2019年年底,我發表了一篇題為 《Taking undercollateralized loans for fun and for profit》的文章。在其中,我描述了對以太坊 DApp的經濟攻擊,這些攻擊依賴於一個或多個Token的準確價格資料。目前已經到了2020年末,不幸的是,此後眾多專案都犯了非常類似的錯誤,最近的例子是Harvest Finance駭客事件,導致協議使用者集體損失2400萬美元。
雖然開發者對重入等漏洞很熟悉,但預言機操縱價格顯然不是人們經常考慮的問題。相反,基於重入性的漏洞這些年有所下降,而基於價格預言機操縱的漏洞現在卻在上升。因此,我決定是時候有人發表一篇關於價格預言機操縱的權威資源了。
這篇文章分為三個部分。對於不熟悉這個問題的人,有一個關於預言機和預言機操縱的介紹。想要測試自己知識的人可以跳到案例研究,我們在這裡回顧了過去與預言機相關的漏洞和利用。最後,我們總結了一些開發人員可以用來保護他們的專案不受預言機操縱的技術。
在現實生活中預言機操縱
2015年12月1日,星期三。你的名字叫大衛-斯帕戈,你正在澳大利亞墨爾本的北京公爵演唱會上。你想親自見見樂隊,但你和後臺通道之間站著兩個保安,他們不可能讓一些普通人直接走進去。
你想知道,如果你表現得像個普通人,保安們會有什麼反應。樂隊的家人們肯定會被允許到樂隊後臺參觀,所以你要做的就是讓保安們相信你是他們的家人。你思考了一會兒,想出了一個只能用天才或瘋子來形容的計劃。
迅速安排好一切後,你自信地走到保安面前。你自我介紹說是大衛-斯帕戈,Peking Duk的家人。當保安要求你提供證據時,你向他們展示了無可辯駁的證據--維基百科。
保安向你招手,讓你稍作等待。五分鐘過後,你在想是否應該在執法人員出現之前逃走。當你準備離開時,魯本-斯泰爾斯走了過來並做自我介紹。你和他一起走到一個綠色房間,樂隊對你的聰明才智印象深刻,最後你們一起喝了幾瓶啤酒。後來,他們在自己的Facebook頁面上分享了發生的事情。
什麼是價格預言機?
價格預言機,大抵是指任何你可以諮詢價格資訊的東西。當Pam向Dwight詢問Schrute Buck的現金價值時,Dwight就像一個價格預言機。
在以太坊上,一切都是智慧合約,價格預言機也是如此。因此,瞭解價格預言機如何獲取價格資訊的方式更有用。一種方法是,你可以簡單地從價格API或交易所獲取現有的鏈外價格資料,並將其帶到鏈上。另一種方式,你可以透過諮詢鏈上去中心化交易所來計算即時價格。
這兩種選擇都有各自的優勢和劣勢。鏈外資料對波動的反應一般較慢,這一特點是好是壞取決於使用它的目的。不過它通常需要少數特權使用者來推送鏈上資料,所以你必須相信他們不會變壞,不能被脅迫推送不良更新。鏈上資料不需要任何特權訪問,並且總是最新的,但這意味著它很容易被攻擊者操縱,這可能導致災難性的後果。
什麼可能會出問題呢?
讓我們來看看幾個案例,在這些案例中,一個整合度不高的價格預言機導致了DeFi專案的重大經濟損失。
Synthetix sKRW Oracle故障
Synthetix是一個衍生品平臺,它允許使用者接觸其他貨幣等資產。為了實現這一目標,Synthetix(當時)依靠定製的鏈外價格推送實現,其中從一組秘密的價格推送計算出的總價格以固定的時間間隔釋出在鏈上。然後,這些價格允許使用者針對支援的資產進行多頭或空頭交易。
2019年6月25日,Synthetix所依賴的其中一個價格推送錯誤地報告了韓元的價格,比真實匯率高出1000倍。由於價格預言機系統的其他地方出現了其他的錯誤,這個價格被系統接受併發布在鏈上,在鏈上一個交易機器人迅速在sKRW市場上進行了買入和賣出。
理論上講,該機器人總共能夠賺取超過10億美元的利潤,雖然Synthetix團隊能夠與交易員談判,以換取漏洞獎金來返還資金。
Synthetix正確地執行了預言機合約,並從多個來源提取價格,以防止交易者在鏈上釋出價格變化之前預測價格變化。然而,一個上游價格源發生故障的孤立案例導致了毀滅性的攻擊。這說明了使用鏈外資料的價格預言機的風險:你不知道價格是如何計算出來的,所以你的系統必須精心設計,使所有潛在的故障模式都能得到妥善處理。
抵押貸款
如前所述,我在2019年9月發表了一篇文章,概述了使用依賴鏈上資料的價格預言機的相關風險。雖然我強烈建議閱讀原帖,但它相當長,技術細節也很多,可能會讓人難以消化。因此,我將在這裡提供一個簡化的解釋。
想象一下,你想把去中心化的借貸帶到區塊鏈上。允許使用者存入資產作為抵押品,並借入其他資產,最高金額由他們存入的資產價值決定。假設使用者想用ETH作為抵押品借入美元,ETH當前價格為400美元,抵押率為150%。
如果使用者存入375個ETH,相當於存入150000美元的抵押品。每1.5美元的抵押品可以借到1美元,所以他們最多可以從系統中借到10萬美元。
但當然,在區塊鏈上,並不是簡單地宣佈1個ETH值400美元那麼簡單,因為一個惡意使用者可以簡單地宣佈1個ETH值1000美元,然後從系統中拿走所有的錢。因此,對於開發者來說,想要獲得預言機所讀取的最近價格是很有誘惑力的,比如Uniswap、Kyber或其他去中心化交易所的當前現貨價格。
乍一看,這似乎是正確的做法。畢竟,只要你想買入或賣出ETH,Uniswap的價格總是大致正確的,因為任何偏差都會被套利者迅速糾正。然而,事實證明,在交易過程中,去中心化交易所的現貨價格可能會出現較大的錯誤,如下例所示。
考慮一下Uniswap的儲備金是如何運作的。價格是根據儲備持有的資產數量計算的,但隨著使用者在ETH和美元之間進行交易,儲備持有的資產會發生變化。如果一個惡意使用者在從你的平臺貸款前後進行交易怎麼辦?
