近日,DeFi市場經歷了一場嚴峻的考驗,多起攻擊事件接連發生,造成了巨大的資產損失。在多數安全事件中,閃電貸攻擊的“冠名”似乎成為了標配。但是,在其背后不容忽視的真相,其實是對預言機進行操控,造成內外價格差并從中套利。
所謂閃電貸,其實是一種創新金融工具,可實現無抵押貸款,但要求在同一個區塊內還款,否則交易回滾。閃電貸的魅力在于,可以使貸款者在無需付出任何努力或代價的情況下秒變“富豪”。當然,龐大的資金量也預示著強大的市場操控潛力。
在此類安全事件中,攻擊者通常屬于“空手套白狼”,先使用閃電貸獲取大量資金,擁有了攻擊的啟動“砝碼”后,再通過一系列手段出入各類抵押、借貸、交易等協議,在實現操縱、扭曲資產價格數據后,實施套利,最后歸還“本金”。
數據顯示,自2020年以來,黑客基于重入漏洞的攻擊數量有所下降,而基于價格操控漏洞的攻擊比例正在上升,并已造成累計超過數千萬美元的損失。
Robinhood將為技術和操作故障支付多達1020萬美元的罰金:金色財經報道,Robinhood將為技術和操作故障支付多達1020萬美元的罰金。[2023/4/7 13:49:00]
那么,這個預言機到底是什么?
區塊鏈對外溝通的“橋梁”
預言機并不是什么玄幻事物,它其實是區塊鏈網絡與互聯網以及其它區塊鏈網絡等保持數據、信息溝通的“橋梁”。特別是,在DeFi智能合約這類去中心化應用中,通過預言機,開發者可以調用包括行情價格在內的各種外部數據資源,讓Dapp連通外部現實世界的數據環境。
毫無疑問,能夠提供不可篡改、可靠數據的預言機必將成為DeFi發展的重要基石。在DeFi應用中,不論自身配置還是依賴第三方供應,通過預言機可獲取各個市場的價格、匯率等重要信息。而對于去中心化交易所來說,獲取準確可靠的價格數據意義更為重大。
Celsius將價值超2000萬美元的加密貨幣轉入“0x7943”開頭地址:金色財經報道,據PeckShield監測數據顯示,在過去7小時內,被標記為Celsius的地址將價值約2136萬美元的加密貨幣轉移至“0x7943”開頭地址,其中包括5365枚ETH(約875萬美元)、1200萬美元穩定幣(1040萬枚USDC、73.1萬枚USDT、62.5萬枚GUSD、13.2萬枚DAI、5.9萬枚BUSD、3.3萬枚USDP和2500枚TUSD)、1300萬枚CEL(約61.5萬美元)。[2023/3/1 12:36:03]
與中心化交易所不同,Dex行情數據的“孤島化”傾向更為明顯,如果不與外界行情保持實時聯動,Dex中的自動化做市商資產池很可能會因為交易量、流動性等的劇烈變化而產生價差損失。
隨著DeFi市場熱度的提升,行業更多的思考傾向于項目數量、規模以及模式等方面。而對預言機安全問題的關注反倒是處于一種不溫不火的狀態。近段時間,頻繁發生的預言機安全事件可能為此敲響了警鐘,預言機安全于DeFi生態有序發展至關重要。
Circle CEO:不認為美SEC是穩定幣的監管機構:金色財經報道,USDC穩定幣發行商Circle首席執行官Jeremy Allaire在接受采訪時表示:“我不認為SEC是穩定幣的監管機構,在世界各地,包括美國,政府明確表示支付穩定幣是一種支付系統和銀行監管活動,這是有原因的。雖然所有的穩定幣不都是平等的,但從政策的角度來看,全世界的統一觀點是這是一個支付系統下的審慎監管空間。”
Allaire還表示,他總體上支持美國SEC最近的一項提案,該提案將虛擬貨幣納入受“合格托管人”要求約束的資產中。
