三天三次閃電貸攻擊,DeFi為何如此脆弱?

買賣虛擬貨幣

今日晨間,起源協議Origin Protocol穩定幣OUSD被爆出遭到閃電貸攻擊,Origin Protocol共損失225萬美元的DAI和100萬美元的ETH。隨後不久,Origin Protocol創始人Matthew Liu發文公佈Origin Dollar(OUSD)閃電貸攻擊事件細節。

文中表示,此次閃電貸攻擊已造成約700萬美元損失,其中包括Origin以及創始人和員工存入的超過100萬美元資金。Origin團隊正在全力以赴確定漏洞原因,以及確定是否能夠收回資金,並強調,團隊不會離開,此次攻擊事件不是欺詐,也不是內部騙局,稱駭客技術卓絕,願意聘請其為安全顧問,如果駭客全額歸還資金,將不對其進行追蹤也不採取法律措施。截止目前並沒有進一步進展。

Origin並特地提醒使用者,目前已取消了金庫存款,不要在Uniswap或Sushiswap上購買OUSD。Origin團隊也表示正在採取措施以追回資金,包括和交易所以及其他第三方合作,以此識別出駭客地址,對資金進行凍結。駭客使用Tornado Cash和renBTC來洗錢和轉移資金,目前還有7137枚ETH和224.9萬枚DAI留在駭客錢包中。

來源:medium

受到攻擊事件的影響,OUSD價格出現急跌,跌至0.13美元,同時Uniswap中OUSD流動性也從16日的35萬美元跌至12萬美元。

至於具體的攻擊手法,根據目前Origin團隊的分析,攻擊者是利用了一筆小額貸款和OUSD合同中的漏洞來啟動所謂的“變基” ,在將SushiSwap和Uniswap上新產生的代幣交換為USDT之前,攻擊人為地誇大了協議中OUSD代幣的供應。

在過去短短的三週時間裡,這已經是第五個遭受閃電貸攻擊的DeFi專案,Harvest Finance、Akropolis、Value DeFi和Cheese Bank,損失均在百萬美元級別以上,大部分損失最終都是散戶在買單。那麼閃電貸攻擊到底是什麼?為什麼DeFi總是遭受駭客攻擊?

01

閃電貸:迷人又危險

可能大部分使用者最早聽到閃電貸攻擊這個名詞,是在今年2月bZx遭受閃電貸攻擊,當時攻擊者僅用時13秒即套利36萬美元,雖然bZx透過admin key限制了操縱人提現,使攻擊者無法真正套利,但自此之後“閃電貸”開始頻繁成為熱門話題,鉅額的套利收益抓人眼球。

閃電貸Flash Loan隸屬DeFi生態,DeFi熱度全面起來之後,各種安全問題隨之而來,閃電貸就是一種常見的攻擊方式。閃電貸與傳統的DeFi借貸有很大的不同,傳統的DeFi借貸要求使用者在前期對貸款進行超額抵押,也導致資金利用率較低。而閃電貸則允許借款人無需抵押資產即可實現借貸,只要求借款人必須在同一個區塊中償還即可,否則就會被收回,整個交易回滾,閃電貸也不會發生。

閃電貸在極大提高資金利用率的同時埋下了安全隱患。一筆鏈上交易可以做很多事情,使得使用者可以在借款和還款間加入其它鏈上操作,這就存在了作惡的空間,很多使用者惡意利用閃電貸借入、交換、存入並再次借入大量的Token,人為地在DEX裡操縱Token價格。這出現了目前常見的閃電貸攻擊。

有人曾這樣評價閃電貸,“閃電貸之於DeFi,就是一個核彈,而且開關擺在廣場上,它的危險程度用PoS類比,相當於任何人可以透過付利息的方式來借用全網Staking進行51%攻擊。”試想任何一個普通使用者分無分文卻可以控制鉅額資金,空手套白狼,誰人不心動,這或許是隻有區塊鏈才能帶來的的新奇金融世界。

但是有一點需要表明的是,使用者利用閃電貸進行的一系列套利行為從交易的本身來講是被允許的。技術沒有對錯,閃電貸只是一種工具,如果錯了那麼就是因為使用工具的人。

02

DeFi:新奇又脆弱

閃電貸攻擊自bZx攻擊事件之後頻繁發生,但是閃電貸攻擊並不是DeFi生態中真正的系統性根源風險,究其根源在於Oracle(預言機)攻擊,閃電貸攻擊往往只是對Oracle的攻擊。Oracle是連線鏈上DeFi應用和鏈下資料的中介軟體,由於使用去中心化的Oracle網路,在多個交易所中存在交易量和流動性差異,那就加大了Oracle攻擊風險。

據samczsun.com網站研究人員釋出的報告,在2020年,針對價格Oracle操縱行為非常多,迄今為止已導致逾3000萬美元損失,而且沒有放緩的跡象。還指出,多年來基於可重入性的攻擊已經減少,而基於價格Oracle操縱的攻擊現在正在上升。

其實很多閃電貸攻擊並不涉及到任何區塊鏈及智慧合約的漏洞安全問題,這讓避免閃電貸攻擊變得難以捉摸,攻擊發生之時也沒有太多時間留給專案反應。很多閃電貸套利事件發生的前提條件只是因為在不同的DEX中存在價格差。

區塊鏈安全公司CertiK針對這種價差套利提出了兩點建議,第一,從控制價格差的角度思考,不同交易所之間建立價格同步機制或者採用同一種價格預言機,可以降低套利事件發生的概率;第二,從執行套利事件的智慧合約角度思考,對涉及交易數目巨大的交易採取額外的驗證步驟或者提高對該種交易的交易費用,會減少套利事件的發生。

閃電貸發明的本意是讓想開發者可以任意借貸而無需提供質押物,但也開啟了潘多拉魔盒。

未來閃電貸不會消失,但會以何種形態繼續發展不得而知,雖然有風險,但是在這之中確實看到了金融的創新,這是區塊鏈的想象力,是DeFi去中心化金融所帶來的新金融體驗。DeFi本就是一場大型的社會實驗,有成功自然也會失敗,這還不是終點,等待DeFi的完美試驗結果。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;