在使用者貸款之前,他們用2000000美元購買了5000個ETH。Uniswap交易所現在計算出的價格是1 ETH=1,733.33美元。現在,他們的375個ETH可以作為價值433,333.33美元資產的抵押品,他們借到了這些資產。最後,他們用5,000 ETH換回他們原來的2,000,000美元,從而重置價格。最終的結果是,你的貸款平臺只是讓使用者在沒有投入任何抵押物的情況下,多借了333,333.33美元。
這個案例研究說明了使用去中心化交易所作為價格預言機時最常見的錯誤--攻擊者在交易過程中幾乎完全控制了價格,而試圖準確地讀出這個價格就像在秤上讀出它完成結算前的重量一樣。你很可能會得到錯誤的數字,根據情況,可能會讓你損失很多錢。
Synthetix MKR操縱
2019年12月,Synthetix又遭遇攻擊,原因是價格預言機操縱。這次值得注意的是,它跨越了鏈上價格資料和鏈下價格資料之間的障礙。
Reddit使用者u/MusaTheRedGuard觀察到,一名攻擊者針對sMKR和iMKR(反向MKR)進行了一些非常可疑的交易。攻擊者首先透過買入sMKR購買了MKR的多頭頭寸,然後從Uniswap ETH/MKR交易對中購買了大量的MKR。等待一段時間後,攻擊者將他們的sMKR賣出換成iMKR,並將他們的MKR賣回Uniswap。然後,他們重複這個過程。
在幕後,攻擊者透過Uniswap進行的交易讓他們可以隨意改變Synthetix上MKR的價格。這很可能是因為Synthetix所依賴的鏈外價格推送實際上是依賴於MKR的鏈上價格,沒有足夠的流動性讓套利者將市場重新設定回最佳狀態。
這個事件說明,即使你認為自己使用的是鏈下價格資料,但實際上你可能仍然在使用鏈上價格資料,你仍然可能暴露在使用這些資料的複雜性之中。
bZx駭客
2020年2月,bZx在幾天內被黑了兩次,損失約1百萬美元。你可以在這裡找到palkeo寫的關於兩次駭客的優秀技術分析,但我們只看駭客的第二次攻擊。
在第二個駭客攻擊中,攻擊者首先用ETH購買了Kyber上幾乎所有的sUSD。然後,攻擊者自己從Synthetix購買了第二批sUSD,並將其存放在bZx上。攻擊者用sUSD作為抵押,借到了他們允許的最大數額的ETH。然後他們將sUSD賣回給Kyber。
如果你一直在關注,你會認識到這本質上是相同的抵押貸款攻擊,但使用不同的抵押品和不同的去中心化交易所。
yVault Bug
2020年7月25日,我向yEarn報告了一個關於他們新的yVault合約推出的bug。我將在下面簡單總結一下。
yVault系統允許使用者存入Token並在上面賺取收益率,而不需要自己管理。在內部,金庫會跟蹤yVault Token的總髮行量以及存入的基礎 Token總量。單個yVault Token的價值由鑄造的Token 與存入的Token的比例給出。金庫賺取的任何收益都會分攤到所有已發行的yVault Token (因此,也就分攤到所有yVault Token 持有人身上)。
第一個yVault允許使用者透過向Balancer MUSD/USDC池提供流動性來賺取USDC的收益率。當使用者向Balancer池子提供流動性時,他們會收到BPT作為回報,BPT可以兌換池子的一部分。因此,yVault根據可以用其BPT贖回的MUSD/USDC的數量來計算其持有的價值。
這似乎是正確的實現方式,但不幸的是,與之前給出的原理相同--交易過程中Balancer池的狀態並不穩定,不能被信任。在這種情況下,由於Balancer選擇的價格曲線,使用者從USDC換成MUSD時,不會得到1:1的匯率,但事實上會在池子裡留下一些MUSD。這意味著BPT的價值可以暫時被放大,這使得攻擊者可以隨意操縱價格,隨後將金庫耗盡。
這一事件表明,價格預言機並不總是清晰的反映價格資料,開發者需要警惕他們攝取的是什麼樣的資料,並考慮這些資料是否能被無權使用者輕易操縱。
對於收益率耕作的駭客攻擊
2020年10月26日,一個不知名的使用者入侵了流動性挖礦的池子,使用的技術你現在可能已經猜到了。你可以在這裡閱讀官方的事後報告,但我再一次為你總結一下:攻擊者透過執行交易將曲線池中USDC的價格虛化,以降低的價格進入耕作池,透過逆轉之前的交易恢復價格,並以更高的價格退出耕作池。這導致了超過3300萬美元的損失。
我該如何保護自己?
