Mango Market黑客事件與預言機的局限性_MAN

來源：Medium

編譯：比推BitpushNewsDerrickChen

預言機是將有關某些鏈上或鏈下事件的信息傳輸到區塊鏈上的工具。這可以是任何東西，從價格到數量再到天氣，盡管在本文中我們將討論價格的預言。在DeFi中，價格預言機用于在鏈上發布加密貨幣價格數據，這是智能合約的關鍵數據輸入。通過價格預言獲取的最粗略的數據將包括一個沒有異常值管理的單一交易工具。在最強大的情況下，各種數據提供者從各種交易所獲取輸入的值，應用異常值檢測，并將聚合提供給像Chainlink或Pyth這樣的預言機，然后根據他們從許多數據提供者那里收到的值廣播一個總價值。

價格和預言機操縱

價格操縱漏洞是DeFi中最早和最常見的漏洞。在2020年夏天，隨著DeFi的騰飛，在預言機被廣泛使用之前，由于攻擊者會抬高流動性不足的代幣的價格，導致大量協議的資金流失，從而導致膨脹他們自己頭寸的價值，并使用這個膨脹的價值來提取更多“有價值”的代幣，比如ETH或USDC。在早期，協議通常會使用來自單個DEX的直接價格饋送，使得價格操縱相對容易。當協議會在推特上發布對漏洞利用的事后分析時，他們的回復中會充滿“Chainlink得修復此問題”，而且通常情況下，他們是對的。

FatMan：TFL擁有超4200萬枚LUNA，價值超過2億美元:6月7日消息，Terra社區研究員FatMan發推文稱，Do Kwon曾多次表示，TFL的新LUNA代幣為零，使Terra 2成為‘社區所有’，這是一個徹頭徹尾的謊言。事實上，TFL擁有超4200萬枚LUNA，價值超過2億美元，他們在睜眼說瞎話。

此外，FatMan披露了TFL相關的四個錢包地址，并稱，Do Kwon使用他的影子錢包通過治理操縱（TFL本不應該投票）批準‘他自己的提案’，告訴所有人這將是一個社區擁有的鏈。這些只是經過驗證的錢包，還有很多其他的錢包。[2022/6/7 4:07:34]

預言機為應對此類攻擊提供了一層保護，盡管并沒有使攻擊成為不可能。例如，看看借貸協議InverseFinance發生了什么，該協議今年受到了兩次打擊，首先是在Sushiswap上對INV-ETH進行了相對簡單的操作。

David Kleiman兄弟提起訴訟，指控CSW律師在審判期間使陪審團對其產生偏見:4月9日消息，上周五，已故計算機科學家David Kleiman代表方就佛羅里達州法院針對Kleiman的前商業伙伴、自稱比特幣創造者的CSW（Craig Wright）的裁決提起上訴，這是一場關于知識產權和目前價值數十億美元的比特幣持倉的糾紛。

去年12月，邁阿密聯邦陪審團裁定Kleiman和CSW的前聯合企業獲得1億美元賠償，認定CSW獲得了屬于該企業的比特幣相關知識產權，如源代碼。但陪審團也駁回了David Kleiman代表方對價值數十億美元的比特幣持倉的所有權主張，并澄清了CSW的盜竊和欺詐指控。陪審團沒有判定Kleiman的財產本身有任何損失。

據悉，Kleiman的兄弟Ira于2018年提起訴訟，當時表示這些比特幣的價值超過100億美元。如今，本案涉及的110萬枚比特幣價值超過470億美元。

Kleiman目前正在對一項裁決提出上訴，該裁決駁回了他對新審判的申請，理由是他聲稱CSW的律師使陪審團對他產生偏見。Kleiman要求進行新的審判，因為CSW的律師多次告訴陪審員，David與Ira兩兄弟關系疏遠，包括提到2013年David去世時，Ira已經三年多沒見過他了。他辯稱，這是試圖說服陪審團，他“在某種程度上不配”得到對他有利的裁決。

美國地方法官Beth Bloom在2月份拒絕了Kleiman的請求，部分原因是他在審判中沒有對這些陳述提出異議。Bloom還說，她不認為這些陳述有足夠的偏見，有理由重新進行審判。（路透社）[2022/4/9 14:14:29]

Binance Labs宣布戰略投資Web3隱私協議Manta Network:2月15日消息，Binance Labs 宣布戰略投資 Web3 隱私協議 Manta Network，具體融資金額暫未透露。

據悉，Manta Network的Layer1網絡設計利用零知識證明將加密資產私有化，其隱私技術采用Substrate框架構建，可與Polkadot和Kusama生態系統中的其他平行鏈資產互操作。在從社區眾貸218,000枚KSM之后，MantaNetwork為其金絲雀網絡Calamari Network贏得了Kusama上的前十個平行鏈之一。Manta最近發布了其Dolphin測試網，該測試網已經進行了超過10,000次獨特的私人交易。[2022/2/15 9:53:45]

