從當紅明星到 DeFi 高危地帶，預言機安全問題該如何防范？_ChainLink

通過去中心化方式將價格數據在鏈上生成出來，這或許是唯一可行的正確邏輯。

原文標題：《預言機為何成為當前DeFi高危點？》撰文：WebX實驗室

一件接著一件，Compound動輒千萬美金資產清算事件的爆出，讓從前備受推崇的預言機成為眾矢之的。而且閃電貸攻擊系列事件給外界塑造了一種愈演愈烈的惡性示范，從一系列事件上來看，基于可重入性的漏洞利用在過去幾年中有所下降，而基于預言機價格操縱的漏洞利用率現在正在上升，預言機成了一個高危地帶。

為什么預言機是DeFi中的重要角色？

預言機主要圍繞著區塊鏈協議如何以可靠、可信的方式從第三方來源收集數據，然后將數據反饋給高度網絡化和自動化的去中心化應用Dapp和智能合約，以實現來自鏈外世界的信息源、數據源的溝通引入，從而建立鏈上權威事實。

這種外部數據的引入，將作為鏈上智能合約觸發的重要依據。以Compound為例，他們需要預言機的價格來確定借貸能力和抵押要求，以及用于需要計算賬戶價值的的所有功能，從而判定要不要對這個賬戶的資產進行清算從而滿足抵押需求。而對于一些采用AMM方案的DEX來說，由于交易規模小，深度不足，其市場價格很容易受到大額交易的影響而出現劇烈波動，這也需要預言機提供主流交易所數據來避免這種劇烈波動。

friend.tech：已向4.4萬名用戶發放首次周五積分空投:8月19日消息，friend.tech在推特發文表示，已向4.4萬名用戶發放首次星期五積分空投。此外，將在為期六個月的測試階段分發1億積分，每次空投將在周五進行，積分于鏈下記錄，并將在測試階段結束后有特殊用途。

friend.tech表示，空投會參考用戶每周四之前活動情況，標準將每周更新。不建議用戶使用任何特定方法來賺取積分。如果出現問題，friend.tech保留修改先前積分發放情況的權利。[2023/8/19 18:10:08]

講到這里可能你會覺得，預言機可能只是一個單一的輔助件，僅能作為外部數據的引入作用，事實恰恰相反。預言機的喂價功能或數據源的可靠支撐只是非常早期的形態，長遠來說，預言機將作為現實世界各類數據、信息、信用、資產等諸多要素的集大成者，它提供數據或信息的正確程度、技術實現的去中心化程度以及模塊腳本的智能化程度，都將對未來的區塊鏈世界和現實世界的連接產生重大影響。

從當紅炸子雞到高危點的預言機

本身預言機在今年DeFi爆火的盛夏中名聲大燥，包括Chainlink、NESTProtocol等項目一度成為市場聚光燈下的當紅明星項目。但早先的熱度與最近一個月里的輿論風向形成了鮮明反差，預言機被推到了另一個方向的風口浪尖上。

觀點：CPI數據再次加強了美聯儲6月暫停加息的可能:6月13日消息，今天的CPI數據降幅超出市場預期，但它們本可以更低，因為目前的數據仍然高于平均水平。對美聯儲來說，這意味著周四加息的可能性繼續縮小，而這才是市場所關心的。這個CPI報告是否會影響美聯儲的點陣圖還不好判斷，一些鷹派成員可能會覺得他們繼續加息的呼吁是正確的，他們可能會推動他們對利率上升的預測。然而，重要的是要注意，到7月做出決定還有時間，到12月甚至還有更長的時間，點陣圖表示年底的利率。目前市場可能需要保持冷靜，等待點陣圖和美聯儲主席鮑威爾的到來。[2023/6/13 21:34:29]

起因就是預言機越來越成為閃電貸攻擊、Compound清算等事件的突破點。Compound首席執行官RobertLeshner回應道，「Compound協議本身似乎沒有遭受損失，對于預言機攻擊是否是有人故意為之還是意外，或者是兩者兼有，無法得知。」

回顧早先Synthetix的攻擊事件，其核心邏輯是在Synthetix上，用戶可以合成其他貨幣資產，Synthetix依靠定制的鏈下喂價機制，從一組秘密喂價核算出總價格，并以固定的時間間隔發布在鏈上。然后，依據計算出來的價格，允許用戶針對資產進行多頭或空頭交易。

數據：幣安當前持有約52萬枚BTC:6月11日消息，據 Coinglass 數據顯示，自 6 月 5 日幣安遭到美國證券交易委員會（SEC）起訴以來，該交易所過去 7 天凈流出 38065.2 枚 BTC，當前幣安比特幣錢包余額約為 520,523.15 枚 BTC，仍是比特幣錢包余額最多的加密貨幣交易所。根據幣安比特幣錢包余額 7 天變化歷史數據顯示，該指標曾在五月初時有近 20 萬枚 BTC 的流出量，約是近 7 天流出量的 5 倍。[2023/6/11 21:29:56]