現在,我希望你已經學會了認識到共同點--你使用價格預言機並不總是安全的,如果你不遵循適當的預防措施,攻擊者可能會攻擊你的協議,將你的錢全部傳送給他們。雖然沒有一個萬能的修復方法可以參考,但這裡有一些過去對其他專案有效的解決方案。也許其中一個也會適用於你。
尋找有流動性充足的池子
就像跳入游泳池的淺灘一樣,跳入流動性不足市場是痛苦的,可能會導致重大的開支,這將永遠改變你的生活。在你考慮你打算使用的具體價格預言機的複雜性之前,請考慮該代幣的流動性是否足以保證與你的平臺整合。
一鳥在手,勝過兩鳥在林
在Uniswap上看到潛在的匯率可能會令人著迷,但在你真正點選交易和代幣放在你的錢包裡之前,並不意味著那是最終價格。同樣,確定兩種資產之間匯率的最好方法是直接交換資產。這種方法很好,因為沒有回扣,也沒有萬一。但是,對於借貸平臺等協議來說,可能就不適用了,因為這些協議是需要持有原始資產的。
去中心化的預言機
有一種方法可以總結出依賴鏈上資料的預言機的問題,那就是它們有點太新潮了。既然如此,為什麼不引入一點人為的延遲呢?寫一個合約,它可以用Uniswap這樣的去中心化交易所的最新價格來更新自己,但只有當一小部分特權使用者提出請求時才會更新。現在即使攻擊者可以操縱價格,他們也無法讓你的協議真正使用它。
這種方法實現起來真的很簡單,而且是速戰速決,但也有一些缺點--在鏈路擁堵的時候,你可能無法像你希望的那樣快速更新價格,而且你仍然容易受到三明治攻擊。另外,現在你的使用者需要相信你真的會保持價格更新。
延遲防禦
操縱價格預言機是一個時間敏感的操作,因為套利者總是在觀察,並希望有機會最佳化任何次優市場。如果攻擊者想把風險降到最低,他們會希望在一次交易中完成操縱價格預言機所需的兩次交易,這樣就不會有套利者在中間跳躍的機會。作為協議開發者,如果你的系統支援的話,可能只需要實現使用者進入和退出系統之間短至1個block的延遲就可以了。
當然,這可能會影響到可組合性,礦工與交易員的合作正在上升。在未來,不良行為者可能會在多個交易中進行價格預言機操縱,因為他們知道與他們合作的礦工會保證沒有人可以跳到中間,從他們的收益中分一杯羹。
時間加權平均價格(TWAP)
Uniswap V2引入了一個TWAP預言機,供鏈上開發者使用。文件中更詳細地介紹了該預言機提供的具體安全保障,但一般來說,對於長期沒有鏈上擁堵的大池子來說,TWAP預言機對預言機操縱攻擊有很強的抵抗力。不過,由於其實現的性質,在市場波動較大的時刻,它的響應速度可能不夠快,而且只適用於鏈上已經有流動性代幣的資產。
M-of-N 喂價
有時候人們會說,如果你想把一件事做好,你就自己去做。如果你召集N個值得信賴的朋友,讓他們提交他們認為合適的鏈上價格,最好的M個答案就成了當前的價格,會怎麼樣?
如今很多大型專案都在使用這種方法。Maker執行了一組由可信實體運營的價格源,Compound建立了Open預言機,並擁有Coinbase等報告器,Chainlink聚合了Chainlink運營商的價格資料,並在鏈上公開。只要記住,如果你選擇使用這些解決方案之一,你現在已經將信任委託給第三方,你的使用者也必須這樣做。要求報告人手動在鏈上釋出更新也意味著,在市場波動大、鏈上擁堵的時候,價格更新可能無法及時完成。
價格預言機是 DeFi 安全性的一個重要組成部分,但往往被忽視。安全地使用價格預言機是很難的,而且有很多方法可以讓您和您的使用者都吃虧。在這篇文章中,我們介紹了過去操縱價格預言機的例子,並確定了在交易中間讀取價格資訊可能是不安全的,可能會導致災難性的財務損失。我們還討論了一些其他專案過去用來打擊價格預言機操縱的技術。不過最後,每一種情況都是獨特的,你可能會發現自己不確定自己是否正確使用了價格預言機。
