链资讯 链资讯
Ctrl+D收藏链资讯
首页 > FIL > 正文

DEF:刀尖上的创新:闪电贷做错了什么吗?_Plenty DeFi

作者:

时间:

编者按:本文来自WebX实验室Daily,Odaily星球日报经授权转载。从已知的信息来看,过去一周,已经发生了4起闪电贷攻击,包括ValueDeFi、CheeseBank、Akropolis以及今天的OUSD。我们特意查看了一下记录,发现自今年年初以来基本每个月都要发生几起闪电贷攻击。说明闪电贷攻击已经不是一种偶然事件了。

此前的一次闪电贷攻击最近的一次是OUSD,攻击方案的核心就是闪电贷+重入攻击。大概的流程是:1.攻击者先用闪电贷借了一大笔ETH这样的主流资产,然后注入到各类DeFi协议中,进行类似铸币、流动性挖矿这样的操作。2.然后由于攻击者手上有一大笔资金,它们可以操控价格并利用某些设计上的漏洞操控系统的判断。3.最后的结果就是由于这样的操作会导致系统会付给攻击者远高于初始资产的收益,最后攻击者会重复这些操作,最后在合约中取回或者在DEX卖掉获得的超额资产。4.然后攻击者再拿着一部分钱去还之前在闪电贷中借到的钱,就结束了整个攻击过程。本质上这些攻击的核心逻辑就是借助巨额资金来进行非正常的套利操作。闪电贷不是漏洞,但是扩大了漏洞的风险

马斯克:X平台上“永久禁令”将会很少见:金色财经报道,马斯克在X平台(原推特)表示,一般来说,永久禁令将很少出现。这是这个平台成为公共广场的必要条件。[2023/9/5 13:17:26]

在这其中我们发现,虽然近期的几次事件都把“闪电贷”这个概念作为关键词,但是闪电贷本身和攻击事件本身并没有直接的关联。

在攻击发生的前一天,ValueDeFi项目方还在宣称自己是最安全的协议但不可否认的是,闪电贷成为了其中极其重要的攻击工具。用一句话来形容它的作用:“它允许你在交易期间像巨鲸一样的行动”,最可怕的是,如果说那些资金雄厚的人更容易成为攻击的来源,闪电贷可以让一个一无所有,甚至没有基本信用的人在短时间内变成一个手握重金的巨鲸,最重要的是这些人不需要任何许可、不需要良好的信用凭证也不需要付出等额或者超额的抵押品作为代价,完全是空手套白狼。闪电贷本身不是一种漏洞,但它无形之中扩大了那些漏洞被攻击的风险,因为第一攻击者不需要任何代价,第二攻击的来源大大增加,它可能会被任何一个洞悉漏洞的人作为攻击的工具。危险的创新,闪电贷错在哪里?

Moonfire Ventures旗下Fund II完成1.15亿美元募资,将投资AI、Web3等领域:5月24日消息,总部位于伦敦的风险投资公司 Moonfire Ventures 宣布旗下 Fund II 已完成 1.15 亿美元募资,该基金将投资人工智能、Web3 和 AR/VR 等行业。Moonfire Ventures 此前已投资多家 Web3 初创公司,包括 NFT 足球游戏开发公司 Goals、Web3 营销平台 Sesame Labs、区块链足球游戏 GOALS 等。[2023/5/24 15:22:52]

事实上闪电贷在遭受非议之前被认为是DeFi最伟大的创新之一。闪电贷概念最早由Marble协议于2018年提出,当时开发者的想法是通过智能化合约完成的零风险贷款。智能合约平台一次性处理交易,如果借款人不能偿还贷款,整个交易就会回滚,就像贷款根本没发生一样。重点是区块链交易回滚这个特性,用户和合约发起一笔交易,合约借给用户一笔钱,然后同样的用户在这个交易里还回借出的金额和相应的利息就可以了。如果没还那么这个交易就会被判定不生效,然后被回滚,也就不存在借款转移的事情了。这在传统观念来说是完全不可思议的事情,因为借贷既不需要信用也不需要抵押品。其实一开始闪电贷的用途是给那些套利者提供便捷的套利资金工具,例如分散交易所之间的额套利、清算多个借贷平台的贷款或者进行再融资等这些操作,最简单的就是,闪电贷可以帮助交易者从Marble银行贷款,在一家去中心化交易所DEX中买币,然后在另一家DEX以较高价格卖出代币,然后获得差价收益。这样的目的是正常的,传统金融中也会出现这样的场景。唯一的区别就是闪电贷的零门槛零代价。很不幸的是,我们能够封堵漏洞,但永远防不住人心。黑客或者潜在的攻击者会发现闪电贷完全可以为攻击提供充足的启动资金,这其中产生的另外一个后果就是,由于黑客的钱是借来的,所以钱和黑客本身并没有直接的关联,他们的身份也更加地难以追踪。因此一句话总结:闪电贷减小了攻击者的风险,攻击会更加随意。闪电贷+另一种潜在攻击用途

