三天三次閃電貸攻擊 DeFi為何如此脆弱？_EFI

之前，起源協議OriginProtocol穩定幣OUSD被爆出遭到閃電貸攻擊，OriginProtocol共損失225萬美元的DAI和100萬美元的ETH。隨后不久，OriginProtocol創始人MatthewLiu發文公布OriginDollar閃電貸攻擊事件細節。

文中表示，此次閃電貸攻擊已造成約700萬美元損失，其中包括Origin以及創始人和員工存入的超過100萬美元資金。Origin團隊正在全力以赴確定漏洞原因，以及確定是否能夠收回資金，并強調，團隊不會離開，此次攻擊事件不是欺詐，也不是內部騙局，稱黑客技術卓絕，愿意聘請其為安全顧問，如果黑客全額歸還資金，將不對其進行追蹤也不采取法律措施。截止目前并沒有進一步進展。

Origin并特地提醒用戶，目前已取消了金庫存款，不要在Uniswap或Sushiswap上購買OUSD。Origin團隊也表示正在采取措施以追回資金，包括和交易所以及其他第三方合作，以此識別出黑客地址，對資金進行凍結。黑客使用TornadoCash和renBTC來洗錢和轉移資金，目前還有7137枚ETH和224.9萬枚DAI留在黑客錢包中。

過去三天CHZ最大EOA持有者轉出2000萬枚代幣并存入幣安和OKX:12月9日消息，Web3知識圖譜協議0xScope發推稱，過去3天Chiliz（CHZ）最大的外部賬戶（EOA）持有者將2000萬枚CHZ轉移到不同的EOA地址，然后存入幣安和OKX。在此期間CHZ代幣價格下跌12%。

目前該地址持有6.79億枚CHZ（占總供應量的7.64%)），在CHZ EOA持有者中仍然排名第一。[2022/12/9 21:34:01]

來源：medium

受到攻擊事件的影響，OUSD價格出現急跌，跌至0.13美元，同時Uniswap中OUSD流動性也從16日的35萬美元跌至12萬美元。

至于具體的攻擊手法，根據目前Origin團隊的分析，攻擊者是利用了一筆小額貸款和OUSD合同中的漏洞來啟動所謂的“變基”，在將SushiSwap和Uniswap上新產生的代幣交換為USDT之前，攻擊人為地夸大了協議中OUSD代幣的供應。

數據：比特幣交易費在三天內上漲近兩倍:Glassnode數據顯示，比特幣交易費用在三天內幾乎翻了三倍，從平均3.52美元漲至10.20美元。目前比特幣礦工22.25%的收入來自手續費，其余77.75%來自區塊獎勵。[2020/10/28]

在過去短短的三周時間里，這已經是第五個遭受閃電貸攻擊的DeFi項目，HarvestFinance、Akropolis、ValueDeFi和CheeseBank，損失均在百萬美元級別以上，大部分損失最終都是散戶在買單。那么閃電貸攻擊到底是什么？為什么DeFi總是遭受黑客攻擊？

閃電貸：迷人又危險

可能大部分用戶最早聽到閃電貸攻擊這個名詞，是在今年2月bZx遭受閃電貸攻擊，當時攻擊者僅用時13秒即套利36萬美元，雖然bZx通過adminkey限制了操縱人提現，使攻擊者無法真正套利，但自此之后“閃電貸”開始頻繁成為熱門話題，巨額的套利收益抓人眼球。

CME比特幣期權交易量連續三天創歷史新高:金色財經報道，根據區塊鏈分析平臺Skew的數據，昨日CME比特幣期權交易量連續第三天創下歷史新高。交易活動主要集中在看漲期權上，這表明這些交易員預計比特幣將進一步上漲。對此，一些分析師認為，市場結構將足以使比特幣在短期內升至10500美元。[2020/5/15]

