文/Robin


2021 年 2 月 5 日,Yearn Finance v1 版本的 yDAI 机枪池漏洞被利用,损失 1100 万美元,该名攻击者总共获得 51.3 万 DAI、170 万 USDT 和 50.6 万 3CRV。目前团队正在针对此次事件进行调查,暂时禁用了在机枪池存入 v1 DAI、TUSD、USDC、USDT 功能。

简单讲就是利用了闪电贷,利用价格比例失衡达到攻击的目的,具体的分析可以参考慢雾的文章「千万美元损失背后的闪电贷攻击 ——yearn finance 被黑简析」。

据 PeckShield 的数据,2020 年 DeFi 攻击事件达 60 起,损失逾 2.5 亿美元。这 60 起 DeFi 攻击事件中,有⾄少 10 起为闪电贷攻击,包括 bZx、Balancer、Harvest、Akropolis、Cheese Bank、Value DeFi 和 Origin Protocol 等多个 DeFi 项⽬。黑客利⽤闪电贷,以极低的成本撬动巨量资⾦,在多个协议间进⾏价格操纵或套利。

DeFi 的闪电贷究竟是个什么东西呢?

闪电贷可以在无需抵押品的情况下从指定的智能合约池中借入任何可用的资产金额。闪电贷是 DeFi 中有用的一个构件(building block),因为它可以用于套利、交换抵押品和自我清算等。闪电贷款虽然最初是由 Marble 协议引入的,但由 Aave 和 dYdX 普及。

闪贷必须在同一区块链交易中进行借贷和快速偿还。一个交易代表了一组必须以「原子方式」执行的操作,原子方式指的是要么所有的步骤都被执行,要么交易被回滚,一个步骤都不会被执行。

闪电贷攻击背后的元凶,实际上是对预言机进行操控,造成内外价格差并从中套利。这里又有一个概念叫做预言机,这个词语听起来很酷,其实很好理解。预言机(Oracle)并不是什么玄幻事物,它其实是区块链网络与互联网以及其它区块链网络等保持数据、信息沟通的「桥梁」。特别是,在 DeFi 智能合约这类去中心化应用(Dapp)中,通过预言机,开发者可以调用包括行情价格在内的各种外部数据资源,让 Dapp 连通外部现实世界的数据环境。

能够提供不可篡改、可靠数据的预言机必将成为 DeFi 发展的重要基石。在 DeFi 应用中,不论自身配置还是依赖第三方供应,通过预言机可获取各个市场的价格、汇率等重要信息。而对于去中心化交易所(DEX)来说,获取准确可靠的价格数据意义更为重大。

那么问题来了,元凶在这里,多接入几个价格来源,就可以彻底解决闪电贷攻击吗?然而并不是的,DeFi 的世界就是道高一尺,魔高一丈,总会有各种各样新的攻击方式,毕竟池子里这么多钱,全世界有无数顶尖的黑客彻夜在研究漏洞。

现在 DeFi 世界还在送钱阶段,高收益的背后,还是要注意风险。


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的微信: Wentasy


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。


–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)