从已知的信息来看,过去一周,已经发生了4起闪电贷攻击,包括ValueDeFi、CheeseBank、Akropolis以及今天的OUSD。
我们特意查看了一下记录,发现自今年年初以来基本每个月都要发生几起闪电贷攻击。说明闪电贷攻击已经不是一种偶然事件了。
此前的一次闪电贷攻击
最近的一次是OUSD。攻击方案的核心就是闪电贷重入攻击。大概的流程是。
1.攻击者先用闪电贷借了一大笔ETH这样的主流资产,然后注入到各类DeFi协议中,进行类似铸币、流动性挖矿这样的操作。
2.然后由于攻击者手上有一大笔资金,它们可以操控价格并利用某些设计上的漏洞操控系统的判断。
Galaxy Finance完成3000万美元B轮融资:6月19日消息,Web3钱包平台Galaxy Finance宣布完成3000万美元B轮融资,香港投资基金BlackPine、新加坡加密投资机构QCP Capital和美国区块链投资基金Tally Capital参投。Galaxy Finance构建的Web3钱包可用于存储数字资产,例如加密货币和NFT等,该公司此前曾募集到800万美元A轮融资,新资金将改善其产品并扩大东南亚市场影响力。[2023/6/20 21:48:07]
3.最后的结果就是由于这样的操作会导致系统会付给攻击者远高于初始资产的收益,最后攻击者会重复这些操作,最后在合约中取回或者在DEX卖掉获得的超额资产。
印度将为数字卢比试点加入更多银行:金色财经报道,印度中央银行正在加强两个正在进行的CBDC测试项目,这些项目研究数字卢比的零售和批发实施。印度储备银行(RBI)表示,它现在将在下一个财政年度为试点引入一系列用例和功能。储备银行去年推出了数字卢比(或电子卢比)试点。
根据该银行5月30日发布的年度报告,计划扩大零售试点,引入更多参与银行。印度的批发CBDC测试于去年11月开始。这个想法是为了使用数字卢比促进政府证券二级市场交易的结算。九家银行参与了第一阶段。零售试点于12月启动,目标是使用数字卢比作为实物纸币的替代品。中央银行表示,已有八家银行参与了零售试点,另有五家银行正在加入。[2023/5/31 11:49:20]
4.然后攻击者再拿着一部分钱去还之前在闪电贷中借到的钱,就结束了整个攻击过程。
安永与Polygon更新了隐私协议Nightfall的开源代码:金色财经报道,安永与Polygon更新了隐私协议Nightfall的开源代码。Nightfall 是一种基于 ZK Rollup 的隐私协议,旨在帮助企业在以太坊主网上进行隐私交易。本次更新旨在防止被组织或团体控制,使得代码可以在完全去中心化的基础上部署,以及为防止匿名使用,同时保留开放和无许可的网络模型,要求用户拥有企业级 X.509 身份证明才能存取款。[2023/1/18 11:19:27]
本质上这些攻击的核心逻辑就是借助巨额资金来进行非正常的套利操作。
闪电贷不是漏洞,但是扩大了漏洞的风险
在这其中我们发现,虽然近期的几次事件都把“闪电贷”这个概念作为关键词,但是闪电贷本身和攻击事件本身并没有直接的关联。
北京立法保障数字经济发展:金色财经报道,《北京市数字经济促进条例》25日经北京市第十五届人民代表大会常务委员会第45次会议表决通过,为北京市数字经济发展提供法治保障。
北京市经济和信息化局副局长王磊介绍,条例明确了数字基础设施的规划布局、建设内容和保障措施,提出加快建设信息网络基础设施、算力基础设施和新技术基础设施,同时也要求推进传统基础设施的数字化改造,促进数字技术与传统基础设施的深度融合,设立统一的城市码体系和时空基准底座,统筹建设数字公共服务基础设施,推进智能设施建设。
数字产业化方面,条例明确支持数字产业基础研究和关键核心技术攻关,提升基础软硬件、核心元器件、关键基础材料和生产装备的供给水平,强化关键产品自给保障能力;重点培育高端芯片、新型显示、基础软件、工业软件、人工智能、区块链、大数据、云计算等数字经济核心产业。(新华网)[2022/11/25 20:46:10]
在攻击发生的前一天,ValueDeFi项目方还在宣称自己是最安全的协议
但不可否认的是,闪电贷成为了其中极其重要的攻击工具。用一句话来形容它的作用:“它允许你在交易期间像巨鲸一样的行动”,最可怕的是,如果说那些资金雄厚的人更容易成为攻击的来源,闪电贷可以让一个一无所有,甚至没有基本信用的人在短时间内变成一个手握重金的巨鲸,最重要的是这些人不需要任何许可、不需要良好的信用凭证也不需要付出等额或者超额的抵押品作为代价,完全是空手套白狼。
闪电贷本身不是一种漏洞,但它无形之中扩大了那些漏洞被攻击的风险,因为第一攻击者不需要任何代价,第二攻击的来源大大增加,它可能会被任何一个洞悉漏洞的人作为攻击的工具。
危险的创新:闪电贷错在哪里?
