SOUL:闪电贷攻击猖獗--探讨预言机对DEFI协议的重要性_Defi Bomb

前几天，Solana生态上的DeFi项目Mango受到黑客闪电贷攻击，损失超过1亿美金。据悉，黑客是通过操作预言机的价格来掏空了Mango协议的流动性。那我们今天就来聊聊何为闪电贷、黑客是如何使用闪电贷来攻击DeFi协议的，以及预言机对DeFi协议的重要性。

01、区块链世界的金融创新-闪电贷

????闪电贷最初是由Marble银行提出，Marble宣称「闪电贷可以帮助交易者从Marble银行贷款，在一家去DEX中买币，在另一家DEX以较高价格卖出代币，一笔自动化交易就可以让您将套利收益收入囊中。」

????闪电贷的原理如下：

???1、用户以无抵押的方式从协议中借出大量的资金；

???2、用户可以使用这笔资金进行任何对自己有利的操作；

???3、最后用户需将本金和一定的利息还给协议，若这个时候用户没有足够的资金，则整个操作都会进行回滚，保证协议的资金不会受到损失。

Vitalik Buterin：账户抽象升级可以吸引数十亿人使用以太坊:7月20日消息，以太坊创始人Vitalik Buterin最近在以太坊社区会议（EthCC）演讲中详细介绍账户抽象升级“paymasters”如何让用户用用于交易的代币支付Gas费，从而吸引数十亿人使用以太坊。账户抽象使用户能够从外部拥有的钱包（EOA）切换到基于智能合约的钱包。如果此次升级成功，钱包管理将比现在更加高效和轻松。Vitalik Buterin和社区相信，这可以使加密货币得到广泛采用。

此外，加密货币领域充斥着丢失助记词或助记词被盗的用户。通过账户抽象，用户可以创建充当可编程智能合约的非托管钱包。钱包恢复只是此次新升级带来的众多功能之一。[2023/7/20 11:06:21]

????闪电贷的机制是由智能合约的原子性来保障的，即上述这些操作为具有原子性的事务，只能全部成功，或全部失败，不会出现一部分成功而一部分失败的情况。因此在所有操作全部成功的情况下，整个闪电贷运行成功，协议通过借出资金并收回资金获取了利息，而用户通过各种各样的方式从这笔大资金的运作中获取了利益；而当用户在使用资金的过程中，并未获取到预期的利益，反而亏损了的话，会导致借出的资金变少而无法完成最后的还款操作，因此整个操作会失败，则除了用户损失gas外，协议的资金不会受到损失。

Worldcoin：World App使用Safe账户抽象堆栈提高钱包安全性:5月29日消息，Worldcoin 在社交媒体上表示，该生态首个加密钱包 World App 已成为 Polygon 网络最大 Safe 钱包部署者。

据悉，每个 World App 用户都会收到一个部署在链上的智能合约以太坊钱包。World App 使用账户抽象来提高钱包的整体安全性。在底层，这个智能合约钱包使用了一个由 Safe 开发的账户抽象堆栈 Safe{Core}。[2023/5/29 9:49:18]

????根据闪电贷的原理，我们可以发现为了能够使整个操作顺利地运行，关键就是用户如何在短时间内利用这笔资金进行获利。随着闪电贷的应用发展，这种无抵押瞬间获取大量资金的工具在人们进行了各种各样的尝试后，猛然发现黑客使用闪电贷的资金对DeFi协议进行攻击的方式竟然是获利最大的操作，那接下来就让我们来看看黑客是如何使用闪电贷来获利的吧。

02、闪电贷如何沦为黑客获利工具

以太坊账户抽象提案ERC-4337的核心合约已通过审计:3月2日消息，以太坊基金会安全研究员Yoav Weiss宣布，新的以太坊账户抽象提案ERC-4337的核心合约已经通过了Open Zeppelin的审计，并将在每个以太坊虚拟机(EVM)兼容网络上提供，包括Polygon、Optimism、Arbitrum、BNB Smart Chain、Avalanche和Gnosis Chain。Weiss表示，新用户将不再需要学习复杂的助记词或设置钱包的技术过程，就能进入去中心化的加密世界。

据悉，账户抽象(Account Abstraction)是通过省略以太坊账户体系中不必要细节，来减少复杂性并提高有效性有效地（消除了对EOA的需求和对智能合约钱包的特殊处理）。Weiss是以太坊改进提案 (EIP) 4337的主要作者之一，另外还有以太坊联合创始人Vitalik Buterin和其他五位成员。Weiss表示：“V神9年前首次发布了这个概念，甚至在以太坊推出之前。我们花了这么长时间才到达了现在这个阶段。”（Cointelegraph）[2023/3/2 12:37:37]

?????目前的区块链世界就是一片黑暗森林，隐藏着各种各样的风险，而黑客在这其中无疑是一群贪婪的猎食者，他们无时无刻不在发现有利可图的机会，或者创造这样的机会来进行获利。而闪电贷这种提供无抵押大资金的借贷工具，无疑满足了黑客需要使用低风险的大资金来进行价格操纵的需求。目前使用闪电贷对DeFi协议的攻击大多都是通过操纵价格的方式来进行的，因此我们用下面的例子来进行说明。

以太坊账户抽象提案EIP-4337新增签名聚合，可为rollups降低数据成本:10月3日消息，据以太坊创始人V神（Vitalik Buterin）近日发布的推文，其于2021年9月联合发起的以太坊账户抽象提案EIP-4337近期发布了新版本，添加了包括BLS签名算法的签名聚合。签名聚合功能能够让构建者和批次提交者也能聚合签名（例如BLS、SNARKs），大大减少了链上的数据。