所需要的只是以很大的ETH交換INV來操縱價格，InverseFinance的預言機發現了這一點，從而使攻擊者可以耗盡資金。在Sushiswap上，價格達到了近4,000美元的高位；在UniswapV2上，超過15,000美元；在Coinbase上，它達到了490美元的高位。不幸的是，Inverse使用的Keep3r預言機完全依賴于DEX價格數據。更強大的預言機可能會限制來自DEX的明顯錯誤值的影響，并在價格變動期間更多地依賴Coinbase和其他CEX。

灰度MANA持倉增長0.13% 其它幣種未增持:美東時間6月30日，灰度信托持倉數據變化如下：灰度MANA信托持倉量增加22585.56枚（+0.13%），總持倉量為17709941.05 MANA；

灰度BTC、ETH、ETC、BCH、LTC、BAT、LINK、FIL、LPT信托當日未增持，GBTC溢價率-9.58%、ETHE溢價率2.14%、ETCG溢價率-20.06%、BCHG溢價率189.71%、LTCN溢價率540.6%。[2021/7/1 0:19:00]

但是，這里的預言機并沒有任何責任。預言機只是為協議提供數據的工具。在這種情況下，預言機完全按照設計運行：它使用較短的TWAP跟蹤DEX上的INV價格，并且沒有異常值檢測。只要預言機提供者有足夠的透明度，DeFi協議就有責任了解他們使用的預言機是如何運作的，以及如何操縱用作輸入的價格饋送。對于在少數或沒有中心化交易所提供的非流動性和/或小市值代幣，價格操縱和預言機操縱相對容易；協議應認識到這一點并采取措施減輕其影響。

動態 | Cosmos創始人Zaki Manian加入Zcash開發團隊技術顧問委員會:Cosmos聯合創始人Zaki Manian宣布加入Zcash開發團隊Electric Coin Co.（ECC）技術顧問委員會。[2020/1/10]

預言機的局限性

預言機不是靈丹妙藥，它有兩個主要限制：

1.他們無法實施風險管理來限制協議市場操縱措施的影響

2.輸出只能與輸入一樣好。

第一點是詼諧的，但比以往任何時候都更相關；去中心化永續期貨交易所的爆炸式增長——由Avalanche和Solana等L1和Arbitrum等以太坊Layer2上更便宜的交易帶來——使反市場濫用措施的重要性成為人們關注的焦點。例如，大約一個月前，一位交易員利用了GMX的預言機定價——它允許用戶以預言機價格開大頭寸而沒有滑點——以及精簡AVAX訂單簿以從不自然的價格變動中獲利。

MangoMarkets最近的漏洞利用證明了第二點。簡而言之，攻擊者開立了MNGO永續期貨多頭頭寸，推高了MNGO-PERP所基于的預言機價格，并使用了未實現且短暫的“利潤”從Mango借款超過4億美元，耗盡了所有資金——價值超過1億美元。

這個時間線有什么啟示？對我來說，整個過程相對容易。無論出于何種原因，很少有CEX提供MGNO，只有FTX、AscendEX和BingX是具有任何有意義交易量的唯一交易所。在漏洞被利用之前，FTX訂單薄得令人難以置信。

在價格變動前的幾個小時內，每個方向距離中點1%的總市場深度剛剛超過2萬美元。在UTC晚上10:45，賣出深度為957美元，買入深度僅為743美元。

Mango使用的PythMNGO-USD預言機反映了0.155美元的高價。在檢查每個發布者時，有趣的是他們的收集和異常值檢測方法有何不同：一個發布者達到了0.829美元的高位，而另一個達到了0.07美元的高位。

預言機按設計運行，Mango團隊承認這一點，并表示預言機提供者沒有過錯。代幣的流動性太差了，預言機的輸出只和它的輸入一樣好。

接下來是什么？

希望DeFi協議已經意識到，僅僅使用Chainlink或Pyth價格預言機并不能免除他們的風險管理。如前所述，去中心化期貨交易所是此類攻擊的主要目標，因為它們本質上是借貸協議的杠桿版本，通常是這些攻擊的標志。

正如FTX首席執行官SamBankman-Fried所詳述的那樣，FTX的風險引擎使用自己的異常值檢測形式，并對較大的頭寸收取更高百分比的保證金，等等檢查。其他人則建議，可以根據預言機提供的流動性衡量標準來建立頭寸限制。這可能會給攻擊增加一定程度的難度，但我的直覺是，一個老練且資本充足的攻擊者將能夠欺騙流動性，尤其是在僅在少數交易所提供代幣的情況下。

值得一提的是，參與Mango漏洞利用的一名攻擊者在推特上表示，借貸協議應存儲24小時滾動預言機價格，并要求新頭寸在當前預言機價格和滾動價格下均有效。這實際上似乎是一個很好的解決方案

隨著熊市的拖延，我預計會看到更多、資本化程度更高的利用這種方式的嘗試。上面提到的同一位攻擊者詳細介紹了AaveV2的理論利用，使用1億美元的啟動資金來抽取REN，并可能從協議中消耗5億美元。

解決方案的組合——使用預言機、限制對非流動性代幣的杠桿作用、使用更長的滾動價格來開設新頭寸等等——對于防止未來此類攻擊至關重要。

Tags：MANEFIINV比特幣mango幣是什么東西GEFITinville比特幣騙局為什么不抓

幣安下載