有人用闪电贷实现了一次治理操纵。
撰文:LeftOfCenter
闪电贷作为一种套利工具,可被用来实现以极低甚至零成本在各个DeFi协议之间进行高额套利,甚至利用可组合性的漏洞进行黑客攻击盗取巨额资金。从去年开始,陆续发生的多起闪电攻击事故已证明了其可行性,可以说,闪电贷攻击就像一颗定时炸弹,已成为DeFi的巨大安全隐患。
然而,最近发生在MakerDAO社区的一起治理投票让我们意识到,闪电贷除了用于黑客攻击让用户产生直接的经济损失之外,还可以被用于实现恶意治理操纵,即通过闪电贷「凭空」取得大部分选票,几近以零成本花销变更治理规则让自己受益,从而让用户产生间接的经济损失。
Messari 创始人:除了BTC和ETH之外,其他加密货币几乎没有可持续的价值创造方式:12月28日,Messari的联合创始人Ryan Selkis发布推特称,除了BTC和ETH之外,几乎没有可持续的价值创造方式。也许最好的证据是,其余的加密货币都是“傻瓜式”土豆,他们的“其他市场份额”约为18%,而去年约为24%。Multicoin Capital联合创始人Kyle Samani针对此言论表示,这完全是错误的。[2020/12/29 15:58:20]
闪电贷和黑客攻击
「闪电贷」这种诞生在DeFi世界的新物种,无需任何抵押物,只要借贷和还款在一个区块时间完成即可。这会让聪明的开发者脑洞大开,开发出全新的DeFi应用,然而,在带给我们惊喜的同时,闪电贷也在慢慢在打开一个DeFi的潘多拉魔盒。自去年以来,已有多起闪电贷黑客攻击事件发生,DeFi协议中的大量资金被盗。
现场丨链上ChainUP Joy:NFT最近火起来除了本身的应用场景,还接了DeFi的余热:金色财经现场报道,10月19日,由金色财经主办,链上ChainUP,脉冲科技,达摩院协办的金色沙龙第56期在深圳举办,在圆桌讨论环节,关于NFT为何会引爆市场,链上ChainUP深圳负责人Joy表示,?NFT早在几年前就已经火过,之所以在近期引爆市场,可能有两方面原因,一方面接了DeFi的余热,另一方面就是它本身的应用场景。但因流动性挖矿高收益而火爆的DeFi+NFT会不会火爆一时,然后销声匿迹,Joy认为,去中心化金融是未来一个大方向,DeFi和NFT都有它的应用场景,因此短期内不会成为泡沫。但未来会怎样,有待验证。[2020/10/19]
DeFi贷款协议bZx曾先后两次因闪电贷攻击被套利超百万美金,知名DeFi平台Balancer流动性池也曾遭黑客闪电贷攻击,损失50万美金。
动态 | 拥有近百万粉丝的推特账号“Bitcoin”删除了看好BCH或反闪电网络的相关推文:相关推文显示,自2017年左右以来,推特上拥有近100万粉丝的账号“Bitcoin”背后的个人、团体或公司(没有人知道谁拥有该账号的真正控制权)一直在抨击比特币高昂费用,并发布一些其他的批评性言论。但近期,“Bitcoin”账号删除了所有提到“BCH是市场翘首以盼的终极屈服”的推文。这或许是一个看涨信号。 此外,该账号已经取关大量BCH支持者。虽然这似乎与比特币或比特币现金社区的任何事件都没有关系,但许多人声称,该账号近期的一系列突然转变,或与Bitcoin.com执行团队的变化有关。(EWN)[2019/8/20]
而就在三天前的10月26日,黑客又一次使用闪电贷套利成功从DeFi协议Harvest.Finance盗走2400万美金。
原BTC.com运营总监朱砝:除了区块扩容,BCH还需要网络分层,网络分层会让BCH更完美:针对日前BCH的网络拥堵,原BTC.com运营总监朱砝标示,真正做日常支付的话,交易量会指数级上升,BTC和VISA、支付宝之间有1000倍到一百万倍的差距,区块体积扩容或许根本解决不了问题。除了区块扩容,BCH还需要网络分层,网络分层会让BCH更完美。[2018/1/21]
闪电贷和治理攻击
