从已知的信息来看,过去一周,已经发生了4起闪电贷攻击,包括Value DeFi(540万美元)、Cheese Bank(330万美元)、Akropolis(200万美元)以及今天的OUSD(700万美元)。
我们特意查看了一下记录,发现自今年年初以来基本每个月都要发生几起闪电贷攻击。说明闪电贷攻击已经不是一种偶然事件了。
此前的一次闪电贷攻击
最近的一次是OUSD。攻击方案的核心就是闪电贷+重入攻击。大概的流程是。
1.攻击者先用闪电贷借了一大笔ETH这样的主流资产,然后注入到各类DeFi协议中,进行类似铸币、流动性挖矿这样的操作。
本周加密货币市场价格持续了低迷的势头:金色财经报道,据CoinGecko称,本周加密货币市场价格持续了低迷的势头,BTC在过去7天里下跌了1.1%,目前交易价格为28,972美元;ETH下跌2.3%,收于1,829美元。尽管Tether最近的季度报告显示第二季度利润为8.5亿美元,超额准备金总额增至33亿美元,但与美元挂钩的USDT目前仍未能达到预期目标,交易价格为0.998247美元。几种大型山寨币出现显着下跌,包括XRP下跌12%至0.624960美元,SOL下跌9.8%至22.64美元,TRX下跌8.1%至0.077501美元,LTC贬值9.5%至82.37美元,TON)下跌8.3%至1.19美元,XLM下跌14.4%至0.136595美元。[2023/8/6 16:21:18]
2.然后由于攻击者手上有一大笔资金,它们可以操控价格并利用某些设计上的漏洞操控系统的判断。(很多合约都是基于价格或者资产价值比例来作为特定行为的判定依据)
由于Memecoin和ETH交易费用飙升导致NFT销售额在5月份暴跌:金色财经报道,由于最近的memecoin和ETH的Gasfee价格飙升,本月NFT的销量暴跌。根据DappRadar的数据,本月迄今为止NFT交易量仅达到3.33亿美元,这使得5月有望成为2023年交易量低于10亿美元的第一个月。然而,与4月份相比,5月份与NFT交互的每日唯一活跃钱包的平均数量增加了27%,DappRadar将这一增长归因于围绕“Milady Maker”NFT系列的热销。[2023/5/22 15:17:20]
3.最后的结果就是由于这样的操作会导致系统会付给攻击者远高于初始资产的收益,最后攻击者会重复这些操作,最后在合约中取回或者在DEX卖掉获得的超额资产。
Baobab Studios推出的NFT系列Momoguro发布路线图:3月24日启动空投:金色财经报道,获艾美奖、迪士尼支持的好莱坞动画工作室Baobab Studios于三月初在以太坊上推出的NFT系列Momoguro在完成铸造后已发布路线图,旨在关注故事叙事和IP建设,据悉基于NFT的游戏分阶段发布现已启动,游戏预计将在2023年二季度发布,Momo Box空投快照将于3月22日拍摄,空投将于3月24日进行。另据NFTGo数据显示,当前Momoguro地板价为0.1426 ETH,交易总额达到1774万美元。[2023/3/20 13:14:09]
4.然后攻击者再拿着一部分钱去还之前在闪电贷中借到的钱,就结束了整个攻击过程。
本质上这些攻击的核心逻辑就是借助巨额资金来进行非正常的套利操作。
今日恐慌与贪婪指数为56,贪婪程度微降:金色财经报道,今日恐慌与贪婪指数为56(昨日为59),贪婪程度微降。
注:恐慌指数阈值为0-100,包含指标:波动性(25%)+市场交易量(25%)+社交媒体热度(15%)+市场调查(15%)+比特币在整个市场中的比例(10%)+谷歌热词分析(10%)。[2023/2/23 12:24:14]
闪电贷不是漏洞,但是扩大了漏洞的风险
在这其中我们发现,虽然近期的几次事件都把“闪电贷”这个概念作为关键词,但是闪电贷本身和攻击事件本身并没有直接的关联。
在攻击发生的前一天,Value DeFi项目方还在宣称自己是最安全的协议
但不可否认的是,闪电贷成为了其中极其重要的攻击工具。用一句话来形容它的作用:“它允许你在交易期间像巨鲸一样的行动”,最可怕的是,如果说那些资金雄厚的人更容易成为攻击的来源,闪电贷可以让一个一无所有,甚至没有基本信用的人在短时间内变成一个手握重金的巨鲸,最重要的是这些人不需要任何许可、不需要良好的信用凭证也不需要付出等额或者超额的抵押品作为代价,完全是空手套白狼。
闪电贷本身不是一种漏洞,但它无形之中扩大了那些漏洞被攻击的风险,因为第一攻击者不需要任何代价,第二攻击的来源大大增加,它可能会被任何一个洞悉漏洞的人作为攻击的工具。
危险的创新:闪电贷错在哪里?