閃電貸FlashLoan隸屬DeFi生態，DeFi熱度全面起來之后，各種安全問題隨之而來，閃電貸就是一種常見的攻擊方式。閃電貸與傳統的DeFi借貸有很大的不同，傳統的DeFi借貸要求用戶在前期對貸款進行超額抵押，也導致資金利用率較低。而閃電貸則允許借款人無需抵押資產即可實現借貸，只要求借款人必須在同一個區塊中償還即可，否則就會被收回，整個交易回滾，閃電貸也不會發生。

NEBL現價388元漲幅93.16% 三天上漲近7倍:行情顯示，NEBL現價388元，漲幅93.16%，成為幣安上漲幅最高的幣種。NEBL從1月6日開始呈現漲勢，三天上漲近7倍。NEBL將在下周發布新版本。企業分布式應用程序在Neblio平臺能夠快速構建項目，RESTful API支持目前流行的所有編程語言，因此，開發人員可以直接在Neblio區塊鏈網絡進行交互。[2018/1/9]

閃電貸在極大提高資金利用率的同時埋下了安全隱患。一筆鏈上交易可以做很多事情，使得用戶可以在借款和還款間加入其它鏈上操作，這就存在了作惡的空間，很多用戶惡意利用閃電貸借入、交換、存入并再次借入大量的Token，人為地在DEX里操縱Token價格。這出現了目前常見的閃電貸攻擊。

有人曾這樣評價閃電貸，“閃電貸之于DeFi，就是一個核彈，而且開關擺在廣場上，它的危險程度用PoS類比，相當于任何人可以通過付利息的方式來借用全網Staking進行51%攻擊。”試想任何一個普通用戶分無分文卻可以控制巨額資金，空手套白狼，誰人不心動，這或許是只有區塊鏈才能帶來的的新奇金融世界。

但是有一點需要表明的是，用戶利用閃電貸進行的一系列套利行為從交易的本身來講是被允許的。技術沒有對錯，閃電貸只是一種工具，如果錯了那么就是因為使用工具的人。

DeFi：新奇又脆弱

閃電貸攻擊自bZx攻擊事件之后頻繁發生，但是閃電貸攻擊并不是DeFi生態中真正的系統性根源風險，究其根源在于Oracle攻擊，閃電貸攻擊往往只是對Oracle的攻擊。Oracle是連接鏈上DeFi應用和鏈下數據的中間件，由于使用去中心化的Oracle網絡，在多個交易所中存在交易量和流動性差異，那就加大了Oracle攻擊風險。

據samczsun.com網站研究人員發布的報告，在2020年，針對價格Oracle操縱行為非常多，迄今為止已導致逾3000萬美元損失，而且沒有放緩的跡象。還指出，多年來基于可重入性的攻擊已經減少，而基于價格Oracle操縱的攻擊現在正在上升。

其實很多閃電貸攻擊并不涉及到任何區塊鏈及智能合約的漏洞安全問題，這讓避免閃電貸攻擊變得難以捉摸，攻擊發生之時也沒有太多時間留給項目反應。很多閃電貸套利事件發生的前提條件只是因為在不同的DEX中存在價格差。

區塊鏈安全公司CertiK針對這種價差套利提出了兩點建議，第一，從控制價格差的角度思考，不同交易所之間建立價格同步機制或者采用同一種價格預言機，可以降低套利事件發生的概率；第二，從執行套利事件的智能合約角度思考，對涉及交易數目巨大的交易采取額外的驗證步驟或者提高對該種交易的交易費用，會減少套利事件的發生。

閃電貸發明的本意是讓想開發者可以任意借貸而無需提供質押物，但也打開了潘多拉魔盒。

未來閃電貸不會消失，但會以何種形態繼續發展不得而知，雖然有風險，但是在這之中確實看到了金融的創新，這是區塊鏈的想象力，是DeFi去中心化金融所帶來的新金融體驗。DeFi本就是一場大型的社會實驗，有成功自然也會失敗，這還不是終點，等待DeFi的完美試驗結果。

Tags：EFIDEFDEFIGINdefi幣官網defi幣今日行情DeFi Wizardoriginchain

以太坊最新價格