比特幣:并非閃電貸攻擊 “幕后元兇”是它_DEF

近日，DeFi市場經歷了一場嚴峻的考驗，多起攻擊事件接連發生，造成了巨大的資產損失。在多數安全事件中，閃電貸攻擊的“冠名”似乎成為了標配。但是，在其背后不容忽視的真相，其實是對預言機進行操控，造成內外價格差并從中套利。

所謂閃電貸，其實是一種創新金融工具，可實現無抵押貸款，但要求在同一個區塊內還款，否則交易回滾。閃電貸的魅力在于，可以使貸款者在無需付出任何努力或代價的情況下秒變“富豪”。當然，龐大的資金量也預示著強大的市場操控潛力。

在此類安全事件中，攻擊者通常屬于“空手套白狼”，先使用閃電貸獲取大量資金，擁有了攻擊的啟動“砝碼”后，再通過一系列手段出入各類抵押、借貸、交易等協議，在實現操縱、扭曲資產價格數據后，實施套利，最后歸還“本金”。

數據顯示，自2020年以來，黑客基于重入漏洞的攻擊數量有所下降，而基于價格操控漏洞的攻擊比例正在上升，并已造成累計超過數千萬美元的損失。

外媒：比特幣在上周回溫并非由俄羅斯購買加密貨幣引起:3月4日消息，行業專家將比特幣在上周比特幣上漲超15%的原因歸因于俄羅斯人在面對經濟制裁時購買加密貨幣這一理論是錯誤的。據Chainalysis數據顯示，3月3日以盧布計價的加密貨幣交易量僅為3410萬美元，約為2月24日峰值7070萬美元的一半。 （Cointelegraph）[2022/3/4 13:37:03]

那么，這個預言機到底是什么？

區塊鏈對外溝通的“橋梁”

預言機并不是什么玄幻事物，它其實是區塊鏈網絡與互聯網以及其它區塊鏈網絡等保持數據、信息溝通的“橋梁”。特別是，在DeFi智能合約這類去中心化應用中，通過預言機，開發者可以調用包括行情價格在內的各種外部數據資源，讓Dapp連通外部現實世界的數據環境。

毫無疑問，能夠提供不可篡改、可靠數據的預言機必將成為DeFi發展的重要基石。在DeFi應用中，不論自身配置還是依賴第三方供應，通過預言機可獲取各個市場的價格、匯率等重要信息。而對于去中心化交易所來說，獲取準確可靠的價格數據意義更為重大。

Tether分析師：穩定幣起源并非解決比特幣波動性問題:國際清算銀行、美國聯邦儲備委員會、以及金融穩定委員會三家監管機構此前將穩步描述為一種試圖解決比特幣（BTC）等其他加密資產高波動性加密貨幣，但這種表述可能并不足夠準確。Tether合規分析師馬特魯·亞歷山大（Matthew Alexander）認為，穩定幣主要作用其實是通過向高度移動加密資產注入法定貨幣的基本經濟屬性，來解決傳統法定貨幣和銀行業的低效率問題。穩定幣的起源其實和比特幣波動性無關，全球加密穩定幣的競爭對手并不是比特幣，而是推動、促進更多人訪問這種新穎的、數字化的稀缺性資產。如果傳統貨幣和銀行業務發展不那么緩慢、成本不那么高且具有排他性，那么穩定幣將不復存在。（Cointelegraph）[2020/6/28]

與中心化交易所不同，Dex行情數據的“孤島化”傾向更為明顯，如果不與外界行情保持實時聯動，Dex中的自動化做市商資產池很可能會因為交易量、流動性等的劇烈變化而產生價差損失。

