编者按:本文来自区块律动BlockBeats,撰文:0x26,Odaily星球日报经授权转载。伴随着10月末Harvest.finance闪电贷攻击+套利,最近一两周已经有大大小小4起闪电贷攻击事件发生了。从其中最有趣的莫过于ValueDeFiProtocol的闪电贷攻击,据说团队在遭攻击前还曾在AMA中表示自己是最安全的DeFi协议,不会受到闪电贷攻击,结果随后就收到了黑客「真金白银」的嘲讽。
TransactionHash:0x217298bd38ed12b16e0cd65ce0b464c3810e0479a99a1464aed5e6768b2a4c50并由此引发了后续令人啼笑皆非的对话。一位在YFV中遭受损失的护士给这名「真的懂」先生在以太坊链上发了一封信,表示:「我在你的攻击中损失了10万美元。我是护士,这些都是我的积蓄,希望你能把它还给我。每个人都会生病。想想你生病时照顾你的护士。祝你永远健康,幸福。愿上帝保佑你。」随后竟真的收到了来自黑客5万枚DAI的转账。
NEAR和Nansen将合作提供NEAR链上数据分析:4月18日消息,NEAR 基金会宣布与区块链分析公司 Nansen 建立新的合作伙伴关系,为 DApp 开发人员和投资者提供工具。借助 Nansen 的分析平台,NEAR 开发人员、投资者和其他用户可以全面了解 NEAR 区块链活动,这包括交易流、钱包持有量和链上活动。[2023/4/18 14:11:31]
TransactionHash:0xdf10b20e49135306cfe16fc87da5fc6d859755ecbfd76180b36898052c765fabYFV团队也向黑客发去了链上信:显然,我们并没有我们想象中的那样了解闪电贷。给你100万DAI赏金,然后将剩余的DAI还给我们受影响的用户。我们有一个计划,以补偿受到影响的用户,如果你可以归还部分资金,将很有益于这一计划的推进。
Bundlr Network在Boba上提供永久的链上数据存储:2月23日消息,Bundlr Network与Boba Network达成合作,在Boba上提供永久的链上数据存储。用户现在可以使用BOBA来支付在Bundlr上进行数据上传的费用。[2022/2/23 10:09:45]
TransactionHash:0x8bc8a4f4fa0c54702d018eaf7adee5937be566366ea8d4a3adb191a3dc71b855所以,究竟什么是闪电贷?
在传统经济中,当贷款人向借款人提供贷款时,总是存在借款人可能无法偿还债务的风险。这就引出了下面的问题:有没有可能存在一种情况,借出钱,但不存在不被偿还的可能性。从流动资金池中获得的一笔快速贷款,在一次交易中使用并偿还上述在传统领域无法实现的事情,由区块链来完成,这就是闪电贷。闪电贷是只在一个区块交易中有效的贷款。如果借款人在交易结束前没有偿还这笔贷款,那么闪电贷款就是失败的,不会被执行。这是因为如果没有满足偿还条件,区块链不会执行这笔交易。闪电贷的资产来自一个公共的智能合约资金池。目前较为知名且流行的是由Aave和dYdX提供的资金池。Aave的闪电贷利率为0.09%,而dYdX的智能合约只要求还款之时加上1Wei的费用。闪电贷用例
但是,闪电贷到底有什么用呢?截至目前,可以确定闪电贷的以下几种用例:套利,给交易对提供虚假交易量,闪电贷投票,操纵价格套利。套利有了闪电贷款,就可以在不同的DEX上进行套利,而不需要持有被套利代币的头寸,也不需要面对价格的波动风险。交易员可以简单地进行一笔贷款,进行套利交易,然后偿还贷款和利息即可。此时,考验套利者的只有寻找套利机会的信息和设计套利逻辑的能力。套利交易发展到如今,简单的寻找套利机会已经不能满足黑客/极客的需求了,更多时候,他们会利用闪电贷人为的创造套利机会,这一部分我们将会在之后讨论。给交易量注水另一种用例是创造虚假交易,资产的交易量是指示其交易受欢迎程度的重要标准,特别是在去中心化交易平台,代币的排序方式是按照成交量进行排序的。恶意交易平台或交易者可以通过人为地夸大资产的交易量来吸引利益,从而误导其他交易者。