|
读懂价格预言机的一切,学会如何安全地使用它们。 撰文:Sam Sun,知名白帽,加密风投机构 Paradigm 研究合伙人 2019 年末,我发表了一篇题为《从抵押不足贷款取乐并牟利》 (Taking undercollateralized loans for fun and for profit) 的帖子。我在文中描述了依赖于一个或多个代币的准确价格数据,对以太坊去中心化应用 DApp 的一次经济攻击。当前是 2020 年末,不幸的是,许多项目已经出现了非常相似的错误,最近的例子是 Harvest Finance 遭黑客攻击事件,导致协议用户集体损失 3300 万美元。 虽然开发者熟悉重入 reentrancy 等漏洞,但他们显然没有经常考虑价格预言机遭操纵的问题。相反,多年来基于 reentrancy 的漏洞已经下降,而基于 价格预言机操纵 的漏洞现在呈上升趋势。因此,我决定是时候得有人对有关这类操纵给出明确资源以提高安全意识。 本文分为三个部分。对于不熟悉这个主题的读者,这是一篇关于预言机和预言机操纵介绍的科普文章。那些想要测试知识水平的读者可以直接跳到 案例研究 ,我们回顾一下过去一些与预言机相关的漏洞和攻击事件。最后我们总结一些开发者可以应用的技术,以保护他们的项目免受 价格预言机操纵 途径的攻击。 什么是预言机操纵事件?打个真实案例比方2015 年 12 月 1 日,星期三。你的名字叫 David Spargo ,当时正在澳大利亚悉尼观看澳洲「电音黑马」 Peking Duk 的音乐会。你可能想亲眼见到这支乐队,但两名安保人员挡住了你前往后台的去路,他们完全不可能让一个普通路人大摇大摆走进后台。 你可能想,如果你表现得像是后台人员,保安人员会有什么反应。 家庭成员 肯定会被允许参观乐队后台,所以你只需要的是说服保安你是乐队成员的一个亲戚。你考虑了一下,想出了一个计划,可能被称为天才计划,也许是极为拙劣。 准备妥当后,你自信地走向保安。你介绍自己叫 David Spargo,Peking Duk 的家人。当保安要求看证据时,你向他们展示无可辩驳的证据—— 维基百科 。
保安挥手让你通过,并让你等待。一分钟,两分钟。五分钟后,你想知道在警察露面之前是否该赶紧跑掉。当你正要离开时,乐队成员之一的 Reuben Styles 走过来做了自我介绍。你和他一起走到后台休息室,乐队对你的聪明才智印象深刻,最后和你一起 (责任编辑:admin) |
David Spargo 修改了 Peking Duk 的维基百科词条,在「家庭成员」加上了自己的名字,名场面