事实上闪电贷在遭受非议之前被认为是DeFi最伟大的创新之一。闪电贷概念最早由Marble协议于2018年提出,当时开发者的想法是通过智能化合约完成的零风险贷款。智能合约平台一次性处理交易,如果借款人不能偿还贷款,整个交易就会回滚,就像贷款根本没发生一样。
重点是区块链交易回滚这个特性,用户和合约发起一笔交易,合约借给用户一笔钱,然后同样的用户在这个交易里还回借出的金额和相应的利息就可以了。如果没还那么这个交易就会被判定不生效,然后被回滚,也就不存在借款转移的事情了。这在传统观念来说是完全不可思议的事情,因为借贷既不需要信用也不需要抵押品。
其实一开始闪电贷的用途是给那些套利者提供便捷的套利资金工具,例如分散交易所之间的额套利、清算多个借贷平台的贷款或者进行再融资等这些操作,最简单的就是,闪电贷可以帮助交易者从Marble银行贷款,在一家去中心化交易所DEX中买币,然后在另一家DEX以较高价格卖出代币,然后获得差价收益。这样的目的是正常的,传统金融中也会出现这样的场景。唯一的区别就是闪电贷的零门槛零代价。
但是很不幸的是,我们能够封堵漏洞,但永远防不住人心。黑客或者潜在的攻击者会发现闪电贷完全可以为攻击提供充足的启动资金,这其中产生的另外一个后果就是,由于黑客的钱是借来的,所以钱和黑客本身并没有直接的关联,他们的身份也更加地难以追踪。
因此一句话总结:闪电贷减小了攻击者的风险,攻击会更加随意。
闪电贷+:另一种潜在攻击用途
作为工具,闪电贷的用途是我们永远不能想象和预测的。我们完全不能低估“科学家”的智慧,除了经济上的攻击,闪电贷又被发现可以应用到别的领域的攻击上,例如操纵去中心化社区的治理。
近期,Maker基金会智能合约开发团队检测到一起发生在MakerDAO治理提案中的投票违规行为,大体意思是,社区的一次提案需要持有治理代币的用户投票,然后有一个人就利用闪电贷借出总资产,然后用来作为抵押品在借贷平台拿到大量的治理代币,去参与投票,投完票然后再还回去。
听到这里可能很多人会惊出一身冷汗,因为如果这次通过的是一项有利于攻击者的战略性提案,那造成的后果远比一次套利攻击要严重的多,而且这样的攻击显然更加隐秘。
闪电贷本身在这次风波中并没有任何过错,它反而是一种让人眼前一亮的创新,我们通过闪电贷这样的产物看到了DeFi的想象空间是有多大。但基于当前DeFi正处在一个实验性阶段,因此大量的漏洞和攻击者会将闪电贷用到各种非法用途上,所以很多人认为闪电贷是一种极为危险的创新,换个角度来说也正式因为闪电贷的存在,使得各项目方更加重视安全,这也是一种价值。
互联网技术和区块链技术的应用发展正在使得未来的银行服务能够以更广泛的方式,由不同类型的提供者提供。银行服务会像通讯服务一样被镶嵌在很多的应用终端.
1900/1/1 0:00:0011月26日币圈以来暴跌,比特币回调超过3000美元,总爆仓金额超过12亿美元,总爆仓人数超过10万7千人,这一数字比今年“312”的时候还多.
1900/1/1 0:00:00治理是以基于参与者利益的协作为特征的,区块链是一种大规模协作的系统,我们需要秉持公平透明的原则并制定一个完善的治理架构来进行各方协同。未来,区块链将在社会治理的应用场景中发挥作用.
1900/1/1 0:00:00在过去的一段时间,DeFi向我们展示了以太坊的拥堵,gas费用之高让人难以置信。这只是从用户体验的层面展示出来的表象。它深层的意义在于不同DeFi协议在争夺以太坊的区块空间,这是零和游戏.
1900/1/1 0:00:00截至2020年11月19日撰写本文时,比特币的价格徘徊在18,000美元左右,这意味着一件事:我们正处于自2017年底著名的牛市以来从未出现过的价格飙升中,当时比特币的价格达到了20.
1900/1/1 0:00:00本文由加密乌托邦原创,授权金色财经首发。最近一段时间,伴随着BTC的震荡横盘,以太坊及其他主流币种也处于类似行情,但是AMPL这个相对古老的币种却已经通胀了很多天.
1900/1/1 0:00:00