拜登:不会同意保护偷税漏税者和加密交易商而将食品援助置于困境之中的协议:金色财经报道,美国总统拜登最近在G7峰会上关于预算谈判的演讲中谈到了加密货币。拜登表示,不会同意一项保护富裕的偷税漏税者和加密货币交易商而将食品援助置于困境之中的协议。

此外,拜登还表示,不会同意为石油行业提供300亿美元的减税,他们去年赚取的2000亿美元,他们不需要300亿美元的激励措施,同时将2100万美国人的生命置于危险之中。[2023/5/21 15:17:02]

作为工具,闪电贷的用途是我们永远不能想象和预测的。我们完全不能低估“科学家”的智慧,除了经济上的攻击,闪电贷又被发现可以应用到别的领域的攻击上,例如操纵去中心化社区的治理。近期,Maker基金会智能合约开发团队检测到一起发生在MakerDAO治理提案中的投票违规行为,大体意思是,社区的一次提案需要持有治理代币的用户投票,然后有一个人就利用闪电贷借出总资产,然后用来作为抵押品在借贷平台拿到大量的治理代币,去参与投票,投完票然后再还回去。听到这里可能很多人会惊出一身冷汗,因为如果这次通过的是一项有利于攻击者的战略性提案,那造成的后果远比一次套利攻击要严重的多,而且这样的攻击显然更加隐秘。闪电贷本身在这次风波中并没有任何过错,它反而是一种让人眼前一亮的创新,我们通过闪电贷这样的产物看到了DeFi的想象空间是有多大。但基于当前DeFi正处在一个实验性阶段,因此大量的漏洞和攻击者会将闪电贷用到各种非法用途上,所以很多人认为闪电贷是一种极为危险的创新,换个角度来说也正式因为闪电贷的存在,使得各项目方更加重视安全,这也是一种价值。

Kyber Network:攻击媒介已被成功识别并删除,此次攻击源于一个前端漏洞:金色财经消息,链上流动性协议Kyber Network发文称,攻击媒介已被成功识别并删除,Kyber Swap智能合约、聚合器和API一直是安全的,此次攻击源于一个前端漏洞,与Kyber Network的智能合约无关。

昨日报道,Kyber Network表示攻击者在9月6日前返还资金可获得15%漏洞赏金,否则将采取下一步行动。[2022/9/6 13:12:02]

标签:DEFDEFIEFIDEXdefi communityIC DeFiPlenty DeFiIDEX币

FIL热门资讯
区块链:星球日报 | 英国女王表示对区块链感兴趣;德意志交易所上市VanEck比特币ETN_数字货币

头条 哈萨克斯坦计划引入央行数字货币,拟于2021年下半年公布相关报告据哈萨克斯坦央行发布消息,哈央行目前正在研究引入央行数字货币.

SEC:明星项目周报 | 闪电贷攻击继续肆虐;Uniswap停止挖矿后锁仓量腰斩(11.16-11.22)_SDEFI

11月16日-11月22日当周,明星项目进展中值得关注的事件有:Uniswap初始流动性挖矿计划结束.

SEC:引实体资产上链,从DeFi到HyFi:Securitize/Centrifuge联盟案例研究_ECU

编者按:本文来自链闻ChainNews,星球日报经授权发布。撰文:MikeRogers,区块链媒体TheBlock研究分析师编译:PerryWang要点Securitize是一个数字证券平台和在.

APY:虽然遭遇安全漏洞攻击,但这个名为「88mph」的项目仍有可圈可点之处_PEFI

编者按:本文来自链闻ChainNews,撰文:LeftOfCenter,星球日报经授权发布。刚刚启动流动性挖矿两天的固定利息加密借贷协议88mph,因合约漏洞导致攻击被紧急关停,幸运的是,项目方.

MPH:一文了解火热的新型链上期权Hegic_NFT

在传统金融领域,期权是一种被广泛使用的金融工具,有着数万亿美元的市场规模。随着区块链行业的不断发展,很多传统金融领域的金融工具在区块链世界都相继出现了,期权自然也不例外,只是目前的体量还比较小.

IMVU:美国SEC批准社交媒体平台IMVU发行稳定币,而无需注册为证券_IMV

编者按:本文来自Cointelegraph中文,作者:TURNERWRIGHT,Odaily星球日报经授权转载.