1. 首页
  2. 区块链资讯

并非闪电贷攻击 “幕后元凶”是它

克日,DeFi市场履历了一场严重的磨练,多起攻击事宜接连发生,造成了伟大的资产损失。在多数平安事宜中,闪电贷攻击的“冠名”似乎成为了标配。然则,在其背后不容忽视的真相,实在是对预言机举行操控,造成内外价钱差并从中套利。

所谓闪电贷(Flashloan),实在是一种创新金融工具,可实现无抵押贷款,但要求在同一个区块内还款,否则买卖回滚。闪电贷的魅力在于,可以使贷款者在无需支出任何起劲或价值的情形下秒变“富豪”。固然,重大的资金量也预示着壮大的市场操控潜力。

在此类平安事宜中,攻击者通常属于“空手套白狼”,先使用闪电贷获取大量资金,拥有了攻击的启动“砝码”后,再通过一系列手段收支种种抵押、借贷、买卖等协议,在实现操作、扭曲资产价钱数据后,实行套利,最后送还“本金”。

数据显示,自2020年以来,黑客基于重入破绽的攻击数目有所下降,而基于价钱操控破绽的攻击比例正在上升,并已造成累计跨越数千万美元的损失。

那么,这个预言机到底是什么?

区块链对外相同的“桥梁”

预言机(Oracle)并不是什么玄幻事物,它实在是区块链网络与互联网以及其它区块链网络等保持数据、信息相同的“桥梁”。特别是,在DeFi智能合约这类去中央化应用(Dapp)中,通过预言机,开发者可以挪用包罗行情价钱在内的种种外部数据资源,让Dapp连通外部现实天下的数据环境。

毫无疑问,能够提供不能窜改、可靠数据的预言机必将成为DeFi生长的主要基石。在DeFi应用中,岂论自身设置照样依赖第三方供应,通过预言机可获取各个市场的价钱、汇率等主要信息。而对于去中央化买卖所(Dex)来说,获取准确可靠的价钱数据意义更为重大。

与中央化买卖所差别,Dex行情数据的“孤岛化”倾向更为显著,若是不与外界行情保持实时联动,Dex中的自动化做市商(AMM)资产池很可能会由于买卖量、流动性等的猛烈转变而发生价差损失。

随着DeFi市场热度的提升,行业更多的思索倾向于项目数目、规模以及模式等方面。而对预言机平安问题的关注反倒是处于一种不温不火的状态。近段时间,频仍发生的预言机平安事宜可能为此敲响了警钟,预言机平安于DeFi生态有序生长至关主要。

典型的预言机平安事宜

事宜一

关于首起预言机平安事宜,时间要回到2019年6月25日。DeFi衍生品平台Synthetix预言机发生异常,致使平台sKRW/sETH汇率报错,跨越3700万枚sETH被低价买卖,涉及金额近10亿美元。

#

事宜缘故原由

喂价源信息失常,预言机发生故障并将错误价钱公布到链上,买卖机器人发现后迅速套利。

最后,Synthetix与买卖机器人所属者杀青资金返还协议,巨额损失得以挽回。但值得小心的是,上游价钱源异常可能给智能合约带来毁灭性袭击,而缺乏有用性验证的预言机在数据正确性、稳固性方面存在极大的平安隐患。

事宜二

在今后的事宜中,令人印象深刻的是“bZx延续攻击事宜”。2020年2月,DeFi贷款协议bZx在一周内先后两次遭到攻击,造成了约100万美元的损失。

#

事宜缘故原由

黑客行使Uniswap算法价钱缺陷,操作相关资产价钱数据并游走多个DeFi协议,实行套利。

时隔七个月,bZx再次遭受攻击,此次事宜又造成了约800万美元的损失。bZx团结创始人Kyle Kistner在事宜发生后曾提到,这似乎是一次预言机操作攻击。最终,此次事宜的缘故原由被归为代码破绽。

