從已知的信息來看,過去一周,已經發生了4起閃電貸攻擊,包括Value DeFi(540萬美元)、Cheese Bank(330萬美元)、Akropolis(200萬美元)以及今天的OUSD(700萬美元)。
我們特意查看了一下記錄,發現自今年年初以來基本每個月都要發生幾起閃電貸攻擊。說明閃電貸攻擊已經不是一種偶然事件了。
此前的一次閃電貸攻擊
最近的一次是OUSD。攻擊方案的核心就是閃電貸+重入攻擊。大概的流程是。
1.攻擊者先用閃電貸借了一大筆ETH這樣的主流資產,然后注入到各類DeFi協議中,進行類似鑄幣、流動性挖礦這樣的操作。
數據:5月和6月交易所流出BTC和ETH總額超60億美元:金色財經報道,Glassnode數據顯示,自5月份開始加密貨幣交易所的BTC和ETH資金外流呈顯著上升趨勢,截至6月27日,已有價值約62億美元的BTC和ETH流出交易所。此外,過去一個月內穩定幣的交易所流入并沒有出現明顯增加,但BTC和ETH的高流出意味著交易所購買力指標(交易所上各種穩定幣供應量的30天變化,減去以美元計價的BTC和ETH交易流的30天變動來計算)開始激增,目前水平已與2022年12月中旬相當。分析認為,穩定幣購買力的飆升可能會對市場產生重大影響,如果這一趨勢持續下去,可能會在加密貨幣市場引發新一輪購買活動,加劇價格波動。(cryptoslate)[2023/7/1 22:12:12]
2.然后由于攻擊者手上有一大筆資金,它們可以操控價格并利用某些設計上的漏洞操控系統的判斷。(很多合約都是基于價格或者資產價值比例來作為特定行為的判定依據)
NFTTrader項目Discord服務器已被入侵:金色財經報道,據CertiK監測,NFTTrader項目Discord服務器已被入侵,黑客發布了網絡釣魚鏈接。在團隊確認他們已經恢復服務器的控制權之前,請勿點擊任何鏈接。[2023/3/6 12:44:46]
3.最后的結果就是由于這樣的操作會導致系統會付給攻擊者遠高于初始資產的收益,最后攻擊者會重復這些操作,最后在合約中取回或者在DEX賣掉獲得的超額資產。
4.然后攻擊者再拿著一部分錢去還之前在閃電貸中借到的錢,就結束了整個攻擊過程。
本質上這些攻擊的核心邏輯就是借助巨額資金來進行非正常的套利操作。
閃電貸不是漏洞,但是擴大了漏洞的風險
工業元宇宙公司Worlds完成2120萬美元A輪融資:金色財經報道,工業元宇宙公司Worlds完成2120萬美元A輪融資,Moneta Ventures領投,Align Capital、Green Park、Golf Ventures、Chevron Technology Ventures、Piva Capital、Perot Jain和Capital Factory等參投。
該公司從Hypergiant Sensory Sciences更名為Worlds,是一家為工業企業構建車間運營數字孿生模型以提高其生產力或效率的公司,新名稱將反映其為推銷所謂用于構建工業元宇宙的4D基礎設施所做的努力。該公司表示,其其他客戶包括雪佛龍、馬來西亞國家石油公司和Hillwood Development Company。[2023/1/10 11:02:55]
在這其中我們發現,雖然近期的幾次事件都把“閃電貸”這個概念作為關鍵詞,但是閃電貸本身和攻擊事件本身并沒有直接的關聯。
Nexo指責Vauld前任管理層迫使其退出收購,出于私心支持基金管理公司競標:1月6日消息,加密貨幣借貸平臺Nexo對Vauld的收購提案遭到拒絕。Nexo在周四發布的公開信中抨擊Vauld及其管理團隊,包括前首席執行官Darshan Bathija等前任管理層人員及債權人委員會(CoC),指責他們迫使Nexo退出交易,轉而支持另一方,沒有將債權人的最大利益放在心上。Nexo表示,“競爭者是一家不知名的基金管理公司,沒有業績記錄,沒有過去的業績可以證明,但卻做出了令人難以置信的高額年回報率承諾。”
Vauld似乎傾向于通過基金管理公司來進行重組,而不是與Nexo達成交易。Nexo認為,許多人投票支持該競標者,這一定是一項“秘密交易”的一部分,有利于前管理團隊和選定的少數巨鯨客戶。[2023/1/6 10:58:54]
在攻擊發生的前一天,Value DeFi項目方還在宣稱自己是最安全的協議
但不可否認的是,閃電貸成為了其中極其重要的攻擊工具。用一句話來形容它的作用:“它允許你在交易期間像巨鯨一樣的行動”,最可怕的是,如果說那些資金雄厚的人更容易成為攻擊的來源,閃電貸可以讓一個一無所有,甚至沒有基本信用的人在短時間內變成一個手握重金的巨鯨,最重要的是這些人不需要任何許可、不需要良好的信用憑證也不需要付出等額或者超額的抵押品作為代價,完全是空手套白狼。
閃電貸本身不是一種漏洞,但它無形之中擴大了那些漏洞被攻擊的風險,因為第一攻擊者不需要任何代價,第二攻擊的來源大大增加,它可能會被任何一個洞悉漏洞的人作為攻擊的工具。
危險的創新:閃電貸錯在哪里?
