MakerDAO:DeFi的黑色星期四_makerdao創始人

3月12日的市場崩盤給DeFi行業帶來了一次真正的考驗。即便是DeFi的旗艦產品MakerDAO也無法承受這場危機，在如今的“黑色星期四”期間，它輸給了肆無忌憚的網絡攻擊者800萬美元。然而，這并不是DeFi行業最近面臨的唯一問題。

預演

2月14日，一筆特別的交易同時影響了7個DeFi項目。攻擊者花費了大約8美元的網絡費用，并帶走了大約35萬美元。

在攻擊期間，比特幣對以太坊的價格在Uniswap交易所上漲了兩倍。此次攻擊的主要受害者是保證金交易協議bZx。

Uniswap是一個自動化的流動資金池，其價格通過簡單的公式進行計算，并隨著交易量的增加而顯著增長。

國際證券委員會組織：應對DeFi項目負責人進行監管:9月7日消息，國際證券委員會組織（IOSCO）在周四發布的一份報告中表示，各國政府應該弄清楚誰負責所謂的DApp，并像正常的金融市場參與者一樣對其進行監管。

全球標準制定者的成員包括美國證券交易委員會和英國金融行為監管局等機構，他們擔心創新的金融應用程序可能很容易被操縱，并且似乎對沒有人控制并承擔法律義務的前提表示懷疑。原則上，DeFi允許使用算法、代幣和去中心化自治組織（DAO）進行借貸或交易，顛覆了常規金融監管的許多前提，而常規金融監管依賴于找到一個中心人物或公司負責維護市場公平并保護投資者。

IOSCO建議，國家監管機構應確定誰真正負責，并賦予他們與傳統金融（TradFi）相同的維護投資者保護和市場誠信的義務。[2023/9/7 13:24:48]

PeckShield：截至2022年5月1日，黑客已從DeFi應用中盜取15.7億美元:金色財經消息，PeckShield預警顯示，截至2022年5月1日，黑客已從DeFi應用中盜取了15.7億美元，已超過2021年全年黑客盜取的15.5億美元。[2022/5/1 2:44:08]

3月份Uniswap的總交易量。來源:zumzoom

保證金交易者借貸購買了他們期望價格上漲的資產。如果價格上漲，則交易者出售資產，償還貸款和利息，并保留其余的。如果價格下跌，交易者將面臨損失。在所有這些過程中，資產由智能合約控制。

一份智能合約以5倍杠桿開倉時購買了價值超過150萬美元的BTC。bZx開發人員并未檢查覆蓋范圍，他們認為一個正常的人不會冒1300ETH的風險。

但攻擊者的意圖是操縱Uniswap上的比特幣價格。他們以高出市場63%的價格售出了112個比特幣，并獲得了70萬美元的盈利。

波卡DeFi平臺Acala宣布Karura Crowdloan已上線:波卡DeFi平臺Acala先行網在推特宣布Karura Crowdloan已經上線。[2021/6/9 23:23:14]

攻擊詳情

攻擊者使用了一種名為“閃貸”的新工具。閃貸是一種即時貸款可以在發出的同一筆交易中償還。如果錢沒有退還，智能合約會自動撤銷所有更改。

該機制允許安全的無抵押貸款。通常，閃貸被用于套利或清算:你低價買進，高價賣出。在“黑色星期四”期間，閃貸在節約抵押品方面發揮了作用，但攻擊者的行為有所不同。他們在dYdX交易所上獲得了10,000ETH貸款(當時為280萬美元)，并將其一分為二。第一部分送至bZx進行操縱，第二部分用于套利。

DeFi平臺Effect Network將從EOS區塊鏈轉向幣安智能鏈:DeFi平臺Effect Network將從EOS區塊鏈轉向幣安智能鏈。Effect Network開發人員周四表示，轉向BSC的主要原因是對EOS區塊鏈及其領導層的未來的擔憂。此前1月份消息，EOS創始人BM辭去Block.one首席技術官一職。（CoinDesk）[2021/3/26 19:19:25]

