三天三次閃電貸攻擊 DeFi為何如此脆弱？_DEF

之前，起源協議OriginProtocol穩定幣OUSD被爆出遭到閃電貸攻擊，OriginProtocol共損失225萬美元的DAI和100萬美元的ETH。隨后不久，OriginProtocol創始人MatthewLiu發文公布OriginDollar閃電貸攻擊事件細節。

文中表示，此次閃電貸攻擊已造成約700萬美元損失，其中包括Origin以及創始人和員工存入的超過100萬美元資金。Origin團隊正在全力以赴確定漏洞原因，以及確定是否能夠收回資金，并強調，團隊不會離開，此次攻擊事件不是欺詐，也不是內部騙局，稱黑客技術卓絕，愿意聘請其為安全顧問，如果黑客全額歸還資金，將不對其進行追蹤也不采取法律措施。截止目前并沒有進一步進展。

Origin并特地提醒用戶，目前已取消了金庫存款，不要在Uniswap或Sushiswap上購買OUSD。Origin團隊也表示正在采取措施以追回資金，包括和交易所以及其他第三方合作，以此識別出黑客地址，對資金進行凍結。黑客使用TornadoCash和renBTC來洗錢和轉移資金，目前還有7137枚ETH和224.9萬枚DAI留在黑客錢包中。

數據：ETH日銷毀量連續三天超1萬枚，累積銷毀量超320萬枚:金色財經報道，數據顯示，ETH連續三日單日銷毀量超1萬枚。截至目前，ETH累計銷毀量超320萬枚ETH，達3,223,962.78枚ETH，價值超60億美元。[2023/5/8 14:49:16]

來源：medium

受到攻擊事件的影響，OUSD價格出現急跌，跌至0.13美元，同時Uniswap中OUSD流動性也從16日的35萬美元跌至12萬美元。

至于具體的攻擊手法，根據目前Origin團隊的分析，攻擊者是利用了一筆小額貸款和OUSD合同中的漏洞來啟動所謂的“變基”，在將SushiSwap和Uniswap上新產生的代幣交換為USDT之前，攻擊人為地夸大了協議中OUSD代幣的供應。

比特幣近三天全網平均算力降至103EH/s，據歷史高點下降近43%:據歐科云鏈 OKLink 數據顯示，比特幣及以太坊近一周算力持續下降。比特幣過去三天全網平均算力僅為 103.03 EH/s，據今年 5 月算力歷史高點 180EH/s 已下降近 43%。以太坊過去三天全網算力 502.98 TH/s，距此前全網算力高點下降超 12%。[2021/6/23 23:59:35]

在過去短短的三周時間里，這已經是第五個遭受閃電貸攻擊的DeFi項目，HarvestFinance、Akropolis、ValueDeFi和CheeseBank，損失均在百萬美元級別以上，大部分損失最終都是散戶在買單。那么閃電貸攻擊到底是什么？為什么DeFi總是遭受黑客攻擊？

閃電貸：迷人又危險

行情 | BTC連續三天凈流入 24小時凈流入5.18億元:根據AICoin數據顯示，24小時資金凈流入排名中DASH排名第一， 24小時凈流入13.56億元；BTG 24小時資金凈流入排名第二，24小時凈流入9.42億元; BTC 24小時資金凈流入排名第三，24小時凈流入5.18億元。LTC24小時資金凈流入排名第四，24小時凈流入3.62億元； XMR 24小時凈流入排名第五，24小時凈流入1.97億元。[2019/1/24]

可能大部分用戶最早聽到閃電貸攻擊這個名詞，是在今年2月bZx遭受閃電貸攻擊，當時攻擊者僅用時13秒即套利36萬美元，雖然bZx通過adminkey限制了操縱人提現，使攻擊者無法真正套利，但自此之后“閃電貸”開始頻繁成為熱門話題，巨額的套利收益抓人眼球。

