比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > MANA > Info

刀尖上的創新:閃電貸做錯了什么嗎?_ETH

Author:

Time:1900/1/1 0:00:00

從已知的信息來看,過去一周,已經發生了4起閃電貸攻擊,包括ValueDeFi、CheeseBank、Akropolis以及今天的OUSD。

我們特意查看了一下記錄,發現自今年年初以來基本每個月都要發生幾起閃電貸攻擊。說明閃電貸攻擊已經不是一種偶然事件了。

此前的一次閃電貸攻擊

最近的一次是OUSD。攻擊方案的核心就是閃電貸+重入攻擊。大概的流程是。

1.攻擊者先用閃電貸借了一大筆ETH這樣的主流資產,然后注入到各類DeFi協議中,進行類似鑄幣、流動性挖礦這樣的操作。

2.然后由于攻擊者手上有一大筆資金,它們可以操控價格并利用某些設計上的漏洞操控系統的判斷。

CZ:我們不應該相信Twitter內部人士發布的陰謀論:金色財經報道,幣安首席執行官CZ警告稱,我們不應該相信 Twitter內部人士發布的敘述,我們不應該聽信Binance FUD、Robinhood FUD和其他人在 Twitter 上到處冒出來的陰謀論。[2023/6/11 21:29:10]

3.最后的結果就是由于這樣的操作會導致系統會付給攻擊者遠高于初始資產的收益,最后攻擊者會重復這些操作,最后在合約中取回或者在DEX賣掉獲得的超額資產。

4.然后攻擊者再拿著一部分錢去還之前在閃電貸中借到的錢,就結束了整個攻擊過程。

本質上這些攻擊的核心邏輯就是借助巨額資金來進行非正常的套利操作。

Euler Finance黑客向Euler另一個地址再次歸還7738枚ETH,已累計返還1.51億美元:金色財經報道,據PeckShield監測,除今日早些時候Euler Finance攻擊者通過0x8765開頭和0xa1b4開頭的地址向Euler部署者賬戶返還15476.1枚ETH和1070萬枚Dai外,該攻擊者還通過0xc4e04的地址向Euler部署者賬戶歸還了7738.05枚ETH。黑客今日共計返還23214.15枚ETH和1070萬枚Dai,約合4100萬美元。此外,0xa1b44已將2000萬枚DAI轉移到一個中間地址0x0d1b...843,該地址將300萬枚DAI轉移到Euler:Multisig 2地址。

截止目前,Euler Finance攻擊者已經向Euler返還了8.49萬枚ETH(約1.51億美元)以及約1490萬枚DAI。[2023/3/28 13:30:21]

閃電貸不是漏洞,但是擴大了漏洞的風險

Wormhole攻擊者正將竊取資產以借貸形式杠桿做多ETH:1月24日消息,Etherscan記錄顯示與跨鏈協議Wormhole中價值3.23億美元的ETH被盜有關的地址開始轉移資產。攻擊者地址整合竊取所得ETH,通過DEX聚合器OpenOcean將95,630枚ETH(約合1.572億美元)轉換為stETH,之后stETH被轉換為86,473枚wstETH。黑客又以wstETH為抵押,獲得1300萬美元的DAI貸款,用于通過KyberNetwork購買約7989.5枚ETH。黑客重復了這一過程,持續增加杠桿。[2023/1/24 11:28:04]

在這其中我們發現,雖然近期的幾次事件都把“閃電貸”這個概念作為關鍵詞,但是閃電貸本身和攻擊事件本身并沒有直接的關聯。

花旗銀行外匯主管離開銀行擔任數字資產職務:金色財經報道,花旗長期擔任全球外匯業務負責人Itay Tuchman在20多年后離開了該銀行。這位高管是該機構內推進數字資產的首席架構師之一,雖然他的目的地尚不清楚,但一位熟悉此事的消息人士表示,他將在數字資產領域擔任一職。?據路透社援引一份內部備忘錄的報道稱,?斯圖爾特·斯塔利將立即接替他的職務。(the block)[2022/8/23 12:43:34]

在攻擊發生的前一天,ValueDeFi項目方還在宣稱自己是最安全的協議

但不可否認的是,閃電貸成為了其中極其重要的攻擊工具。用一句話來形容它的作用:“它允許你在交易期間像巨鯨一樣的行動”,最可怕的是,如果說那些資金雄厚的人更容易成為攻擊的來源,閃電貸可以讓一個一無所有,甚至沒有基本信用的人在短時間內變成一個手握重金的巨鯨,最重要的是這些人不需要任何許可、不需要良好的信用憑證也不需要付出等額或者超額的抵押品作為代價,完全是空手套白狼。

閃電貸本身不是一種漏洞,但它無形之中擴大了那些漏洞被攻擊的風險,因為第一攻擊者不需要任何代價,第二攻擊的來源大大增加,它可能會被任何一個洞悉漏洞的人作為攻擊的工具。

危險的創新:閃電貸錯在哪里?

