IDEA:首发 | 反思 DeFi 中的黑客攻击 简谈套利机制的积极作用

对加密货币市场,同一资产在不同的交易所有不同的价格。这些价格差异使得交易者可以通过在不同平台上进行交易来获取利润。当闪电贷进入DeFi的世界,套利的成本更低了。这听起来是一件好事,但是DeFi协议的漏洞增加了资金被盗的风险。就像V神所说,高利率的天平两端分坐着短暂的套利机会和未知的风险。

可是,这一切真的都是因为闪电贷吗?下面烤仔就为大家总结一下近期的数起闪电贷攻击事件以及它们背后套利的逻辑。

一、近期典型DeFi黑客攻击事件梳理

1.ValueDeFi

北京时间11月14日23点36分,ValueDeFi的MultiStablesVault池子遭受黑客攻击,损失将近740万美金的DAI。由于ValueDeFi协议在使用基于AMM算法的价格预言机(Curve)来计算代币价格时存在漏洞。攻击者先通过闪电贷操纵Curve上通证的价格,然后再用铸造的pooltokens成功提取出了远超原先价值的3CRV通证。之后,攻击者再将这些3CRV通证在Curve上赎回DAI,从而完成获利。

Filecoin网络目前总质押量约为9393万枚FIL:据IPFS100报道,Filfox浏览器数据显示,Filecoin网络当前区块高度为957260,全网有效算力为7.879EiB,总质押量约为9393万枚FIL,活跃矿工数为2719个,每区块奖励为24.7190FIL,近24小时产出量为348385FIL,24小时平均挖矿收益为0.0426FIL/TiB,目前FIL流通量为150022372FIL。目前有效算力排名前三的分别为:f0127595(FILPool.me)以123.85PiB暂居第一,f0123261(LDPool)以115.11PiB位居第二,f0135467(RRM-雅典娜)以106.34PiB位居第三。[2021/7/23 1:11:29]

2.AkropolisDeFi

11月13日,DeFi借贷协议Akropolis协议遭受黑客攻击,损失约200万DAI,Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击。攻击者使用自己构造的通证,对Akropolis合约的deposit函数进行重入,导致Akropolis合约使用相同的差值铸币了两次,但是只触发了一次转账,当攻击者提现的时候,就可以提两倍的收益,从而获利。

Gate.io 已完成11月26日FIL代币转化分发,总量约1.3万枚:据官方公告,Gate.io今日(11月26日)已经根据用户FIL6持仓情况完成FIL分发,总计约1.3万枚,用户可在账户账单明细中查看详情。目前Gate.io已经支持Filecoin(FIL)现货交易,充值提现,杠杠交易,币币理财,永续合约交易,三倍ETF交易等全线系列产品和服务。[2020/11/26 22:16:14]

3.CheeseBank

11月7日凌晨3时22分,黑客利用闪电贷通过一笔交易攻击一家去中心化数字银行CheeseBank获利330?万美元。PeckShield通过追踪和分析发现,攻击者首先通过dYdX闪电贷贷出大笔ETH。随后,在UniswapV2中将50枚WETH兑换为107,000枚CHEESE(CheeseBank通证)。CheeseBank以流动性矿池UNI_V2-CHEESE-ETH中WETH的数量来衡量所对应的UNI_V2LP凭证的价格,攻击者通过提高UNI_V2LP凭证的价格能有效地贷出更多USDC、USDT、DAI。最后,攻击者在将ETH归还给dYdX闪电贷后获得巨额套利收益。?