事實上閃電貸在遭受非議之前被認為是DeFi最偉大的創新之一。閃電貸概念最早由Marble協議于2018年提出,當時開發者的想法是通過智能化合約完成的零風險貸款。智能合約平臺一次性處理交易,如果借款人不能償還貸款,整個交易就會回滾,就像貸款根本沒發生一樣。
重點是區塊鏈交易回滾這個特性,用戶和合約發起一筆交易,合約借給用戶一筆錢,然后同樣的用戶在這個交易里還回借出的金額和相應的利息就可以了。如果沒還那么這個交易就會被判定不生效,然后被回滾,也就不存在借款轉移的事情了。這在傳統觀念來說是完全不可思議的事情,因為借貸既不需要信用也不需要抵押品。
其實一開始閃電貸的用途是給那些套利者提供便捷的套利資金工具,例如分散交易所之間的額套利、清算多個借貸平臺的貸款或者進行再融資等這些操作,最簡單的就是,閃電貸可以幫助交易者從Marble銀行貸款,在一家去中心化交易所DEX中買幣,然后在另一家DEX以較高價格賣出代幣,然后獲得差價收益。這樣的目的是正常的,傳統金融中也會出現這樣的場景。唯一的區別就是閃電貸的零門檻零代價。
但是很不幸的是,我們能夠封堵漏洞,但永遠防不住人心。黑客或者潛在的攻擊者會發現閃電貸完全可以為攻擊提供充足的啟動資金,這其中產生的另外一個后果就是,由于黑客的錢是借來的,所以錢和黑客本身并沒有直接的關聯,他們的身份也更加地難以追蹤。
因此一句話總結:閃電貸減小了攻擊者的風險,攻擊會更加隨意。
閃電貸+:另一種潛在攻擊用途
作為工具,閃電貸的用途是我們永遠不能想象和預測的。我們完全不能低估“科學家”的智慧,除了經濟上的攻擊,閃電貸又被發現可以應用到別的領域的攻擊上,例如操縱去中心化社區的治理。
近期,Maker基金會智能合約開發團隊檢測到一起發生在MakerDAO治理提案中的投票違規行為,大體意思是,社區的一次提案需要持有治理代幣的用戶投票,然后有一個人就利用閃電貸借出總資產,然后用來作為抵押品在借貸平臺拿到大量的治理代幣,去參與投票,投完票然后再還回去。
聽到這里可能很多人會驚出一身冷汗,因為如果這次通過的是一項有利于攻擊者的戰略性提案,那造成的后果遠比一次套利攻擊要嚴重的多,而且這樣的攻擊顯然更加隱秘。
閃電貸本身在這次風波中并沒有任何過錯,它反而是一種讓人眼前一亮的創新,我們通過閃電貸這樣的產物看到了DeFi的想象空間是有多大。但基于當前DeFi正處在一個實驗性階段,因此大量的漏洞和攻擊者會將閃電貸用到各種非法用途上,所以很多人認為閃電貸是一種極為危險的創新,換個角度來說也正式因為閃電貸的存在,使得各項目方更加重視安全,這也是一種價值。
金色財經 區塊鏈11月12日訊? 對沖基金巨頭橋水基金(Bridgewater Associates)創始人瑞·達利歐(Ray Dalio)最近稱,如果比特幣變得非常成功,各國政府將會取締它.
1900/1/1 0:00:001.一文了解波卡平行鏈拍賣進入到2020年底,加密貨幣領域里的另一場大戲——波卡平行鏈插槽競拍,即將拉開帷幕。平行鏈作為波卡生態中至關重要的角色,平行鏈插槽的拍賣一直備受關注.
1900/1/1 0:00:00《覓新》是金色財經推出的一檔區塊鏈項目觀察類項目,覆蓋行業各領域項目發展情況,具體設計到項目概況、技術進展、募資情況等,力圖為您呈現一線重點、熱門新潮的項目合輯.
1900/1/1 0:00:00金色財經 區塊鏈11月11日訊 據南華早報(scmp)消息,中國建設銀行擬在區塊鏈上出售價值30億美元的數字存款證明,這是第一家中資銀行提供的30億美元數字存款證明.
1900/1/1 0:00:00通過一個腦洞問題,了解加密資產的全景。昨天有朋友提出一個問題:做一個市值為ETH1/3的項目,需要多少錢?這種腦洞題目,我覺得找個麥肯錫的咨詢顧問來回答可能更準確,我說的不是他們的結論準確,而是.
1900/1/1 0:00:00作為一個誕生不到13年的新興行業,加密貨幣已經經歷了很多監管打擊和變化,尤其是在美國。然而,Decred聯合創始人Jake Yocom-Piatt認為,美國是對加密貨幣最友好的國家.
1900/1/1 0:00:00