并非闪电贷攻击 “幕后元凶”是它

近日，DeFi市场经历了一场严峻的考验，多起攻击事件接连发生，造成了巨大的资产损失。在多数安全事件中，闪电贷攻击的“冠名”似乎成为了标配。但是，在其背后不容忽视的真相，其实是对预言机进行操控，造成内外价格差并从中套利。所谓闪电贷（Flashloan），其实是一种创新金融工具，可实现无抵押贷款，但要求在同一个区块内还款，否则交易回滚。闪电贷的魅力在于，可以使贷款者在无需付出任何努力或代价的情况下秒变“富豪”。当然，庞大的资金量也预示着强大的市场操控潜力。在此类安全事件中，攻击者通常属于“空手套白狼”，先使用闪电贷获取大量资金，拥有了攻击的启动“砝码”后，再通过一系列手段出入各类抵押、借贷、交易等协议，在实现操纵、扭曲资产价格数据后，实施套利，最后归还“本金”。数据显示，自2020年以来，黑客基于重入漏洞的攻击数量有所下降，而基于价格操控漏洞的攻击比例正在上升，并已造成累计超过数千万美元的损失。那么，这个预言机到底是什么？区块链对外沟通的“桥梁” 预言机（Oracle）并不是什么玄幻事物，它其实是区块链网络与互联网以及其它区块链网络等保持数据、信息沟通的“桥梁”。特别是，在DeFi智能合约这类去中心化应用（Dapp）中，通过预言机，开发者可以调用包括行情价格在内的各种外部数据资源，让Dapp连通外部现实世界的数据环境。

毫无疑问，能够提供不可篡改、可靠数据的预言机必将成为DeFi发展的重要基石。在DeFi应用中，不论自身配置还是依赖第三方供应，通过预言机可获取各个市场的价格、汇率等重要信息。而对于去中心化交易所（Dex）来说，获取准确可靠的价格数据意义更为重大。与中心化交易所不同，Dex行情数据的“孤岛化”倾向更为明显，如果不与外界行情保持实时联动，Dex中的自动化做市商（AMM）资产池很可能会因为交易量、流动性等的剧烈变化而产生价差损失。

随着DeFi市场热度的提升，行业更多的思考倾向于项目数量、规模以及模式等方面。而对预言机安全问题的关注反倒是处于一种不温不火的状态。近段时间，频繁发生的预言机安全事件可能为此敲响了警钟，预言机安全于DeFi生态有序发展至关重要。典型的预言机安全事件事件一关于首起预言机安全事件，时间要回到2019年6月25日。DeFi衍生品平台Synthetix预言机发生异常，致使平台sKRW/sETH汇率报错，超过3700万枚sETH被低价交易，涉及金额近10亿美元。事件原因喂价源信息失常，预言机发生故障并将错误价格发布到链上，交易机器人发现后迅速套利。最后，Synthetix与交易机器人所属者达成资金返还协议，巨额损失得以挽回。但值得警惕的是，上游价格源异常可能给智能合约带来毁灭性打击，而缺乏有效性验证的预言机在数据正确性、稳定性方面存在极大的安全隐患。事件二在此后的事件中，令人印象深刻的是“bZx连续攻击事件”。2020年2月，DeFi贷款协议bZx在一周内先后两次遭到攻击，造成了约100万美元的损失。事件原因黑客利用Uniswap算法价格缺陷，操纵相关资产价格数据并游走多个DeFi协议，实施套利。时隔七个月，bZx再次遭受攻击，此次事件又造成了约800万美元的损失。bZx联合创始人Kyle Kistner在事件发生后曾提到，这似乎是一次预言机操纵攻击。最终，此次事件的原因被归为代码漏洞。事件三近期，涉及预言机攻击的事件愈发频繁，安全形势严峻。10月26日，DeFi项目Harvest Finance遭到黑客攻击，造成了约2400万美元的损失。事件原因该协议fToken铸币时采用Curve y池为喂价源，攻击者通过巨额兑换，操纵价格数据，控制铸币数量，从而多次套利。官方透露，黑客通过curve y池进行攻击，使Curve中稳定币的价格异常超出387.9%，并在7分钟内多次套利。受此影响，Harvest代币FARM的价格在短时间内暴跌65%。事件四 11月14日，Value DeFi协议遭到黑客攻击，同样是历经了一系列协议间操作，最终导致超过700万美元的损失。事件原因攻击者利用价格预言机漏洞，操纵Curve资产池价格，窃取超量3CRV兑换DAI后套利。 (责任编辑：admin)

搜索

热门标签:

并非闪电贷攻击 “幕后元凶”是它