2021年5月份,比特幣經歷了大回撥,從最高6萬美金跌至最低2.9萬美金。同樣在5月,bsc(幣安智慧鏈)安全事件頻發,不斷髮生資金被盜或是被套利,成為駭客發動攻擊的“主戰場”。
我們知道在defi的世界裡,藉助於智慧合約,個人建立金融產品的門檻被大幅降低。這就要求智慧合約的程式碼進行過縝密的稽覈,一旦智慧合約中存在著任何漏洞,它就可能成為駭客攻擊的物件。
隨著defi熱度全面起來,各種安全問題隨之而來,閃電貸就是主要被使用的攻擊方式。另外一方面,作為一種創新的金融工具,本質上,閃電貸實現“空手套白狼”是利用了協議本身的漏洞。
駭客透過區塊鏈上的閃電貸,以很小的成本借出大筆資金,然後用這筆資金去造成一些數字資產的價格波動,再從中漁利,最初興起於以太坊,隨著bsc等 cefi + defi 生態上的資產愈發豐富,駭客也在隨時伺機待發。
在5月份,bsc上一共發生了12起安全事件,總共損失了超過1.67億美元。這其中大部分是被駭客透過閃電貸攻擊,另一小部分是自身合約程式碼問題而遭受到了駭客的攻擊。
此外,據有關報道,在5月之前,bsc上遭受駭客攻擊的defi專案還包括cream finance、uranium finance、meerkat finance、safemoon和spartan protocol。據瞭解,幣安已向區塊鏈情報公司ciphertrace尋求分析支援,以減少進一步的駭客入侵。
在傳統經濟中,當貸款人向借款人提供貸款時,總是存在借款人可能無法償還債務的風險。
這就引出了一個關鍵性問題:有沒有可能存在一種情況,借出錢,但不存在不被償還的可能性。
上述在傳統領域無法實現的事情,由區塊鏈來完成,這就是閃電貸。
閃電貸是隻在一個區塊交易中有效的貸款,如果借款人在交易結束前沒有償還這筆貸款,那麼閃電貸款就是失敗的,不會被執行。這是因為如果沒有滿足償還條件,區塊鏈不會執行這筆交易。閃電貸的資產來自一個公共的智慧合約資金池。目前較為流行的是由aave和dydx提供的資金池。
閃電貸與傳統的defi借貸有很大的不同,傳統的defi借貸要求使用者在前期對貸款進行超額抵押,也導致資金利用率較低。而閃電貸則允許借款人無需抵押資產即可實現借貸,只要求借款人必須在同一個區塊中償還即可,否則就會被收回,整個交易回滾,閃電貸也不會發生。
閃電貸在極大提高資金利用率的同時埋下了安全隱患。一筆鏈上交易可以做很多事情,使得使用者可以在借款和還款間加入其它鏈上操作,這就存在了作惡的空間,很多使用者惡意利用閃電貸借入、交換、存入並再次借入大量的token,人為地在dex裡操縱token價格。這出現了目前常見的閃電貸攻擊。
bsc在5月集中“暴雷”,引發各種猜測:是巧合還是必然?是監守自盜還是被駭客盯上?反觀最近以太坊上出事的defi專案挺少,並不多見。
據有關安全專家表示,應該是有團隊盯上bsc了,上面的漏洞很多,bsc上面所有的東西和以太坊幾乎都是一樣的,都是基於solidity程式語言以及evm虛擬機器。曾經在以太坊上犯過的錯誤,使用過的攻擊武器在bsc上都會出現。
在傳統的條件下,駭客們攻擊金融系統時所憑藉的主要是他們在計算機技術上的優勢,而在現有的 defi 生態下,由於各鏈、各應用之間的互通性還並不是那麼好,因此跨鏈、跨應用之間的套利機率可能較大。這時,即使一個計算機本領不那麼強的人,只要他有足夠的金融知識和足夠的市場嗅覺,就也可以成為駭客,對 defi 系統進行攻擊。
bsc鏈提供快捷方便的同時,更要重視程式碼的安全,重視審計的力量。我們呼籲,在某類協議出現重大漏洞安全事故後,一定要做到自查,排除類似的漏洞,或者尋求專業程式碼審計的機構進行類似攻擊測試的幫助。避免發生類似的事故,保護好自身以及使用者的資金安全。