闪电贷攻击的存在引人不安,尤其是在处于混沌状态的加密早期阶段,DeFi协议可组合性的加持,DeFi中的用户犹如在危机四伏的黑暗森林中探险,如履薄冰,在高回报和高收益的表象下,闪电贷攻击隐藏着杀机四伏的安全风险。
然而,这还不是全部。最近,闪电贷又被发现有了新的「用武之地」,即可被用来操作选票进行去中心化社区治理攻击。
本周早些时候MakerDAO通过的一起治理投票,事后被发现该治理流程中有利用闪电贷操纵进行投票。虽然事后调查显示,此次事件并非出于恶意,但这起事故让MakerDAO社区意识到,闪电贷在治理结构中存在着隐形操作风险,且具有可操作性。
具体来说,10月26日,Maker基金会智能合约开发团队检测到一起发生在MakerDAO治理提案中的投票违规行为,该提案由DeFi流动性协议BProtocol开发团队发起,主要目标是提议将BProtocol列入到MakerDAO预言机的白名单中,以获得访问MakerDAO价格预言机的权限,此次检测发现该提案使用了闪电贷功能操纵投票以通过提案。
事后监测发现,此次提案投票过程中,有多个步骤的操纵被创建和执行,具体来说,首先从dYdX通过闪电贷借出WETH,接着将其用作抵押资产从借贷平台AAVE中借出价值700万美元的MKR代币,之后借出的大约1.3万MKR代币被用于进行该提案投票,投票完毕后将其返还。
此次投票操纵的具体流程
该帖子指出,投票违规行为被确认后,Maker基金会与BProtocol团队取得联系,BProtocol团队也一直就此事和Maker基金会保持良好透明的沟通,并愿意为这起闪电贷负责。
诚然,此次治理操纵事件的发生并未带来巨大损失,但是这起治理事故仍然意义重大,它提醒我们,闪电贷不仅可以产生直接的经济损失,还可通过治理操纵导致间接的经济损失,且具有可操作的空间,而后者显然更加隐秘。
这意味着,DeFi用户尤其是社区治理者必须意识到闪电贷的潜在风险,即它可能对治理系统产生影响,最终可能引发经济损失,而对于Maker社区而言则更加迫在眉睫地急需对MKR市场的流动性进行积极地监控。
Maker社区论坛上,已针对未来如何防范闪电贷治理攻击进行一系列讨论,比如将GSM暂停延迟增加至72小时,让MKR持有者有更长的时间对治理攻击做出反应,禁用治理参与者的某些功能。
随着DeFi逐渐变得成熟,可组合性会使整个系统风险呈指数级增长,在各个协议通过组合带来机会的同时,也面临兼容性风险。处于蛮荒早期的DeFi生态安全问题仍然任重而道远。
来源链接:forum.makerdao.com
Filecoin落地正当时近期数字货币领域可谓是盛况空前,除了有国家央行数字货币试点推行的各种利好消息之外,比特币也是狂飙猛进,一举达到了13000美元,突破自2020年以来的高点.
1900/1/1 0:00:001111项目简介TribalCoin简称BLCC,是由加拿大独立投资商CanaccordGenuity斥巨资打造的纪元交易所(Eraexchange)旗下的数字经济时代的价值承载资产.
1900/1/1 0:00:00加拿大央行行长蒂夫·麦克莱姆今天透露,加拿大央行正在与其7国集团合作伙伴合作开发自己的数字货币。总督还强调指出,有必要采用“全球协调”的方式来发展社区信用担保公司,以使罪犯远离使用此类工具.
1900/1/1 0:00:00此公司以10%~30%返佣为由,大肆招募矿机代理商。一次性拿货多少台,返利一定百分点。目前打着IPFS矿机旗号的资金盘项目,主要有两种盈利模式:一种是以高溢价出售矿机,赚矿机的钱;另一种是“.
1900/1/1 0:00:00各位老铁大家好,我是你们的朋友巴德。跟着我的客户都是做了很久的,不是我带他们收获了多少,而是我用心在指导,毫无保留的教技术,经常熬夜盯盘。深夜告知客户出场或进单.
1900/1/1 0:00:00据AMBCrypto消息,Cardano今日发布Goguen路线图,大部分部件计划在2021年2月底交付。随着Goguen的推出,Cardano正在成为一个智能合约平台.
1900/1/1 0:00:00