SynthetixMKR操縱的演示

然后2019年6月底，Synthetix所依賴的其中一個喂價渠道錯誤的報告了韓元價格，報價比真實匯率高出1000倍，這個價格被系統接受并發布在了鏈上。有一個交易機器人迅速在sKRW市場上進行了買入和賣出，利益匯率差賺取巨額利潤。雖然Synthetix從多個來源提取價格，然后一個錯誤的報價就使得整個平臺遭遇了毀滅性的打擊。

早先的閃電貸攻擊原理就很簡單，即作惡者從閃電貸中貸出巨量資金，用于深度或流量少的交易所或池子中，而這樣就會造成短時間內資產價格被操控的局面，這種不符實際被操控的數據波動將會為預言機帶來錯誤的輸入和輸出，作惡者利用這些錯誤的輸入和輸出所造成的后果就可以輕松獲利，更直白的說，攻擊者在交易過程中幾乎完全控制了價格，受害者只能被動的接受損失。同理，Compound清算事件中，由于CoinbasePro平臺上的穩定幣DAI價格一度被拉升至1.3美元，這導致使用該平臺預言機喂價信息的DeFi協議Compound出現了大規模清算。

Bixin Ventures宣布投資DeFi收益率市場協議Pendle:4月15日消息，Bixin Ventures在社交媒體上發文表示，該機構近期已投資DeFi收益率市場協議Pendle，交易將通過OTC方式完成。Bixin Ventures表示，借助簡單的UI/UX，Pendle允許用戶輕松部署收益策略，該平臺的TVL從2022年12月的約780萬美元迅速增長到今天的6050萬美元，僅五個月就增長了近775%。而Bixin Ventures認為這僅僅是一個開始，Bixin Ventures將為Pendle提供更多支持。[2023/4/16 14:06:07]

而「罪魁禍首」DAI上漲是因為CoinbasePro采用的是訂單簿模式，當流動性不足時就很容易對價格進行操縱。攻擊者事先計算好了操縱CoinbasePro平臺DAI價格所需的金額，以及通過清算Compound巨鯨能夠獲得的利潤，并在短時間內完成了這次攻擊。

由此看來作為重要的依據的預言機很大程度上無法保證數據來源的真實性或者有效性，Compound平臺的預言機取價數據來源中心化且單一，而中心化的來源則很容易被偽造、篡改、修改或隱藏信息，這種將任何單一的中心化數據源用作價格預言機是不明智的也是極度危險的，預言機攝入遭破壞或無效的數據可能會給下游用戶帶來巨大的災難。

Circle：USDC儲備80%為短期美債，20%為現金存款且大部分存于GSIB銀行:3月29日消息，Circle在博客文章中披露“USDC儲備的結構和管理方式”。文章稱，USDC儲備約80%為短期美國國債，約20%為美國銀行系統的現金存款。儲備是完全透明的 ，并受制于第三方保證有足夠的資產來滿足負債。它不包含具有不同風險狀況的任何其他資產。USDC儲備中的國債由SEC監管的全資政府貨幣基金結構持有。它們不受任何鎖定或贖回門檻的限制。每天都有關于該投資組合的獨立第三方報告 ，具體到每只證券。

Circle持有約20%的現金儲備，以滿足客戶的即時流動性需求。在最近多家銀行倒閉后，Circle已采取措施降低銀行系統的風險，目前已將儲備金的大部分現金部分存放在全球30家全球系統重要性銀行之一(也稱為GSIB)。Circle還在交易銀行合作伙伴處持有少量資金，以支持USDC流動性操作。

此外，Circle表示，該公司一直渴望直接在美聯儲持有USDC儲備的現金部分，實現將USDC作為真正的代幣化現金的愿景。為此，需要穩定幣立法。Circle還表示，為了USDC持有者的利益，USDC儲備金存放在隔離賬戶中。[2023/3/29 13:32:31]

另一方面，就是鏈下數據對價格波動的反應一般比較慢，不夠智能。背后原因是需要相信推送鏈上數據的特權用戶不會變壞也不會被脅迫推送不良更新，而這種信任推送不允許任何特權方訪問，這也就意味著即使被攻擊，也只能坐以待斃，由于沒有更好的解決方案跟上，這就引發了一起又一起的資產損失，但本質來說，攻擊者的操控手段也并非高深，只是在現階段預言機還不夠智能，很難及時應對和抵御。未來一個相對成熟的預言機應該是一個協議的權威真相來源，關于資產的價格，關于市場的狀態，關于危機事件的處理。

