買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > UNI > Info

DEF:閃電貸攻擊的本質,其實是 Oracle 攻擊?_EFI

Author:

Time:1900/1/1 0:00:00

作者?|?AdelynZhou

翻譯|?Olivia??

自今年年初以來,去中心化金融生態系統已經迅速發展到鎖定總價值超過120億美元。隨著這種指數級的增長,惡意行為者操縱和攻擊脆弱的DeFi協議的動機增加了,并且這通常以犧牲普通用戶為代價。

最近在許多DeFi攻擊中使用的工具之一是閃電貸--這是一種新型的金融原始工具,它允許用戶開立無抵押貸款,唯一的規定是貸款必須在同一個區塊中償還,否則就會被收回。這與傳統的DeFi貸款有很大的不同,傳統的DeFi貸款往往要求用戶在前期對貸款進行超額抵押。

閃電貸的新奇之處在于,它可以讓世界上任何一個人暫時成為資金非常充裕的交易者,具有突然操縱市場的潛力。在最近的一連串攻擊中,我們看到惡意行為者利用閃電貸瞬間借入、交換、存入并再次借入大量的Token,這樣他們就可以人為地在一個DEX里操縱Token的價格。這個操作序列本身是合規的,因此它也就允許攻擊者利用該DEX進行異常定價。

CertiK:UN token上有一個惡意的閃電貸款,請大家保持警惕:金色財經報道,CertiK檢測到UN token上有一個惡意的閃電貸款,由于燃燒機制缺陷,該漏洞有可能被利用,請大家保持警惕。Bsc: 0x1aFA48B74bA7aC0C3C5A2c8B7E24eB71D440846F 。[2023/6/6 21:20:04]

當閃電貸被用作操縱協議并竊取資金的惡意計劃的一部分時,"閃電貸攻擊"一詞就會成為本周的熱門加密術語。媒體機構和推特的大V都很關注閃電貸的運作,剖析惡意行為者在一次交易中從一個Token跳轉到另一個Token以及從一個協議跳轉到另一個協議的每一步。

Ally Credence System閃電貸攻擊者已將資金轉至Tornado Cash:金色財經消息,據CertiK監測,Ally Credence System(ACS)閃電貸攻擊者已將資金轉至Tornado Cash。EOA賬戶地址0x31d5fE已將35.6枚BNB(約1.1萬美元)轉入Tornado Cash。[2023/4/7 13:50:21]

但"閃電貸攻擊"這個詞并沒有抓住問題的全部。閃電貸不會在DeFi內部產生漏洞--它們只是揭示了已經存在的漏洞。"閃電貸攻擊"往往只是對Oracle的攻擊,其中Oracle是連接鏈上DeFi應用和鏈下數據的中間件,比如某項資產的公平市場價格。DeFi生態系統中真正的系統性風險是圍繞著中心化的Oracle,而不是閃電貸。

Cream Finance閃電貸攻擊者已將另外50萬枚DAI換成ETH:金色財經報道,據CertiK監測,Cream Finance閃電貸攻擊者0x70747df6AC244979A2ae9CA1e1A82899d02bbea4已將另外50萬枚DAI換成ETH。Cream Finance在去年6月遭黑客攻擊,損失約880萬美元。[2023/3/30 13:34:51]

對于看著攻擊發生的旁觀者來說,閃電貸有一些迷人的地方。任何人都可以突然控制巨額資金,并以新奇的甚至惡意的方式進行配置,這一想法展示了這項技術如何賦予個人權力并解鎖全新的金融工具。我們沒有分析閃電貸的最終功能和目標,而是驚嘆于其創造者的獨創性和攻擊的復雜性。因此,閃電貸越來越被定性為一種危險的DeFi創新。

Elastic Swap項目遭到閃電貸攻擊:金色財經報道,據CertiK監測,Elastic Swap項目遭到閃電貸攻擊,共計損失約37.4萬美元(約18.74萬USDC和4.06萬TIC)。

AVAX合約地址:0x75739a693459f33B1FBcC02099eea3eBCF150cBe[2022/12/13 21:41:13]

正如DeFi協議Aave的馬克·澤勒(MarcZeller)所言,閃電貸只是一種工具:它們允許你在交易期間像鯨魚一樣行動。任何通過閃電貸執行的攻擊也可以在沒有閃電貸的情況下由資金雄厚的持有者執行。閃電貸所能做的就是讓世界上的任何人暫時成為一個資本充足的持有者,因為獲得閃電貸是不需要任何許可的,也沒有預先抵押品的要求。

