操控DeFi數據太簡單 當前預言機解決方案并沒太大幫助_DEF

由于漏洞太過常見，導致DeFi無法大規模采用。但仍有解決預言機問題的辦法。

似乎每周我們都會聽到一個DeFi項目被黑客攻擊或利用的消息。其中，最新一批的受害者包括HarvestFinance、Akropolis、ValueDeFi、Origin，當然了，還有Compound。

當漏洞確實被利用時，它們通常涉及的是對數據源上參考價格的操縱，比如Curve，Kyber或CoinbasePro上的ETH/DAI。有時，這也會是一種過失，正如SNX案例中，韓元的小數點就出現了位置錯誤。

隨著去中心化金融的發展，價格被利用的可能性肯定也會隨之增加。此外，隨著越來越多的資產被用作是抵押品，DeFi領域也將變得更加復雜。

安全團隊：EGD_Finance遭受黑客攻擊，代幣價格被閃電貸操控:8月8日消息，據慢霧區消息，BSC上的EGD_Finance項目遭受黑客攻擊，導致其池子中資金被非預期的取出。慢霧安全團隊進行的分析如下：

1.由于EGD_Finance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格，而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格

2.攻擊者利用這個點先閃電貸借出池子里大量的USDT，使得EGD代幣的價格通過計算后變的很小，因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多，從而導致池子中的EGD代幣被非預期取出

本次事件是因為EGD_Finance的合約獲取獎勵時計算獎勵的喂價機制過于簡單，導致代幣價格被閃電貸操控從而獲利。[2022/8/8 12:09:04]

隨著指數越來越普遍，按公平市場價值結算的期權也將發揮潛力，但復雜性也同時會增加。當然了這些領域的成功取決于準確、安全、以及不受操縱的數據。

成都鏈安：hackerDao項目遭受價格操控攻擊，獲利資金已轉至Tornado.cash:金色財經消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，hackerDao項目遭受價格操控攻擊。成都鏈安安全團隊第一時間進行分析，發現攻擊者先從先閃電貸借出2500WBNB，拿出部分WBNB兌換出大量hackerDao，然后將這筆hackerDao發送WBNB/hackerDao；并調用該交易對合約的skim函數將多余代幣領取至BUSD/hackerDao。由于hackerDao代幣在轉賬時，如果轉賬接收地址是BUSD/hackerDao時，會同步減少發送者的代幣余額以收取手續費，因此,WBNB/hackerDao交易對中的hackeDao數量被異常減少，從而影響該交易對的代幣價格，使得攻擊者最終利用WBNB/hackerDao兌換出WBNB時，獲取額外的收益。目前攻擊者實施了兩次攻擊，總計獲利約200BNB，已經轉至Tornado.cash 。[2022/5/24 3:38:37]

那么，如果像ETH/DAI這類的交易對都如此容易被操縱時，那些流動性較差的參考值又有什么機會抵御攻擊呢？其中一些交易很少在多個交易場所中進行，而且幾乎完全是在去中心化的交易所進行的。而另一些則依賴于第三方的計算值。

Coinbase CEO：技術工具比肩納斯達克 嚴防交易所人為操控:近日一項論文研究指出Bitfinex或Tether存在市場操縱的行為。對此，Coinbase英國首席執行官Zeeshan FerozI在MJAC區塊鏈峰會上發表講話時表示，針對研究的具體內容不做評論，但保證Coinbase已經執行了檢查以防止人為的操作，將盡可能的監控，交易監控與納斯達克等公司的工具不相上下，目前正在研究如何將交易所受到的操縱最小化。[2018/6/14]

減輕DeF被黑客攻擊和利用的風險

多個預言機。每個預言機在其首選的數據來源、如何達成數據共識以及如何計算這些價格等方面的結構是不同的。在處理流動性較差的交易對時，一個潛在的選擇便是利用多個預言機。雖然這會帶來額外的成本，但與傳統的預言機相比，新出現的預言機已經在降低成本方面取得了很大的進步。