V神表示，ERC-4337为账户抽象提供了真正有价值和必要的东西，可为使用智能合约钱包的用户操作提供“去中心化费用市场”。我们正在慢慢精准实现账户抽象的实际路径，本次发布新增的签名聚合功能可以为rollups降低数据成本，这也将成为采纳ERC-4337的动力之一。

据悉，账户抽象（Account Abstraction）是通过省略以太坊账户体系中不必要细节，来减少复杂性并提高有效性有效地（消除了对EOA的需求和对智能合约钱包的特殊处理）。[2022/10/3 18:38:21]

Nervos network谢晗剑：未来的区块链不是追求性能更好，而是抽象层次更高:金色财经现场报道，10月26日，由万向区块链实验室主办的第七届区块链全球峰会在上海举行，Nervos network 架构师谢晗剑在题为《区块链抽象和演进》的分享中称，治理和抽象是区块链面临的新挑战。以太坊改变了一切，它是把区块链技术一般化，它去寻找利用区块链技术的应用，发现它们的共性，然后为各种应用、场景和需求，创造一个平台，使得在以太坊上可以创造各种应用，包括支付、游戏等。以太坊是抽象层次更高的系统，而未来的区块链，追求不是性能更好，而是抽象层次更高，更加一般化的设计。他认为区块链在抽象层面的问题有三个，比如特定的账户体系，特殊的密码学算法，特殊的运行时。区块链应该追求抽象层次越高，性能是副产品。[2021/10/26 20:57:53]

???1、黑客从借贷协议中借出大量的资金；

???2、在DeFi协议中埋伏相关币种的资金；

???3、使用大资金在DEX中拉高相关币种的价格；

???4、受操作的价格通过预言机传递给DeFi协议；

???5、DeFi协议在收到预言机的喂价后，黑客按当前受操纵的价格将提前埋伏的币种进行抵押借款，从而获得大量的资金；

???6、黑客将本金还给借贷协议，带着剩余资金扬长而去，从而完成了一次空手套白狼的闪电贷攻击。

????我们可以看到这个过程中，比较关键的一点是DeFi协议收到了来自预言机受操纵的价格，从而导致了错误地借出资金。然而DeFi协议中的价格一般都来自于预言机的喂价，因此预言机的准确喂价变成了DeFi协议的安全基石。

03、Pyth-一个链上高保真预言机网络

????在Mango被盗的事件中，我们发现Mango官方和其CEO都谈论到了预言机对此次事件的影响，并说明预言机的报价并无异常。

????在其中我们看到了Pyth这款预言机，那这款预言机有何秘密呢？现在就让我们一起来探索一番吧。

Pyth隐藏背景

????经过抽丝剥茧的信息筛选，初步锁定JumpCrypto可能就是Pyth背后的金主和建设者。JumpCrypto是高频交易巨头-JumpTrading成立的加密投资部门，参与了最近热度极高的Aptos的融资。

????对于高频交易而言，及时且准确的价格信息无疑是取胜的关键要素。而Jump更是对网络速度的追求达到了变态的程度。例如在2018年，为了更快地获取不同市场的期货报价，Jump与Citadel等六家高频交易商竟联合架设了一条连接芝加哥与东京的海底光缆“GoWest”。

????在JumpCrypto的官方介绍中，使用了较长的篇幅来介绍pyth，同时直接表明了Jump参与了pyth代码的编写。而且还利用自身的资源，让众多的金融交易所和币圈交易所都成为了Pyth网络的数据发布者。

Pyth运行模型

在Pyth网络中有三种角色：

发布者?负责发布喂价，并获得部分数据费用作为回报。发布者通常是能够及时获取准确价格信息的市场参与者。Pyth协议根据发布者分享的新价格信息的数量，按比例对发布者进行奖励

消费者读取喂价，将数据集成智能合约或去中心化应用之中，并可以选择性地支付数据费用。消费者既可以是链上协议，也可以是链下应用

委托者质押代币，赚取数据费用，代价则是在预言机价格不准确的情况下，可能会损失其质押的代币

这些角色可以在Pyth网络中，通过如下四种机制来进行互动：

价格聚合机制将单个发布者的喂价整合为产品的单?喂价。此机制旨在生成稳定的喂价，也就是说，喂价不会受到少数发布者的显著影响

数据质押机制使委托者能够通过质押代币来获取数据费用。委托者总体上还通过质押代币的方式决定每个发布者对聚合价格的影响程度。另外，此机制还将确定委托者质押的代币是否会遭到削减。最后，此机制向消费者收取数据费用，并向委托者分配部分数据费用。余下部分将进入奖励池，用于分配给发布者

奖励分配机制决定了每个数据发布者可从奖励池中获取的奖励份额。此机制会优先奖励提供高质量喂价的发布者，并降低提供低质量信息的发布者获取奖励的可能性

治理机制决定上述三种机制的高级参数

Pyth可能存在的问题及风险

????目前pyth的代币尚未发布，因此对整个经济模型的影响暂时无法体现。但就对目前pyth的整个模型来说，协议的收入来自于消费者的付费，而这个付费只是起到了一个保险的作用，消费者在不付费的情况下，依然可以获取到pyth的实时价格信息。因此到代币发布后，消费者是否愿意付费，付费的比例会是多少，就会成为协议能否盈利的关键因素。

????当然pyth后续也可以限制消费者付费才能使用协议，但在这种情况下，消费者是否会转移使用其他预言机，也是一个存疑的问题。

总结

????在Jump的加持下，pyth相较于其他预言机有着Jump对于高频交易的深刻理解和相关模型的经验加持，而这套模型在Web3的世界是否有效，那就需要实践出真相了。

责任编辑：MK

标签：SOULYTHDEFIDEFsoul币等于多少钱MYTHIC币Alchemist DeFi AurumDefi Bomb

酷币热门资讯