買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > UNI > Info

DEF:刀尖上的創新:閃電貸做錯了什么嗎?_EFI

Author:

Time:1900/1/1 0:00:00

編者按:本文來自WebX實驗室Daily,Odaily星球日報經授權轉載。從已知的信息來看,過去一周,已經發生了4起閃電貸攻擊,包括ValueDeFi、CheeseBank、Akropolis以及今天的OUSD。我們特意查看了一下記錄,發現自今年年初以來基本每個月都要發生幾起閃電貸攻擊。說明閃電貸攻擊已經不是一種偶然事件了。

此前的一次閃電貸攻擊最近的一次是OUSD,攻擊方案的核心就是閃電貸+重入攻擊。大概的流程是:1.攻擊者先用閃電貸借了一大筆ETH這樣的主流資產,然后注入到各類DeFi協議中,進行類似鑄幣、流動性挖礦這樣的操作。2.然后由于攻擊者手上有一大筆資金,它們可以操控價格并利用某些設計上的漏洞操控系統的判斷。3.最后的結果就是由于這樣的操作會導致系統會付給攻擊者遠高于初始資產的收益,最后攻擊者會重復這些操作,最后在合約中取回或者在DEX賣掉獲得的超額資產。4.然后攻擊者再拿著一部分錢去還之前在閃電貸中借到的錢,就結束了整個攻擊過程。本質上這些攻擊的核心邏輯就是借助巨額資金來進行非正常的套利操作。閃電貸不是漏洞,但是擴大了漏洞的風險

OpenSea疑似存在版稅漏洞,NFT項目無法設置或更改版稅:5月16日消息,NFT交易所EZswap聯合創始人兼首席執行官alexpf.eth發推文稱:“OpenSea疑似存在版稅漏洞,最近OpenSea似乎更改所有者的識別標準,這意味著NFT項目不能設置或更改版稅。這個錯誤非常嚴重,它已存在了2天。”[2023/5/16 15:05:43]

在這其中我們發現,雖然近期的幾次事件都把“閃電貸”這個概念作為關鍵詞,但是閃電貸本身和攻擊事件本身并沒有直接的關聯。

韓國游戲巨頭Wemade將推出綜合性區塊鏈項目WeKonomy:12月18日消息,韓國游戲巨頭Wemade將推出綜合性區塊鏈項目WeKonomy。該項目將包含通過抵押品發行穩定幣的項目Kurrency(計劃2023年Q1推出)、DEX Konverter(計劃2023年Q2推出)、去中心化衍生品交易平臺Wezard以及NFT市場Weshlist。

Wemade表示,WeKonomy最初將基于Klaytn,并將擴展至以太坊Layer2網絡、WEMIX3.0等鏈。(PRNewswire)[2022/12/18 21:52:03]

在攻擊發生的前一天,ValueDeFi項目方還在宣稱自己是最安全的協議但不可否認的是,閃電貸成為了其中極其重要的攻擊工具。用一句話來形容它的作用:“它允許你在交易期間像巨鯨一樣的行動”,最可怕的是,如果說那些資金雄厚的人更容易成為攻擊的來源,閃電貸可以讓一個一無所有,甚至沒有基本信用的人在短時間內變成一個手握重金的巨鯨,最重要的是這些人不需要任何許可、不需要良好的信用憑證也不需要付出等額或者超額的抵押品作為代價,完全是空手套白狼。閃電貸本身不是一種漏洞,但它無形之中擴大了那些漏洞被攻擊的風險,因為第一攻擊者不需要任何代價,第二攻擊的來源大大增加,它可能會被任何一個洞悉漏洞的人作為攻擊的工具。危險的創新,閃電貸錯在哪里?

FTX CTO截止至11日仍在持續提交代碼:11月12日消息, Github信息顯示,Gary Wang近日以來仍在持續更新代碼,且近兩日頻次較高。11月11日,Gary Wang提交了5次代碼。11月10日,Gary Wang提交了19次代碼。

FTX官網顯示,Gary Wang為FTX的創始人兼CTO,在官網披露的團隊成員里,僅SBF及Gary Wang兩人擁有“founder”頭銜。[2022/11/12 12:55:53]