以ETH為單位的閃電貸款量。來源：AAVE閃貸使攻擊者以更低的成本實施該計劃，因為無需尋求需要洗錢的大筆款項。而且，貸款本身實際上是免費的。

2月17日，在恢復運營后，bZx又面臨了一次攻擊。這一次，攻擊者利用閃電貸款操縱了sUSD穩定幣的價格。結果，該協議發放了一筆無抵押貸，估計損失為65萬美元。

DeFiBox安全提示：警惕Huobi Eco Node項目安全風險:據官方消息，DeFi門戶網站DeFiBox.com項目監測發現，一個名為Huobi Eco Node的項目正以“火幣生態節點挖礦”名義在電報群大肆傳播。項目采用的邀請推薦機制疑似違反有關規定，宣傳內容存在夸大失實且有冒用Heco生態鏈LOGO情形，經了解，目前該項目未開源且未經任何安全機構審計通過。

據DeFiBox多方溝通，該項目與火幣及Heco生態鏈無任何關系。DeFiBox.com提醒廣大用戶警惕安全風險，遠離此類未經開源審計的高危項目。[2021/3/25 19:17:38]

Oracle性能

DeFi項目通常從去中心化交易所獲取計算抵押品所需的價格。由于這些平臺的流動性較低，價格容易被操縱。

bZx的開發人員最初從流動性聚合商Kyber那里獲得信息，但在攻擊發生后，他們轉而使用了Chainlinkoracle網絡。Chainlink參與者從不同的交易所獲得價格，并將其記錄在以太坊網絡中。為了保護系統不受虛假信息的影響，計算了平均價格。

當市場陷入恐慌時，Chainlink占用了以太坊總帶寬的22%，因此oracle網絡必須將達成共識所需的投票數量從21減少到7。

MakerDAO使用自己的oracle網絡從交易所收集數據，并通過智能合約計算平均值。這是一個昂貴的系統，開發人員希望對其進行升級。但由于許多DeFi協議使用MakerDAO的預言機，因此可能會影響整個行業。

DeFi啟示錄

這些攻擊說明了DeFi項目在高波動時期的脆弱性。它們算法背后的復雜公式根本行不通。

此類項目的安全審計的一個重要部分是壓力測試，該測試可顯示智能合約在極端情況下的行為。另一個是基于看似隨機動作的猴子測試。像這樣的測試有助于確定新的攻擊媒介，這些攻擊媒介可能會由于引入新的功能而打開。

DeFi意味著集體治理。分權級別越高，決策所需的時間就越多。

為了保證資產安全，某些系統可以被關閉，但當市場不穩定時，這種中斷可能會導致損失。許多團隊已經調整了他們的限制，使操作更加困難。

1）MakerDAO在攻擊后需要24小時來調整設置。

2）bZx漏洞導致16個小時內有超過200萬美元的風險。

3）Compound對其系統進行了升級，以向開發人員提供額外的緊急權限，并在MakerDAO緊急關閉的情況下創建了算法。

4）dYdX提高了它們的交易門檻。

如果沒有避免損失的辦法，應該始終有一個應急計劃。

攻擊發生三周后，bZx開發者發布了一篇文章，描述了實際的攻擊以及為使情況恢復正常所采取的措施。他們對未來265年提出了一系列相當大膽的預測。然而，由于該報告是在股市崩盤前三天發布的，因此可能需要進行一些調整。

結論

MakerDAO清盤人在襲擊期間沒有做好他們的工作。通用代碼中的錯誤不允許用戶參加拍賣。負面的經驗可能會刺激替代客戶端的開發，因為對于大多數DeFi協議而言，只有官方庫。

對負責系統運行的參與者的懲罰也可能成為一種額外的安全措施。

諸如閃貸之類的工具出現可能會導致某些限制和KYC程序。向DeFi協議的參與者發放許可證可能成為一種商業模式。

現有主要協議的開發人員將試圖填補他們的儲備，為將來的攻擊做準備。

決策將需要越來越多的數據，oracle將變得更加復雜，并承擔風險管理職能。

所有這些方面都將在處理能力方面帶來新的挑戰，DeFi可能會遷移到第二個解決方案。

Tags：MakerDAOMakerDAOMaker幣是什么幣DAO幣DAO價格makerdao官網appmakerdao創始人makerdao白皮書

ETH