比特幣期貨連漲三天:CME比特幣期貨BTC 8月合約收漲10美元，漲幅大約0.15%，報6765美元。CBOE比特幣期貨XBT 8月合約收漲10美元，漲約0.15%，報6757.50美元。[2018/6/21]

閃電貸FlashLoan隸屬DeFi生態，DeFi熱度全面起來之后，各種安全問題隨之而來，閃電貸就是一種常見的攻擊方式。閃電貸與傳統的DeFi借貸有很大的不同，傳統的DeFi借貸要求用戶在前期對貸款進行超額抵押，也導致資金利用率較低。而閃電貸則允許借款人無需抵押資產即可實現借貸，只要求借款人必須在同一個區塊中償還即可，否則就會被收回，整個交易回滾，閃電貸也不會發生。

閃電貸在極大提高資金利用率的同時埋下了安全隱患。一筆鏈上交易可以做很多事情，使得用戶可以在借款和還款間加入其它鏈上操作，這就存在了作惡的空間，很多用戶惡意利用閃電貸借入、交換、存入并再次借入大量的Token，人為地在DEX里操縱Token價格。這出現了目前常見的閃電貸攻擊。

有人曾這樣評價閃電貸，“閃電貸之于DeFi，就是一個核彈，而且開關擺在廣場上，它的危險程度用PoS類比，相當于任何人可以通過付利息的方式來借用全網Staking進行51%攻擊。”試想任何一個普通用戶分無分文卻可以控制巨額資金，空手套白狼，誰人不心動，這或許是只有區塊鏈才能帶來的的新奇金融世界。

但是有一點需要表明的是，用戶利用閃電貸進行的一系列套利行為從交易的本身來講是被允許的。技術沒有對錯，閃電貸只是一種工具，如果錯了那么就是因為使用工具的人。

DeFi：新奇又脆弱

閃電貸攻擊自bZx攻擊事件之后頻繁發生，但是閃電貸攻擊并不是DeFi生態中真正的系統性根源風險，究其根源在于Oracle攻擊，閃電貸攻擊往往只是對Oracle的攻擊。Oracle是連接鏈上DeFi應用和鏈下數據的中間件，由于使用去中心化的Oracle網絡，在多個交易所中存在交易量和流動性差異，那就加大了Oracle攻擊風險。

據samczsun.com網站研究人員發布的報告，在2020年，針對價格Oracle操縱行為非常多，迄今為止已導致逾3000萬美元損失，而且沒有放緩的跡象。還指出，多年來基于可重入性的攻擊已經減少，而基于價格Oracle操縱的攻擊現在正在上升。

其實很多閃電貸攻擊并不涉及到任何區塊鏈及智能合約的漏洞安全問題，這讓避免閃電貸攻擊變得難以捉摸，攻擊發生之時也沒有太多時間留給項目反應。很多閃電貸套利事件發生的前提條件只是因為在不同的DEX中存在價格差。

區塊鏈安全公司CertiK針對這種價差套利提出了兩點建議，第一，從控制價格差的角度思考，不同交易所之間建立價格同步機制或者采用同一種價格預言機，可以降低套利事件發生的概率；第二，從執行套利事件的智能合約角度思考，對涉及交易數目巨大的交易采取額外的驗證步驟或者提高對該種交易的交易費用，會減少套利事件的發生。

閃電貸發明的本意是讓想開發者可以任意借貸而無需提供質押物，但也打開了潘多拉魔盒。

未來閃電貸不會消失，但會以何種形態繼續發展不得而知，雖然有風險，但是在這之中確實看到了金融的創新，這是區塊鏈的想象力，是DeFi去中心化金融所帶來的新金融體驗。DeFi本就是一場大型的社會實驗，有成功自然也會失敗，這還不是終點，等待DeFi的完美試驗結果。

Tags：EFIDEFIDEFGINPlutusDeFideFIREDOGDEFI價格Origin Fountainhead Chain

Uniswap