思考 | 被誤讀的閃電貸：它只是一個工具_DEF

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共生46起較為突出的安全事件。涉及DeFi相關25起、交易所相關4起、勒索相關3起，欺詐事件10起，錢包相關2起，智能合約相關2起。

據PeckShield「派盾」統計數據顯示，2021年5月共計發生25起與DeFi相關的安全事件，損失金額約2.8億美元，其中，閃電貸攻擊約11起，在BSC鏈上發生的與DeFi相關的安全事件15起，在以太坊鏈上的3起，在EOS上的1起。

Jason Yanowitz：對加密貨幣中心化金融巨頭的持續攻擊讓他開始思考加密貨幣行業目前的角色:金色財經報道，Bell Curve 播客聯合主持人Jason Yanowitz表示，對加密貨幣中心化金融巨頭的持續攻擊讓他開始思考加密貨幣行業目前的角色，以及它們與傳統金融的不一致之處。本質上，加密市場中存在三個群體，它們在某些方面與傳統市場結構平行，但在目的和功能上混淆地混合在一起或重疊。在加密貨幣的中心化金融世界中，本身不存在經紀自營商，因為用戶的資產直接存放在 Coinbase 等平臺上。然后結算有時是在 Coinbase 上，但有時只是在L1上，比如在ETH上。[2023/6/12 21:30:31]

HyperPay MooN：錢包安全性思考維度應當進行深層次探討:11月6日消息，HyperPay 技術總監 MooN在做客《HyperPay焦點》欄目時提及：錢包的安全性考量應當涉及以下幾個方面：一、團隊實力，看創始成員的背景、履歷和口碑，看技術團隊占比是否高；二、安全策略及安全審計，錢包做了哪些安全防護措施，是否進行了冷熱錢包分離，是否通過了業內知名安全團隊的安全審計，最好提供審計報告；三、投資機構，如果有知名的投資機構投資也能間接說明團隊比較靠譜；四、錢包屬性，錢包是中心化錢包還是去中心化錢包，去中心化相對更安全；五、核心資產模塊是否開源；六、資產的公開和透明程度；七、合作伙伴，通過合作伙伴的實力和數量也能間接提現團隊的靠譜程度；八、商業模式或者業務說明，這一項針對一些中心化錢包的理財服務，如果錢包提供了很高的理財收益，但是又沒有說清楚收益是怎么來的，就要特別注意；九、是否有硬件錢包，硬件錢包可以讓資產管理更加安全。[2020/11/6 11:51:36]

閃電貸攻擊頻現，從去年的以太坊轉移到了今年大熱的BSC上，不少人將“閃電貸”解讀為“作惡的源頭”“建立在DeFi之上的核彈”“攻擊者空手套白狼的本金”。

聲音 | OK戰略副總裁徐坤：USDT是否在利用其影響力操縱市場 確實值得思考:今日，金色財經記者就“USDT增發”的問題對OK戰略副總裁徐坤進行了專訪，徐坤表示，穩定幣的核心在于信用，尤其對于法幣抵押型的穩定幣，必須確保每一枚代幣，背后要有相應的資產支撐。USDT在資產透明性方面所做的工作與其現有的體量相比是明顯不足的，這也是其頻頻被市場質疑的原因。USDT目前占據了很大的市場份額，有明顯的壟斷性，從對其每次增發時點進行市場復盤來看，確實與幣價波動有很強的關聯性。那么USDT是否在利用其影響力操縱市場，確實值得思考。[2019/7/10]

實際上，這些言論是對閃電貸的誤讀，閃電貸只是利用區塊鏈技術，將傳統借貸市場無法實現的事情帶來一種新的可能。理論上，閃電貸借貸允許用戶通過無抵押的方式借出流動性池內的所有通證，并要求用戶在進行一系列互換抵押清算操作之后、交易結束之前歸還所借通證以及固定的借貸成本。

蔡文勝分享區塊鏈三點思考：大部分交易所很難發展，交易方式往錢包轉化:今日凌晨，蔡文勝在“三點鐘無眠區塊鏈”群中分享了三點思考：

1，這次回暖不會雞鴨都升天，除了基礎貨幣btc，eth，eos。其他能落地，人脈關系強大，有實力團隊才能起來。

2，交易所遍地開花，據我了解最少數百個交易所出現，但大部分很難發展，交易方式往錢包轉化，有用戶流量的錢包是最好交易場景。

3，正規軍在悄悄布局，不管是二級市場交易，還是早期投資機構，還是傳統互聯網公司，都在加快速度布局。之前野蠻生長的方式要改變策略，不然會被淘汰。[2018/4/21]

在BSC首次出現的閃電貸攻擊是5月2日，PeckShield「派盾」通過追蹤和分析發現，DeFi協議?SpartanPotocol?遭到閃電貸攻擊。之后閃電貸攻擊出現在BSC鏈上的頻率呈上升趨勢，包括?PancakeBunny、BoggedFinance、AutoShark、BurgerSwap、JulSwap。

PeckShield「派盾」觀察發現，這些閃電貸攻擊手法與以太坊上曾出現的閃電貸攻擊大同小異，只是從以太坊轉移到BSC。隨著年初BSC憑借低手續費、出塊速度快等優勢吸引了一批原以太坊上的DeFi協議和Fork以太坊上的DeFi協議，DeFi的生態日益豐富，綁定在BSC上的資產也越來越多，這也使其成為攻擊者睥睨的「收割場」。

從上述6個閃電貸攻擊案例中，我們發現大部分攻擊與之前發生在以太坊上的攻擊十分相似。

BurgerSwap與OUSD的攻擊手法有異曲同工之妙。基于BSC的BurgerSwap和基于以太坊上?OUSD?的閃電貸+重入攻擊有相似之處，攻擊者都是先從提供閃電兌換的去中心化交易所借出一筆閃電貸，再在智能合約中存入假幣和原生Token，并在此步驟通過重入攻擊來攻擊合約，最后歸還閃電貸完成攻擊。

操縱CurveyPool的閃電貸攻擊在BSC上重現。5月30日，BSC鏈上結合多策略收益優化的AMM協議BeltFinance遭到閃電貸攻擊，PeckShield「派盾」通過追蹤和分析發現，此次攻擊源于攻擊者通過重復買入賣出BUSD，利用bEllipsisBUSD策略余額計算中的漏洞操縱beltBUSD的價格進行獲利。

值得注意的是，Ellipsis是以太坊上DeFi協議Curve授權Fork的項目，多次操縱CurveyPool的價格，以套取穩定幣價差的套利事件重現，ForkCurve的潘多拉魔盒是否已經打開？

綜上，這些重現的閃電貸攻擊都有跡可循，并非沒有防御的辦法。??

PeckShield「派盾」相關安全負責人表示：“協議開發者不僅要讀懂Fork的DeFi協議，還要讀懂自己的協議，協議的樂高性不是簡單的拼接，而是在完全理解原協議背后的邏輯進行組合。目前對于閃電貸攻擊并非沒有解決的辦法。我們發現攻擊者多從已知的漏洞下手，要做的就是在協議上線前做好靜態審計，排除已知的漏洞；當其他協議遭到攻擊時，自查代碼，排除同源漏洞；研究以往的案例，定期做動態審計，避免漏洞重現。除了尋求專業代碼審計團隊的幫助，還需引入第三方安全公司的威脅感知情報和數據態勢情報服務，完善防御系統。在攻擊發生時，確保第一時間感知并及時采取應對措施。”

Tags：DEFIDEFEFIUSDMy Defi LegendsDefi GoldPEET DeFiEUSDT

USDT