事實上閃電貸在遭受非議之前被認為是DeFi最偉大的創新之一。閃電貸概念最早由Marble協議于2018年提出,當時開發者的想法是通過智能化合約完成的零風險貸款。智能合約平臺一次性處理交易,如果借款人不能償還貸款,整個交易就會回滾,就像貸款根本沒發生一樣。

重點是區塊鏈交易回滾這個特性,用戶和合約發起一筆交易,合約借給用戶一筆錢,然后同樣的用戶在這個交易里還回借出的金額和相應的利息就可以了。如果沒還那么這個交易就會被判定不生效,然后被回滾,也就不存在借款轉移的事情了。這在傳統觀念來說是完全不可思議的事情,因為借貸既不需要信用也不需要抵押品。

其實一開始閃電貸的用途是給那些套利者提供便捷的套利資金工具,例如分散交易所之間的額套利、清算多個借貸平臺的貸款或者進行再融資等這些操作,最簡單的就是,閃電貸可以幫助交易者從Marble銀行貸款,在一家去中心化交易所DEX中買幣,然后在另一家DEX以較高價格賣出代幣,然后獲得差價收益。這樣的目的是正常的,傳統金融中也會出現這樣的場景。唯一的區別就是閃電貸的零門檻零代價。

但是很不幸的是,我們能夠封堵漏洞,但永遠防不住人心。黑客或者潛在的攻擊者會發現閃電貸完全可以為攻擊提供充足的啟動資金,這其中產生的另外一個后果就是,由于黑客的錢是借來的,所以錢和黑客本身并沒有直接的關聯,他們的身份也更加地難以追蹤。

因此一句話總結:閃電貸減小了攻擊者的風險,攻擊會更加隨意。

閃電貸+:另一種潛在攻擊用途

作為工具,閃電貸的用途是我們永遠不能想象和預測的。我們完全不能低估“科學家”的智慧,除了經濟上的攻擊,閃電貸又被發現可以應用到別的領域的攻擊上,例如操縱去中心化社區的治理。

近期,Maker基金會智能合約開發團隊檢測到一起發生在MakerDAO治理提案中的投票違規行為,大體意思是,社區的一次提案需要持有治理代幣的用戶投票,然后有一個人就利用閃電貸借出總資產,然后用來作為抵押品在借貸平臺拿到大量的治理代幣,去參與投票,投完票然后再還回去。

聽到這里可能很多人會驚出一身冷汗,因為如果這次通過的是一項有利于攻擊者的戰略性提案,那造成的后果遠比一次套利攻擊要嚴重的多,而且這樣的攻擊顯然更加隱秘。

閃電貸本身在這次風波中并沒有任何過錯,它反而是一種讓人眼前一亮的創新,我們通過閃電貸這樣的產物看到了DeFi的想象空間是有多大。但基于當前DeFi正處在一個實驗性階段,因此大量的漏洞和攻擊者會將閃電貸用到各種非法用途上,所以很多人認為閃電貸是一種極為危險的創新,換個角度來說也正式因為閃電貸的存在,使得各項目方更加重視安全,這也是一種價值。

來源:金色財經

Tags:ETHEULEFIDEFVETH2eul幣子NRGY DefiDEFI S幣

MANA
林商彬:11.19疫苗行情還會再現嗎?黃金趨勢解讀操作建議_GENE

  只有遵循確定的規則,穩定的利潤才是可以預期的,否則,則盈利帶有偶然性,而虧損帶有必然性。然而大多數人最容易犯的錯誤,則是寧肯相信自己的感覺,或是迷信某人,或是聽信坊間流傳的小道消息,也不相信.

1900/1/1 0:00:00
比特點金手:11.19 比特幣回調觸底反彈后市如何操作_EDX

????投資生涯,每個人都會有陷入迷茫的時候,既然你有幸了解了投資的魅力,就不要輕易放棄,哪怕只是用最小的成本去嘗試,獲得收獲的往往是堅持到最后的人.

1900/1/1 0:00:00
比特幣2次沖擊1萬8 創年內新高 央視再次報道比特幣_SDT

比特幣昨日連續突破,迎來3000點附近,大漲行情,從全球金融市場來看比特幣也是走出了獨立行情。昨天美股和黃金都同步走弱,比特幣也一直表現的十分強勢。幣圈這次去散戶化,果然是比較成功.

1900/1/1 0:00:00
復盤:OUSD遭“經典重入攻擊”損失770萬美元,黑客憑什么屢屢得逞?_穩定幣

作者:PeckShield原標題:OUSD遭“經典重入攻擊”損失770萬美元DeFi安全亟待解決近日,PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊.

1900/1/1 0:00:00
大餅今日再破新高 后勢能否突破歷史高點 到達20000!_區塊鏈

??從心所欲,順理而行,青山遮不住,畢竟東流去,舟循川則游速,人順路則不迷。無論是美女的歌聲,還是鬣狗的狂吠,無論是鱷魚的眼淚,還是惡狼的嚎叫,都不會使我動搖.

1900/1/1 0:00:00
閃電貸攻擊的深層原因:價格預言機操縱攻擊_USD

作者:Samczsun 編譯:Savage 進入11月以來,連著有兩起閃電貸攻擊被報道,ValueDeFi協議和BSC上的CHEESE項目方都遭遇了類似攻擊,損失了數百萬美元.

1900/1/1 0:00:00
ads