事实上闪电贷在遭受非议之前被认为是DeFi最伟大的创新之一。闪电贷概念最早由Marble协议于2018年提出,当时开发者的想法是通过智能化合约完成的零风险贷款。智能合约平台一次性处理交易,如果借款人不能偿还贷款,整个交易就会回滚,就像贷款根本没发生一样。
重点是区块链交易回滚这个特性,用户和合约发起一笔交易,合约借给用户一笔钱,然后同样的用户在这个交易里还回借出的金额和相应的利息就可以了。如果没还那么这个交易就会被判定不生效,然后被回滚,也就不存在借款转移的事情了。这在传统观念来说是完全不可思议的事情,因为借贷既不需要信用也不需要抵押品。
其实一开始闪电贷的用途是给那些套利者提供便捷的套利资金工具,例如分散交易所之间的额套利、清算多个借贷平台的贷款或者进行再融资等这些操作,最简单的就是,闪电贷可以帮助交易者从Marble银行贷款,在一家去中心化交易所DEX中买币,然后在另一家DEX以较高价格卖出代币,然后获得差价收益。这样的目的是正常的,传统金融中也会出现这样的场景。唯一的区别就是闪电贷的零门槛零代价。
但是很不幸的是,我们能够封堵漏洞,但永远防不住人心。黑客或者潜在的攻击者会发现闪电贷完全可以为攻击提供充足的启动资金,这其中产生的另外一个后果就是,由于黑客的钱是借来的,所以钱和黑客本身并没有直接的关联,他们的身份也更加地难以追踪。
因此一句话总结:闪电贷减小了攻击者的风险,攻击会更加随意。
闪电贷:另一种潜在攻击用途
作为工具,闪电贷的用途是我们永远不能想象和预测的。我们完全不能低估“科学家”的智慧,除了经济上的攻击,闪电贷又被发现可以应用到别的领域的攻击上,例如操纵去中心化社区的治理。
近期,Maker基金会智能合约开发团队检测到一起发生在MakerDAO治理提案中的投票违规行为,大体意思是,社区的一次提案需要持有治理代币的用户投票,然后有一个人就利用闪电贷借出总资产,然后用来作为抵押品在借贷平台拿到大量的治理代币,去参与投票,投完票然后再还回去。
听到这里可能很多人会惊出一身冷汗,因为如果这次通过的是一项有利于攻击者的战略性提案,那造成的后果远比一次套利攻击要严重的多,而且这样的攻击显然更加隐秘。
闪电贷本身在这次风波中并没有任何过错,它反而是一种让人眼前一亮的创新,我们通过闪电贷这样的产物看到了DeFi的想象空间是有多大。但基于当前DeFi正处在一个实验性阶段,因此大量的漏洞和攻击者会将闪电贷用到各种非法用途上,所以很多人认为闪电贷是一种极为危险的创新,换个角度来说也正式因为闪电贷的存在,使得各项目方更加重视安全,这也是一种价值。
标签:DEFIDEFEFIALLDeFiHorsedefi币联合坐庄是局吗BasketDAO DeFi Indexpolkawallet钱包下载
在过去的30天里,以太坊上十大最受欢迎的DApp共有超过100万活跃用户。根据分析平台DappRadar的数据,在过去的30天里,基于以太坊的去中心化应用吸引了超过100万活跃用户.
1900/1/1 0:00:00回顾一下昨天的文章内容。昨天文章写到今天比特币的行情至少一根3%的中阳线,结果今天实现了昨天写到的内容,比特币价格今天突破了17000美金,截止目前日内涨幅为3.35%。注:昨天的文章内容.
1900/1/1 0:00:00在2020年年初抵押借贷日益火爆,去中心化交易受收到了前所未有的关注,停滞不前的加密货币市场与日益火爆的抵押借贷形成鲜明对比,结果不言而喻.
1900/1/1 0:00:00亲爱的用户:DigiFinex现已恢复BCH/USDT杠杆交易服务。祝您交易愉快!风险提示:BitcoinCash分叉完毕后仍存在诸多不确定性,请您理性判断,审慎做出交易决策.
1900/1/1 0:00:00尊敬的社区用户:ZEC(Zcash)将于区块高度1046400时进行主网升级。为支持本次升级,霍比特交易所将于2020年11月18日15:00(UTC8)暂停ZEC的充币和提币业务.
1900/1/1 0:00:00Bitget全球站用户:Bitget将在2020年11月17日15:00(新加坡时间)恢复BCH/USDT、BCH/USD合约交易和BCH币币交易.
1900/1/1 0:00:00