分析 | 加密貨幣挖礦并非人們想象的那樣集中:據news.bitcoin消息，劍橋大學(University of Cambridge)附屬機構賈吉商學院(Judge Business School)發布了第二份關于加密貨幣經濟學的年度報告。報告主要內容包括：數以百萬計的新用戶已經進入了這個生態系統，但大多數仍然是被動的；大多數采礦設施使用一些可再生能源作為其能源組合的一部分；挖礦并不像人們通常認為的那樣集中；移動錢包仍然是最受支持的形式，但對網絡錢包的支持顯著增加；在客戶資金丟失或被盜的情況下,2/3的專業托管交易所沒有退款程序；受調查的企業中，加密貨幣企業冷錢包持有資金超過了80%；超過80%的公司不公開共享安全審計信息，這表明它們普遍不愿泄露安全關鍵信息。[2018/12/13]

隨著DeFi市場熱度的提升，行業更多的思考傾向于項目數量、規模以及模式等方面。而對預言機安全問題的關注反倒是處于一種不溫不火的狀態。近段時間，頻繁發生的預言機安全事件可能為此敲響了警鐘，預言機安全于DeFi生態有序發展至關重要。

聲音 | 衍生品交易員Tone Vays：比特幣期貨并非比特幣價格見頂的原因:據Ambcrypto消息，衍生品交易員、分析師Tone Vays日前接受采訪時表示，比特幣期貨的交易量并不高，因為它仍然是一個非常小眾的市場。比特幣期貨沒有真正意義上的比特幣結算，這在黃金或石油等其他期貨中都可以看到。他認為：“期貨只是人們用來打賭和投機的一種方式，我很好奇五年后那些公司會做什么，比特幣的價格發現在哪里，是未來空間還是這些基礎交易所？”[2018/8/30]

典型的預言機安全事件

事件一

關于首起預言機安全事件，時間要回到2019年6月25日。DeFi衍生品平臺Synthetix預言機發生異常，致使平臺sKRW/sETH匯率報錯，超過3700萬枚sETH被低價交易，涉及金額近10億美元。

事件原因

喂價源信息失常，預言機發生故障并將錯誤價格發布到鏈上，交易機器人發現后迅速套利。

MyEtherWallet事件官方更新：并非因為平臺缺乏安全性 亞馬遜的DNS服務器也被惡意攻擊:據MyEtherWallet官方消息，此次事件并非因為MEW平臺缺乏安全性，而是由于黑客發現了面向公眾的DNS服務器中的漏洞。用戶的安全和隱私永遠是重中之重，MyEtherWallet不存儲用戶的任何個人信息，包括密鑰。受影響的大多為使用Google DNS服務器的用戶。同時，亞馬遜的DNS服務器也被惡意攻擊劫持，唯一已知的將流量重定向的網站是MyEtherWallet.com。受影響的用戶可能是在訪問假冒MEW的惡意網站時彈出的SSL警告上點擊了“忽略”按鈕。用戶應當確認訪問該網站是有一個綠色條形SSL證書，上面寫著“MyEtherWallet Inc [US]。MEW對用戶提供的建議包括：運行MEW平臺的本地（離線）副本；使用硬件錢包存儲加密貨幣；忽略任何聲稱代表MEW的推文，Reddit帖子或任何聲稱發放或報銷ETH的消息。MEW團隊表示將繼續打擊此次釣魚攻擊，MEW需要其社區來支持和教育彼此。[2018/4/25]

最后，Synthetix與交易機器人所屬者達成資金返還協議，巨額損失得以挽回。但值得警惕的是，上游價格源異常可能給智能合約帶來毀滅性打擊，而缺乏有效性驗證的預言機在數據正確性、穩定性方面存在極大的安全隱患。

事件二

在此后的事件中，令人印象深刻的是“bZx連續攻擊事件”。2020年2月，DeFi貸款協議bZx在一周內先后兩次遭到攻擊，造成了約100萬美元的損失。

事件原因

黑客利用Uniswap算法價格缺陷，操縱相關資產價格數據并游走多個DeFi協議，實施套利。

時隔七個月，bZx再次遭受攻擊，此次事件又造成了約800萬美元的損失。bZx聯合創始人KyleKistner在事件發生后曾提到，這似乎是一次預言機操縱攻擊。最終，此次事件的原因被歸為代碼漏洞。