Allaire稱:“我們認為擁有合格的托管人可以提供適當的控制結構和破產保護等,這是一個非常重要的市場結構,非常有價值。”(彭博社)[2023/2/24 12:26:41]
典型的預言機安全事件
事件一
關于首起預言機安全事件,時間要回到2019年6月25日。DeFi衍生品平臺Synthetix預言機發生異常,致使平臺sKRW/sETH匯率報錯,超過3700萬枚sETH被低價交易,涉及金額近10億美元。
巴哈馬監管機構計劃收回FTX價值2.56億美元的房地產所有權:金色財經報道,巴哈馬監管機構計劃收回FTX價值2.56億美元的房地產所有權,巴哈馬律師要求美國法官駁回針對FTX財產子公司的第11章訴訟程序。巴哈馬律師表示,由于所有財產都在巴哈馬,而且“巴哈馬法律不允許承認巴哈馬公司的外國破產程序”。
據悉,FTX在巴哈馬的35處不同房地產上花費了2.563億美元,其中FTX新總部超過2500萬美元,于2022年4月動工,但自該交易所于11月申請破產以來一直處于擱置狀態。(CNBC)[2022/12/13 21:41:46]
#事件原因
喂價源信息失常,預言機發生故障并將錯誤價格發布到鏈上,交易機器人發現后迅速套利。
最后,Synthetix與交易機器人所屬者達成資金返還協議,巨額損失得以挽回。但值得警惕的是,上游價格源異常可能給智能合約帶來毀滅性打擊,而缺乏有效性驗證的預言機在數據正確性、穩定性方面存在極大的安全隱患。
安全團隊:LARP發生Rug Pull,代幣價格下跌超80%:金色財經消息,據CertiK安全團隊,北京時間2022年7月27日,$LARP代幣跌幅超過80%,該項目已被確認為欺詐項目。部署者出售了最初鑄造的LARP代幣,獲取了大約2.8萬美元(20個ETH)。所得資金通過Aztec Private Rollup Bridge轉移。請用戶們保持警惕。[2022/7/27 2:40:30]
事件二
在此后的事件中,令人印象深刻的是“bZx連續攻擊事件”。2020年2月,DeFi貸款協議bZx在一周內先后兩次遭到攻擊,造成了約100萬美元的損失。
#事件原因
黑客利用Uniswap算法價格缺陷,操縱相關資產價格數據并游走多個DeFi協議,實施套利。
時隔七個月,bZx再次遭受攻擊,此次事件又造成了約800萬美元的損失。bZx聯合創始人KyleKistner在事件發生后曾提到,這似乎是一次預言機操縱攻擊。最終,此次事件的原因被歸為代碼漏洞。
事件三
近期,涉及預言機攻擊的事件愈發頻繁,安全形勢嚴峻。10月26日,DeFi項目HarvestFinance遭到黑客攻擊,造成了約2400萬美元的損失。
#事件原因
該協議fToken鑄幣時采用Curvey池為喂價源,攻擊者通過巨額兌換,操縱價格數據,控制鑄幣數量,從而多次套利。
官方透露,黑客通過curvey池進行攻擊,使Curve中穩定幣的價格異常超出387.9%,并在7分鐘內多次套利。受此影響,Harvest代幣FARM的價格在短時間內暴跌65%。
事件四
11月14日,ValueDeFi協議遭到黑客攻擊,同樣是歷經了一系列協議間操作,最終導致超過700萬美元的損失。
#事件原因
攻擊者利用價格預言機漏洞,操縱Curve資產池價格,竊取超量3CRV兌換DAI后套利。
令人唏噓的是,黑客最后歸還了200萬枚DAI并留下了一條嘲諷信息:“你真懂閃電貸嗎?”以此回應該團隊此前的推文,聲稱可防閃電貸攻擊。
近段時間,僅由預言機攻擊造成的資產損失已累計超過3000萬美元。此類事件中,黑客正是通過操縱預言機,造成可實施套利的兌換率,最后利用價格差竊取了協議資產。