韓國河泰慶（???）于今日早間10點公開韓國政府操控虛擬貨幣價格走勢的證據:韓國河泰慶（???）1月19日在自己的Facebook上表示“今日早間10點將要在政論館揭示韓國政府管制塔操控虛擬貨幣價格走勢的一個新證據，希望大家多關注。”后續消息金色財經會持續關注報道。[2018/1/19]

設置界限。在價格周圍設置界限將起到更為理智檢驗的作用。對于穩定幣，我們可以設置最小值和最大值，以減輕潛在漏洞危害。例如，我們可以將Dai的價格設置在0.97美元和1.03美元之間。

熔斷機制。除了范圍限制的穩定幣之外，對于其他加密貨幣對，我們可以設置交易范圍。一旦這些范圍被突破，我們就會進入冷卻期。這與納斯達克和其他傳統金融市場使用的熔斷機制大致相同。只有在冷卻期過后，才可以重新開始交易。

平均數。根據DeFi項目的使用情況，不同時期的時間加權平均價格和(或)數量加權平均價格也可以減輕對流動性較差價格的攻擊。通過使用不同時間和數量的平均數，突然和臨時的價格沖擊對參考價格的影響就會較小。AndreCronje在他的Keep3r預言機中就把這一點發揮到了極致。據了解，該預言機使用的是日均價。

市場內部。當攻擊確實發生時，這些攻擊往往只會利用市場內部的一個方面，例如出價。而買入/賣出價差突然地大幅波動也是表明問題出現的信號。作為行業中的一員，我們應該時刻注意這些事件的發生，并在發生時發出警報。

波動率指數。隱含波動率，即IV，在金融領域發揮著重要作用。它是期權定價的依據。然而即使是在成熟的、流動性強的市場中，如CBOE波動率指數，仍有被操縱的可能。目前DeFi的隱含波動率是基于Deribit歐式期權價格中的IV計算的。通過使用不同的方法，根據期權價格、到期時間、行權價格、現貨價格和現行利率來倒推隱含波動率。我們應當檢查隱含波動率是否存在異常，例如相對于標的物或市場整體的IV值有沒有突然增加或減少。雖然IV是對未來波動性預期的指示，但通常與標的資產和/或市場總體波動性也存在著相關性。此外，對于現金結算的期權來說，特別是在臨近到期日時，還應該考慮時間加權或數量加權的波動率。

更好的預言機將打造更好的DeFi生態系統

理想情況下，我們可以從多個來源收集數據，這些來源很難操作，而且操作成本很高。

首先，現有的預言機只支持最大的加密貨幣對，而且往往不能頻繁地刷新價格。例如，Compound選擇使用的就是CoinbasePro而不是Chainlink。這在很多人看來可能是一個令人費解的選擇。

然而，即使是Chainlink也只是每24小時更新一次Dai合約，或者當價格變動2%時才會更新。因此，Compound被迫在及時/活躍的數據和不受操縱的數據之間做出選擇。如果選擇Chainlink而不是CoinbasePro，那么在Dai價格被操縱在2%的范圍內波動時，它們仍有可能遭受損失。而且這種損失往往是慢性死亡，而不是直接的致命一擊。

許多加密貨幣只在一兩個交易所交易，有時只在去中心化的交易所交易，而且流動性極低，波動性大。在這些類型的情況下，DeFi項目必須與能夠提供它們所需的數據廣度以及數據的活躍度的預言機合作，這是至關重要的。

每個DeFi項目都面臨著一套獨特的、不同的變量。因此，并非所有建議的解決方案都適合每個項目。每個項目都應該考慮其獨特的數據要求，從而選擇適合其要求的折中方案。

Tags：DAOACKHACDEFHKD.com DAOBlackHoleDAOMechaChainBearn Defi Protocol

Coinw