拯救DeFi安全先要拯救預言機

既然上面已經提到了預言機的漏洞所在，尤其遭受諸多慘痛代價后，將預言機這個「短板」暴露無遺。那么，在拯救DeFi安全性上，首先應該就是在數據源供應方的選擇上，預言機本身必須要做到，通過符合區塊鏈共識機制的去中心化方式將價格數據在鏈上生成出來，這也是唯一可行的正確邏輯，而不是找中心化數據源幾個節點取個中位數簡單的給鏈上喂價。

除此以外，預言機應該尋求更多的防護罩，這方面可以依托更安全的第三方機構保駕護航，進一步降低危機漏洞發生的可能性。在報價方面，預言機應盡量從多節點聚合數據，對價格偏差預留處理機制，并按照時間同步更新，確保提供給智能合約的數據可靠、可信、抗干擾，像數據可信驗證機制，異常報警機制等都應該用于預言機上。

最為重要的是，在異常數據的處理上，如何做到及時反饋并阻止事件發生，這里面我們可以適當增加一些人為干預，即在市場波動大、鏈上表現異常、價格更新慢的時候，我們可以設置專門的報告人手動在鏈上發布更新。而更智能的阻止異常數據的發生，可借鑒參考Nest預言機項目，其構建的去中心化驗證者和報價礦工之間的博弈機制，形成質押報價交易對資產的方法進行雙邊報價的鏈上生成，直接杜絕錯誤數據被采用。

不論是DeFi發展還是區塊鏈新領域的拓展，鏈上、鏈下的數據交換勢在必行，預言機的作用不可小覷。隨著預言機海量的數據類型越來越多，其影響力和關鍵作用越來越重要，預言機也將從價格預言機向事件型預言機發展，市面上諸如、政務、游戲等行業已經出現了事件型預言機的采用和推廣，相信歷經滄桑，預言機依然將作為溝通鏈上和鏈下世界的重磅武器，只不過需要時間修煉。

Chainlink

Chainlink

Chainlink是一個去中心化的預言機網絡，為區塊鏈智能合約解決互操性問題，并將其安全連接至鏈下數據源、WebAPI和傳統銀行支付系統。Chainlink極大豐富了智能合約的應用場景，使其在金融、保險和供應鏈等眾多行業都可以得到應用。Chainlink為谷歌、甲骨文和SWIFT等大型企業以及Polkadot與Substrate、Synthetix、Loopring、Aave、OpenLaw和Conflux等領先智能合約開發團隊提供了安全可靠的預言機服務。Chainlink允許任何人安全地提供智能合同，訪問關鍵的外部數據，脫機支付和任何其他API功能。任何擁有數據feed、脫機服務或任何其他API的用戶均可以直接將其提供給智能合同，以換取LINK令牌。其于2017年6月由舊金山金融科技公司SmartContract推出，開發商將其描述為一種安全區塊鏈中間件，旨在通過允許智能合約訪問關鍵鏈外資源、網站API、傳統的銀行賬戶支付。Chainlink網絡是Chainlink節點的分布式網絡，它們都直接將特定數據、API和各種離線支付功能的使用輸送給智能合約。有了Chainlink，你可以在一個合約中調用一個或幾個數據庫查詢需要的數據。Chainlink網絡由兩個獨立的部分組成，鏈上鏈和外鏈，它們必須交互以提供服務。該網絡的構建方式使其可以升級，因此可以在更好的技術和技術出現時替換其不同的組件。網絡的鏈上組件通過服務級別協議SLA基于智能合約的一方請求的度量來過濾神諭。使用這些指標，Chainlink收集對SLA查詢的響應，使用聲譽和聚合模型對它們進行排序，并提供可能實施到智能合約中的Chainlink查詢的最終集合結果。Chainlink首席執行官SergeyNazarov表示，當你在Chainlink搜索框中輸入「利率」，會看到大概有50多種數據流可選，將需要的復制粘貼到你的智能合約中。數據庫開發者將API與Chainlink連接之后，每一次有人調用他們的數據庫，都可以獲得LINK代幣。Chainlink團隊來自一家運行了三年半的智能合約公司SmartContract，位于美國舊金山，專門為大公司定制智能合約。目前，SmartContract最大的客戶是跨行交易網絡SWIFT，后者的網絡有11000家銀行加入。SmartContract原來所做的一次性的定制化合作，同樣也需要定制化的API，甚至需要跟選定的數據庫用專線連接；且不夠靈活，沒辦法決定你一次想多少個數據源。Chainlink則是希望讓智能合約變得每一個人都能用，同時保證安全，提供更多選擇。Chainlink開發者可以讓智能合約從不同節點訪問多個獨立數據源，持續交叉驗證，或者取幾個輸入值的中間值，以降低錯誤的概率。ChainlinkLINK查看更多Synthetix

Tags：INKLINKCHAChainLinkLINK幣是哪個國家的BLINKY價格Ecom Chainchainlink幣能漲到多少

火幣下載