选择接入第三方预言机服务、安全测试服务等;举办相关漏洞赏金活动,做到及时查缺补漏,优化整体结构,在最大程度上降低同类型事件再度发生的可能性。

结语

事物的两面性总能在各方面得到体现。对于闪电贷而言,本是一种创新金融工具,可高效提供大额资金,促进价值循环。然而,它却被攻击者利用,沦为了窃取资产的重磅武器。

不论是DeFi发展还是区块链新领域的拓展,链上、链下的数据交换势在必行,预言机的作用不可小觑。其实,攻击者的操控手段也并非高深,只是在现阶段预言机还不够智能,很难及时应对和抵御。

同样,事物发展的道路也总是曲折。在遭受诸多惨痛代价后,预言机这个“短板”暴露无遗。为区块链生态安全计,在完全抗操控攻击的预言机诞生之前,加强多方技术的验证和检测,防范攻击于未然成为了当务之急。

END

标签:DEFEFIDEFIDAIDeFi ForgeDeFi WarriorValuedefi vSWAPDai Stablecoin

Fil热门资讯
薪火言币:11.20灰度的增持对比特币起到了决定性的作用

各位朋友们,你们好,我是薪火,跟着我的客户都是做了很久的,不是我带他们赚了多少,而是我用心在指导,毫无保留的教技术,经常熬夜盯盘。深夜致电告知客户出场或进单。我的长远目标是赚的时候大家都高兴,亏钱我们找问题.

1900/1/1 0:00:00
CyberVein如何用DAVE解答数据间的量子纠缠

转载自Cointelegraph中文官方。本月,Cointelegraph中文对CyberVein进行了专访和特别报道.

1900/1/1 0:00:00
致富思维:落魄环卫工当街怒骂,原来身份不简单,晚景凄凉并不远

V客早晨去开共享单车,准备骑车去公司。此时,正值清晨清洁工在扫大街,有个大叔对着同伴喋喋不休,在抱怨,自行车的位置显然是他的清扫区域,但他说:这家饭店,老板赚那么多钱,别说管他人瓦上霜,连自家门前雪都不管,哎,人心不古啊!我这不是行业.

1900/1/1 0:00:00
首发 | Keep3r项目中心化风险漏洞分析

北京时间2020年11月20日,Telegram社群出现某些截图声称Keep3rLink接受了CertiK的审计服务。在此,CertiK郑重声明:CertiK团队从未对"Keep3rLink"项目进行过任何审计.

1900/1/1 0:00:00
Bancor 发布流动性挖矿提案,以吸引更多流动性资金

链闻消息,Bancor发布推出流动性挖矿提案,以吸引新的流动性进入资金池,激励更多流动性提供者参与和提升用户粘性。该提案目前正等待表决.

1900/1/1 0:00:00
薪火言币:11.21比特币以太坊投资中防爆仓的技巧

首先要合理保持适当的仓位,投资者只有合理控制了仓位,才有机会可以盈利。如若仓位设置过重,面临被套牢的风险性很大,即使投资者帐户上有过赢利,最终也容易招致亏损.

1900/1/1 0:00:00