當然,公開獲得這種資金,大大增加了可以進行這種攻擊的人數。但即使在一個沒有閃電貸的世界里,采用更多區塊鏈的技術會為我們繼續提供更快的渠道以及獲得更多流動資金的機會。

關注問題所在

我們需要關注這些惡意行為者究竟在用他們新獲得的資金做什么。一個明顯的模式已經出現:惡意方利用閃電貸來操控依賴于單一去中心化交易所(DEX)作為協議唯一價格Oracle的DeFi協議。他們利用閃存貸來操縱和扭曲DEX上一種或多種資產的價格,導致使用該基于DEX的價格Oracle向DeFi應用程序提供不準確的價格數據。

然后,惡意攻擊者就會乘機而入,以直接損害普通用戶的利益為代價獲取產生利潤。在沉迷于利用過程中使用的特定工具時,我們的行業忽視了這些攻擊的真正教訓:依賴于從單個交易場所獲取數據的價格預言的DeFi協議可能被擁有大量資金的參與者破壞。

這些都是Oracle攻擊,其攻擊載體不僅已經被預測到而且以前也已經發生過。對閃電貸的關注分散了我們對一個更大問題的注意力,即擁有數億甚至有時高達10億美元TVL的DeFi協議仍然依賴于單一交易所的價格反饋Oracle。正如我們所看到的,單一交易所可能會受到各種各樣的成交量變化和鯨魚操縱。對于另一個依賴中心化價格反饋的協議,其后果是顯而易見的。

如今,TVL的眾多頂級DeFidApp都使用了去中心化的Oracle網絡,在多個不同的交易中異步核算多個交易所的交易量和流動性差異,這使得它們對閃電貸資金的操控不敏感。隨著越來越多的用戶被這個生態系統的金融便利性和機會所吸引以及DeFi協議從全球市場吸收著越來越多的價值,這些協議的維護者有責任采用去中心化的Oracle解決方案,以保護用戶免受目前已被熟知的、可預防的攻擊。

因此,當你下次聽到"閃電貸攻擊"這個詞時,請三思而行。閃電貸很可能是用來針對系統中的一個特定漏洞:一個沒有市場覆蓋的價格Oracle。Oracle應該是一個協議的權威真相來源--關于資產的價格,關于市場的狀態。正如我們所看到的,誰能操縱這個源頭,誰就能獲得巨大的利益。閃電貸攻擊背后的真相:他們的資金來源是閃電貸,但他們是價格Oracle攻擊。

Tags:DEFDEFIEFIORADEFT價格Defi Tigeryefi幣最近怎么了ZK Oracle

UNI
BTC:DeFi后半場:龍頭項目價值回歸 細分項目層出不窮_Phoenix Defi Finance

今天,比特幣站上16000美元,以太坊也維持在460美元的高位,但最吸引人們眼球的,還是近期DeFi板塊的強勢反彈.

1900/1/1 0:00:00
DEFI:手把手教你掌握 DeFi 隱私保護實用技巧_Ethfinex Nectar Token

撰文:LeoYoung 區塊鏈、加密資產和去中心化金融并不是天然地就保護用戶的隱私。恰恰相反,所有的交易信息都在鏈上,讓DeFi用戶的使用習慣甚至個人身份完全暴露在全世界的面前.

1900/1/1 0:00:00
ITA:大餅吸血上漲,避險情緒加劇_PIT

作者|哈希派分析團隊 多鏈資金托管平臺 Tholos 完成 150 萬美元 Pre-seed 輪融資:1月28日消息.

1900/1/1 0:00:00
DAO:MakerDAO的穩定幣DAI市值突破十億美元_makerdao代幣

根據CoinGecko的數據,穩定幣DAI今日突破了10億美元的市值。 MakerDAO創始人RuneChristensen的發言人表示:“這是一個巨大的里程碑,并有力地證明了全世界的人們都希望.

1900/1/1 0:00:00
加密貨幣:深入剖析建行發行的30億美元ERC20債券_santos幣最新消息

編者按:本文作者是?Onchain分布信息科技江金澤,原文標題:《建行馬來西亞發行數字債券的簡析》 建行在馬拉西亞發行數字證券并接受Crypto數字貨幣購買的操作.

1900/1/1 0:00:00
KEE:DeFi新玩法 | 3分鐘了解keeperDAO流動性和套利挖礦機制_bitkeep錢包官網最新版下載

據DeFi項目方KeeperDAO最新發布的公告顯示,從UTC時間11月3日7:00開始,KeeperDAO將開啟初始生態系統獎勵計劃,總計向流動性提供者和清算人分發20萬ROOK代幣.

1900/1/1 0:00:00
ads