尽管在中心化交易平台进行注水交易花费很少以至于没有成本,甚至可能不需要持有这部分真实资产,但在DEX上进行注水交易需要交易者持有和使用该资产。闪电款可以消除这种「阻碍」。以2020年3月份数据为例,注水交易可以将Uniswap的ETH/DAI市场的24小时交易量增加50%,而成本仅为1,298美元。闪电贷投票在一次由流动性协议BProtocol开发团队发起的MakerDAO投票中,BProtocol团队从dYdX通过闪电贷借出5万个WETH,随后将其抵押至AAVE获得1.3万个MKR代币,再将这部分MKR用于社区投票,待投票完毕后将其返还。而这个投票的议题为,将BProtocol列入到MakerDAO预言机的白名单中,以获得访问MakerDAO价格预言机的权限。
之后该行为被发现,Maker团队与BProtocol团队进行了联系,BProtocol表示会对此行为负责,后续将进一步进行处理。而这也引起了以太坊社区对闪电贷操纵社区治理的讨论。操纵价格套利拉高/砸压—套利以价值0.5ETH的GAS交易费,于2020年2月15日执行的一笔闪电贷交易,在区块9484688完成了闪电贷主要操纵,此次操纵共进行74笔交易,获得了1193.69ETH的利润。该交易的最主要的是在去中心化交易平台bZx上进行杠杆交易,以拉升去中心化交易平台Uniswap上WBTC/ETH的价格,从而创造套利机会。首先从dYdX用闪电贷借到10000枚ETH,一部分ETH以5倍杠杆在bZx做空,另一部分在Compound置换出WBTC,并在ETH价格降低之时,用WBTC将ETH换回完成利用闪电贷的价格拉升/砸压,并从中获利。后续等待价格稳定后,在Kyber换回WBTC,归还Compound的ETH贷款。
预言机操纵—套利是通过干扰喂价预言机,以干扰协议对代币价格的判断,从而「恶意」制造套利机会。正如之前《DeFi时代的攻击方式:喂价预言机操纵》所讲,利用DeFi协议的数据源进行喂价预言机攻击变得很常见。用户通过闪电贷,在三个交易平台交易sUSD,而其中两个都是闪电贷提供平台bZx的喂价预言机。1.闪电贷平台bZx借出7500枚ETH。2.总计将4417个ETH以均价213sUSD的价格换成943837个sUSD。3.在Kyber和Uniswap的sUSD市场持续出售ETH以压低价格。4.由于bZx用Kyber作为喂价预言机,此时bZx的ETH价格下降了58%左右。用户可以用等价的sUSD换到更多的ETH。5.在第三方平台Synthetix将ETH换成sUSD。黑客用获得的,共计1099841sUSD换出6799枚ETH,最终黑客收益额为剩余的3082ETH,以及预言机攻击套利获得的6799枚ETH。偿还完毕7500枚ETH闪电贷后,获利2381枚ETH。闪电贷引发的DeFi讨论
随着DeFi的蓬勃发展,有越来越多的协议推出,这些项目首先面临的就是没有合约审计,这种情况导致的灾难性后果已经在YAM发生过了。而即使合约接受过多方审计,并不代表是完全安全的,合约审计公司并不会帮项目方检查经济模型,这也是如今跨平台喂价预言机操纵—套利频发的原因。闪电贷仅仅是DeFi世界的一重工具,让用户可以在不拥有大量资金的情况下,用一种巧妙的方式在短时间内获得这种能力。而随着行业的发展,难免不会出现更多类似的工具,产生更多更大的攻击事件。面对没有统一管理的DeFi世界,被攻击的资金是否可以追回,完全取决于黑客的心情。YFV和EMN的黑客都偿还了部分资金,而更多的黑客选择将获得的资金收入囊中。这又产生了另一重疑问,DeFi的世界里有没有犯罪?面对区块链无尽的可能性,闪电贷只是工具,更重要的是,你能在这一个区块中,用这笔钱为自己创造些什么?参考阅读:原地址,有删减白皮书《FlashLoansandsecuringtheMakerProtocol》《Harvest.finance复盘闪电贷攻击事件,损失约3380万美元》《Origin公布攻击信息,呼吁黑客返还资金》《Akropolis漏洞详解:黑客复现「经典重入攻击」掳走203万DAI》
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。