因此,DeFi生態中最具系統性風險的因素是易受價格操控的預言機,而非閃電貸這種金融工具。
解決方案的探索
預言機有著廣泛的應用場景,需與鏈下數據進行交互的Dapp皆可借助預言機來實現功能和價值。其中,典型應用場景包括,Dex、衍生品、穩定幣、借貸平臺、游戲、保險、預測市場等。面對這個“數據要塞”,通過迭代升級、安全測試等,預言機有望提供更為優質的服務。
由于區塊鏈本身不具備驗證數據是否公平、合理的功能,因此,那些錯誤的外部數據在去中心化機制下,將被預言機無差別地執行返回,而這種“將錯就錯”極容易造成各類損失。
預言機的迭代升級,應實現鏈上與鏈下可信數據的對接,確保數據環境正常、穩定、有序。在報價方面,預言機應盡量從多節點聚合數據,對價格偏差預留處理機制,并按照時間同步更新,確保提供給智能合約的數據可靠、可信、抗干擾。
在Dex中,預言機應在提供報價更新的同時維護、調整AMM的權重,確保內部匯率與外部市場價格保持匹配,并通過驗證機制,異常報警機制等有效攔截攻擊者對價格、匯率的操縱,防止套利空間的產生。
另一方面,DeFi開發者應加強預言機的針對性測試,特別是在項目上線前,盡可能模擬價格操控攻擊的各類場景,及時發現問題并找出解決方案,切實提高項目抗預言機攻擊的能力。
項目上線后,開發者應根據情況選擇接入第三方預言機服務、安全測試服務等;舉辦相關漏洞賞金活動,做到及時查缺補漏,優化整體結構,在最大程度上降低同類型事件再度發生的可能性。
結語
事物的兩面性總能在各方面得到體現。對于閃電貸而言,本是一種創新金融工具,可高效提供大額資金,促進價值循環。然而,它卻被攻擊者利用,淪為了竊取資產的重磅武器。
不論是DeFi發展還是區塊鏈新領域的拓展,鏈上、鏈下的數據交換勢在必行,預言機的作用不可小覷。其實,攻擊者的操控手段也并非高深,只是在現階段預言機還不夠智能,很難及時應對和抵御。
同樣,事物發展的道路也總是曲折。在遭受諸多慘痛代價后,預言機這個“短板”暴露無遺。為區塊鏈生態安全計,在完全抗操控攻擊的預言機誕生之前,加強多方技術的驗證和檢測,防范攻擊于未然成為了當務之急。
Tags:DEFEFIDEFI穩定幣Blaze DeFi去中心化金融defi什么意思DeFiStarter穩定幣是由哪個國家提出的
???ETH此輪上漲或告一段落,空軍能否迎來自己的春天???ETH昨日又是一波爆炸拉升持續刷新年內高點,中途也是頻繁向下插長針.
1900/1/1 0:00:00幣圈鵬程11.23午間行情分析操作建議 消息面: 截至11月23日10:30,根據OKEx交易大數據,BTC合約多空持倉人數比為0.94.
1900/1/1 0:00:00在面對DeFi中的某些應用或者業務時,我們似乎不能再用傳統的思維模式去理解了,因為很多時候相同的兩個詞,卻幾乎是完全不同的事物.
1900/1/1 0:00:00——前言 ??? ????再差的股都有讓您賺錢的機會,關鍵是看介入的時機是否恰當守不敗之地,攻可贏之敵.
1900/1/1 0:00:00???馮博毅:11.23比特幣空頭下馬威、后市多頭能否堅定???在這個市場上沒有規劃的投資無異于在大海上漂浮的一只小船,隨時都有翻船的可能,投資并不會因為你是弱者而享受優先待遇,大浪淘沙.
1900/1/1 0:00:00前言: 周末傳統金融市場休市,但是我們的幣市依然瘋狂,昨天BTC突破新高,XRP帶領主流幣分別拉升,我們先看一下資金流向,截止目前為止BTC是以小資金流出,ETH小資金流入.
1900/1/1 0:00:00