事件三

近期，涉及預言機攻擊的事件愈發頻繁，安全形勢嚴峻。10月26日，DeFi項目HarvestFinance遭到黑客攻擊，造成了約2400萬美元的損失。

事件原因

該協議fToken鑄幣時采用Curvey池為喂價源，攻擊者通過巨額兌換，操縱價格數據，控制鑄幣數量，從而多次套利。

官方透露，黑客通過curvey池進行攻擊，使Curve中穩定幣的價格異常超出387.9%，并在7分鐘內多次套利。受此影響，Harvest代幣FARM的價格在短時間內暴跌65%。

事件四

11月14日，ValueDeFi協議遭到黑客攻擊，同樣是歷經了一系列協議間操作，最終導致超過700萬美元的損失。

事件原因

攻擊者利用價格預言機漏洞，操縱Curve資產池價格，竊取超量3CRV兌換DAI后套利。

令人唏噓的是，黑客最后歸還了200萬枚DAI并留下了一條嘲諷信息：“你真懂閃電貸嗎？”以此回應該團隊此前的推文，聲稱可防閃電貸攻擊。

近段時間，僅由預言機攻擊造成的資產損失已累計超過3000萬美元。此類事件中，黑客正是通過操縱預言機，造成可實施套利的兌換率，最后利用價格差竊取了協議資產。

因此，DeFi生態中最具系統性風險的因素是易受價格操控的預言機，而非閃電貸這種金融工具。

解決方案的探索

預言機有著廣泛的應用場景，需與鏈下數據進行交互的Dapp皆可借助預言機來實現功能和價值。其中，典型應用場景包括，Dex、衍生品、穩定幣、借貸平臺、游戲、保險、預測市場等。面對這個“數據要塞”，通過迭代升級、安全測試等，預言機有望提供更為優質的服務。

由于區塊鏈本身不具備驗證數據是否公平、合理的功能，因此，那些錯誤的外部數據在去中心化機制下，將被預言機無差別地執行返回，而這種“將錯就錯”極容易造成各類損失。

預言機的迭代升級，應實現鏈上與鏈下可信數據的對接，確保數據環境正常、穩定、有序。在報價方面，預言機應盡量從多節點聚合數據，對價格偏差預留處理機制，并按照時間同步更新，確保提供給智能合約的數據可靠、可信、抗干擾。

在Dex中，預言機應在提供報價更新的同時維護、調整AMM的權重，確保內部匯率與外部市場價格保持匹配，并通過驗證機制，異常報警機制等有效攔截攻擊者對價格、匯率的操縱，防止套利空間的產生。

另一方面，DeFi開發者應加強預言機的針對性測試，特別是在項目上線前，盡可能模擬價格操控攻擊的各類場景，及時發現問題并找出解決方案，切實提高項目抗預言機攻擊的能力。

項目上線后，開發者應根據情況選擇接入第三方預言機服務、安全測試服務等；舉辦相關漏洞賞金活動，做到及時查缺補漏，優化整體結構，在最大程度上降低同類型事件再度發生的可能性。

結語

事物的兩面性總能在各方面得到體現。對于閃電貸而言，本是一種創新金融工具，可高效提供大額資金，促進價值循環。然而，它卻被攻擊者利用，淪為了竊取資產的重磅武器。

不論是DeFi發展還是區塊鏈新領域的拓展，鏈上、鏈下的數據交換勢在必行，預言機的作用不可小覷。其實，攻擊者的操控手段也并非高深，只是在現階段預言機還不夠智能，很難及時應對和抵御。

同樣，事物發展的道路也總是曲折。在遭受諸多慘痛代價后，預言機這個“短板”暴露無遺。為區塊鏈生態安全計，在完全抗操控攻擊的預言機誕生之前，加強多方技術的驗證和檢測，防范攻擊于未然成為了當務之急。

END

Tags：DEFIEFIDEF比特幣World of DefishDefi TigerDEF價格比特幣價格今日行情多少錢一個

萊特幣