进入11月以来，连着有两起闪电贷攻击被报道，ValueDeFi协议和BSC上的CHEESE项目方都遭遇了类似攻击，损失了数百万美元。随着时间的增加，可以预见闪电贷攻击事件可能会越来越多。闪电贷攻击是如何发生的？背后的机制是什么？如何防范类似的攻击呢？

这篇文章中，知名白帽黑客、Paradigm研究合伙人Samczsun指出，价格预言机操纵漏洞是闪电贷等攻击事件的根本原因，并给出了五个相关漏洞案例和六个防御建议，建议DeFi开发者收藏。

2019年年底，我发表了一篇题为"如何从抵押不足的贷款产品中获得盈利和乐趣"的文章，文中，我描述了对以太坊dApp的经济攻击，这些攻击依赖于一个或多个代币精确的价格数据。而现在已经到2020年末了，让人叹息的是，许多项目还是在犯同样的错误，最近HarvestFinance遭黑客闪电贷攻击事件，就是典型的案例，这一事件，导致协议用户集体损失3300万美元。开发者对重入等漏洞一般比较熟悉，但预言机操纵则不太被人关注。

目前，基于重入性的漏洞出现频率有所下降，而价格预言机操纵的漏洞现在却在频频增加。是时候该发表一篇关于价格预言机操纵漏洞的文章了。本文分为三部分。第一部分小白科普，介绍预言机和预言机价格操纵的基本概念和原理；第二部分中级进阶，回顾过去跟预言机相关的漏洞案例；第三部分是对开发者的建议，看看可以应用哪些技术防止项目受到价格预言机操纵的影响。

预言机基本概念和原理

发生在现实生活类似预言机操纵的故事

回到2015年12月1日，星期三，假设你的名字叫DavidSpargo，你正在澳大利亚墨尔本，PekingDuk演唱会上，你想跟乐队来个近距离接触，但后台通道有两个保安，他们不可能让无关人员直接走进去。这时候你会想知道，如果你表现出你跟这里很熟，保安们会有什么反应。乐队成员的亲属肯定会被允许到乐队后台参观，所以你要做的就是让保安们相信你是亲属。你想了一下，想出了一个只能用天才或绝对疯狂来形容的计划。迅速布置好一切后，你自信地走到保安面前，自我介绍说，自己是DavidSpargo，PekingDuk乐队成员的家人。当保安要求你提供证据时，你向他们展示了无可辩驳的证据--维基百科。

保安向你招手，让你等等。一分钟过去了，两分钟过去了...五分钟后，你在想是否应该在执法部门出现前逃走。当你准备放弃，乐队成员之一的ReubenStyles走过来做了自我介绍，随后你和他一起走进后台休息室，乐队对你的聪明才智印象深刻，最后你们一起喝了几杯啤酒。再后来，他们在自己的Facebook页面上分享了那晚发生的事情。

什么是价格预言机？

价格预言机，通俗来说，就是任何你可以查询价格信息的东西。在美剧《TheOffice》中，Pam向Dwight询问SchruteBuck的现金价值时，Dwight的作用就是一个价格预言机。

郑重声明：本文版权归天网查所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。