事宜三

建行发起的数字债券计划已取消发行

由中国建设银行股份有限公司纳闽分行(CCBL)发起的基于以太坊的数字债券Longbond SR Notes USD Feb 2021已取消发行。

近期,涉及预言机攻击的事宜愈发频仍,平安形势严重。10月26日,DeFi项目Harvest Finance遭到黑客攻击,造成了约2400万美元的损失。

#

事宜缘故原由

该协议fToken铸币时接纳Curve y池为喂价源,攻击者通过巨额兑换,操作价钱数据,控制铸币数目,从而多次套利。

官方透露,黑客通过curve y池举行攻击,使Curve中稳固币的价钱异常超出387.9%,并在7分钟内多次套利。受此影响,Harvest代币FARM的价钱在短时间内暴跌65%。

事宜四

11月14日,Value DeFi协议遭到黑客攻击,同样是历经了一系列协议间操作,最终导致跨越700万美元的损失。

#

事宜缘故原由

攻击者行使价钱预言机破绽,操作Curve资产池价钱,窃取超量3CRV兑换DAI后套利。

令人唏嘘的是,黑客最后送还了200万枚 DAI并留下了一条讽刺信息:“你真懂闪电贷吗?”以此回应该团队此前的推文,声称可防闪电贷攻击。

近段时间,仅由预言机攻击造成的资产损失已累计跨越3000万美元。此类事宜中,黑客正是通过操作预言机,造成可实行套利的兑换率,最后行使价钱差窃取了协议资产。

因此,DeFi生态中最具系统性风险的因素是易受价钱操控的预言机,而非闪电贷这种金融工具。

解决方案的探索

预言机有着普遍的应用场景,需与链下数据举行交互的Dapp皆可借助预言机来实现功效和价值。其中,典型应用场景包罗,Dex、衍生品、稳固币、借贷平台、游戏、保险、展望市场等。面临这个“数据要塞”,通过迭代升级、平安测试等,预言机有望提供更为优质的服务。

由于区块链自己不具备验证数据是否公正、合理的功效,因此,那些错误的外部数据在去中央化机制下,将被预言机无差别地执行返回,而这种“将错就错”极容易造成种种损失。

预言机的迭代升级,应实现链上与链下可信数据的对接,确保数据环境正常、稳固、有序。在报价方面,预言机应只管从多节点聚合数据,对价钱误差预留处置机制,并根据时间同步更新,确保提供给智能合约的数据可靠、可信、抗干扰。

在Dex中,预言机应在提供报价更新的同时维护、调整AMM的权重,确保内部汇率与外部市场价钱保持匹配,并通过验证机制,异常报警机制等有用阻挡攻击者对价钱、汇率的操作,防止套利空间的发生。

另一方面,DeFi开发者应增强预言机的针对性测试,特别是在项目上线前,尽可能模拟价钱操控攻击的种种场景,实时发现问题并找出解决方案,切实提高项目抗预言机攻击的能力。

项目上线后,开发者应根据情形选择接入第三方预言机服务、平安测试服务等;举行相关破绽赏金流动,做到实时查缺补漏,优化整体结构,在最大程度上降低同类型事宜再度发生的可能性。

结 语

事物的两面性总能在各方面获得体现。对于闪电贷而言,本是一种创新金融工具,可高效提供大额资金,促进价值循环。然而,它却被攻击者行使,沦为了窃取资产的重磅武器。

岂论是DeFi生长照样区块链新领域的拓展,链上、链下的数据交换势在必行,预言机的作用不能小觑。实在,攻击者的操控手段也并非高深,只是在现阶段预言机还不够智能,很难实时应对和抵御。

同样,事物生长的门路也总是曲折。在遭受诸多凄惨价值后,预言机这个“短板”原形毕露。为区块链生态平安计,在完全抗操控攻击的预言机降生之前,增强多方手艺的验证和检测,提防攻击于未然成为了当务之急。

原创文章,作者:链大大,如若转载,请注明出处:http://www.chaindada.com/chain/25669.html