事實上閃電貸在遭受非議之前被認為是DeFi最偉大的創新之一。閃電貸概念最早由Marble協議于2018年提出,當時開發者的想法是通過智能化合約完成的零風險貸款。智能合約平臺一次性處理交易,如果借款人不能償還貸款,整個交易就會回滾,就像貸款根本沒發生一樣。重點是區塊鏈交易回滾這個特性,用戶和合約發起一筆交易,合約借給用戶一筆錢,然后同樣的用戶在這個交易里還回借出的金額和相應的利息就可以了。如果沒還那么這個交易就會被判定不生效,然后被回滾,也就不存在借款轉移的事情了。這在傳統觀念來說是完全不可思議的事情,因為借貸既不需要信用也不需要抵押品。其實一開始閃電貸的用途是給那些套利者提供便捷的套利資金工具,例如分散交易所之間的額套利、清算多個借貸平臺的貸款或者進行再融資等這些操作,最簡單的就是,閃電貸可以幫助交易者從Marble銀行貸款,在一家去中心化交易所DEX中買幣,然后在另一家DEX以較高價格賣出代幣,然后獲得差價收益。這樣的目的是正常的,傳統金融中也會出現這樣的場景。唯一的區別就是閃電貸的零門檻零代價。很不幸的是,我們能夠封堵漏洞,但永遠防不住人心。黑客或者潛在的攻擊者會發現閃電貸完全可以為攻擊提供充足的啟動資金,這其中產生的另外一個后果就是,由于黑客的錢是借來的,所以錢和黑客本身并沒有直接的關聯,他們的身份也更加地難以追蹤。因此一句話總結:閃電貸減小了攻擊者的風險,攻擊會更加隨意。閃電貸+另一種潛在攻擊用途

Meow完成2200萬美元A輪融資,老虎全球基金領投:金色財經報道,總部位于紐約的加密財務公司Meow宣布完成了一筆2200萬美元A輪融資,老虎全球基金領投,QED Investors、FTX等參投。Meow主要為機構和企業投資者提供參與新興加密貨幣投資機會的合規優先解決方案,最終希望成為“企業融資一站式商店”,此前在種子輪融資中還獲得了Coinbase Ventures、Gemini Frontier Fund 和 Lux Capital的支持, 他們計劃利用最新融資加大招聘、增強新產品功能,構建GAAP 會計解決方案和 B2B 穩定幣跨境支付服務。(finextra)[2022/7/19 2:21:52]

作為工具,閃電貸的用途是我們永遠不能想象和預測的。我們完全不能低估“科學家”的智慧,除了經濟上的攻擊,閃電貸又被發現可以應用到別的領域的攻擊上,例如操縱去中心化社區的治理。近期,Maker基金會智能合約開發團隊檢測到一起發生在MakerDAO治理提案中的投票違規行為,大體意思是,社區的一次提案需要持有治理代幣的用戶投票,然后有一個人就利用閃電貸借出總資產,然后用來作為抵押品在借貸平臺拿到大量的治理代幣,去參與投票,投完票然后再還回去。聽到這里可能很多人會驚出一身冷汗,因為如果這次通過的是一項有利于攻擊者的戰略性提案,那造成的后果遠比一次套利攻擊要嚴重的多,而且這樣的攻擊顯然更加隱秘。閃電貸本身在這次風波中并沒有任何過錯,它反而是一種讓人眼前一亮的創新,我們通過閃電貸這樣的產物看到了DeFi的想象空間是有多大。但基于當前DeFi正處在一個實驗性階段,因此大量的漏洞和攻擊者會將閃電貸用到各種非法用途上,所以很多人認為閃電貸是一種極為危險的創新,換個角度來說也正式因為閃電貸的存在,使得各項目方更加重視安全,這也是一種價值。

Tags:DEFEFIDEFIARYDOGDEFI幣Defi FactoryMetaegg DeFiExtra Ordinary Coin

UNI
DEF:DeFi產品分級:一個數萬億美元的機會_DEFI

編者按:本文來自巴比特資訊,作者:NickChong,翻譯:Wendy,星球日報經授權發布。DeFi領域出現了一個新的投資類別:基于風險水平的收益率優化.

1900/1/1 0:00:00
USD:OUSD遭“經典重入攻擊”,損失770萬美元,DeFi安全亟待解決_SDT

近日,PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊,攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊存入Origin智能合約來鑄造OUSD穩定幣.

1900/1/1 0:00:00
DOT:吳說:火幣欲收購日本韓國最大交易所,或因調查延緩_dot幣值得長期持有嗎

吳說區塊鏈獨家獲悉,火幣此前正在就收購日本最大交易所Bitflyer進行溝通,收購價格約為5億美金。17日韓國媒體TheBell曝出火幣試圖收購韓國最大交易所Bithumb.

1900/1/1 0:00:00
COM:比特幣的通縮將如何拯救世界?_GDP

編者按:本文來自幣乎,作者:潔sir。關于當今世界經濟中通貨膨脹的必要性,已經進行了很多討論。但是,問題的真相是,通貨膨脹有助于在擁有金融資產的人與沒有金融資產的人之間造成失衡.

1900/1/1 0:00:00
OIN:Coinbase托管規模已超200億美元,比特幣“機構潮”這回真來了!_dnt幣coinbase

本文來自 Bitcoin.com ,原文作者:KevinHelmsOdaily星球日報譯者|Moni據美國合規加密貨幣交易所Coinbase透露,隨著“大量資本涌入”.

1900/1/1 0:00:00
GBTC:當你談“灰度”時,你在談些什么_13年如果買了5萬比特幣值多少錢

“灰度基金”,最近火了。只要工作日,就雷打不動買比特幣。截止目前,灰度基金已經持有超過50萬枚BTC,價值約合92億美元,相當于比特幣總市值2.72%.

1900/1/1 0:00:00
ads