BiKi平台认购FIL6(Filecoin)目前已告罄:据BiKi官网消息,BiKi平台今日11:00开启的FIL6(Filecoin)认购开始后,120秒即告罄,FIL6(Filecoin)也将于6月29日 18:00(GMT+8)上线BiKi,开放FIL6/USDT交易对,并在开放交易前完成认购币种发放。

星际文件系统IPFS(InterPlanetary File System)是一个面向全球的、点对点的分布式版本文件系统,目标是为了补充(甚至是取代)目前统治互联网的超文本传输协议(HTTP),将所有具有相同文件系统的计算设备连接在一起。

Filecoin是在IPFS其上的激励层,通过token激励模式在IPFS上构建了一个去中心化存储市场。FIL6是Filecoin主网上线后6个月的期货。[2020/6/29]

4.HarvestFinance

10月26号,HarvestFinance项目遭受闪电贷攻击,损失约2400万美元。黑客发起的此次经济攻击是通过CurveY池进行的。黑客通过闪电贷瞬间操纵了Curve上稳定币的汇率,然后在Harvest低价充值某稳定币、并在Curve购回所卖出的稳定币,恢复正常汇率,Harvest提现,赚取汇率差。

首发 | 《一起来捉妖》中玩家达到22级将会接触到专属猫的玩法 ?:今日腾讯上线首款区块链游戏《一起来捉妖》,经金色财经查证,游戏中玩家达到22级将会接触到专属猫的玩法,而非此前官方对外宣称的15级。除了诱猫铃铛召唤出的0代猫以及部分通过运营活动奖励的专属猫以外,游戏中所有的猫默认都是未上链状态。未上链的猫不能出售,也无法进入市场与其他玩家配对;但是你可以使用这些猫与你的QQ/微信好友进行配对,产出新的小猫。使用道具“天书笔”可以将你的猫记录到区块链。当猫被记录到区块链以后,这些猫就可以进入市场,通过配对赚取点券,或者出售赚取点券。专属猫是否上链,并不影响它的增益效果。但只有上链后,它才能面对全服务器所有的玩家进行繁殖、交易。

?

《一起来捉妖》中的专属猫玩法,基于腾讯区块链技术,游戏中的虚拟数字资产得到有效保护。此外,基于腾讯区块链技术,猫也可以自由繁殖,并且运用区块链技术存储、永不消失。[2019/4/11]

二、关于DeFi攻击事件的反思

首发 | 百度推动246家博物馆线上藏品上链:金色财经讯,近日,百度超级链联合百度百科,基于区块链技术创建 “文博艺术链”,推动百科博物馆计划中的246家博物馆线上藏品上链。基于“文博艺术链”,百度将与博物馆共同推动线上藏品版权的确权与维护,同时探索线上藏品版权数字化交易方式,为合作的博物馆提供更全面的服务和更多的权益。据介绍,此项目将分阶段进行,一期将完成线上藏品的入链确权,为每一件藏品生产专属的版权存证证书。让每一名用户可以在百度百科博物馆计划的PC端和WAP端的藏品页查看证书。后续,百度还将推动AI与区块链技术在文博领域的结合应用,用来保障上链数据与藏品相匹配,为后续进行藏品图像版权数字化交易奠定基础。[2019/1/30]

DeFi,一般是指基于智能合约平台构建的加密资产、金融类智能合约以及协议。今年?DeFi?凭借吸纳百亿资金入场备受瞩目,但与此同时也出现了一群被戏称为“科学家”的人们依靠技术实力和知识门槛专薅DeFi的羊毛,利用DeFi进行套利获取巨额收益。在DeFi的世界里,这群“科学家”们把“借款、转移、还款”都编程到一笔发往智能合约的交易里,以此来实现以极低甚至零成本在各个DeFi协议之间进行高额套利,或者利用可组合性的漏洞进行攻击盗取巨额资金。

目前利用DeFi进行套利主要有两种模式:

1.利用加密货币产品之间的利率差进行获利

DeFi市场中的利率都比较高,原因主要有以下两个:

(1)去中心化的DeFi协议仍然处于早期发展阶段,加密货币的高波动性、超额抵押、智能合约风险等因素都将促使DeFi协议为用户提供高利率的风险弥补。由于同样的资金存放在传统金融借贷市场中会承受较低的风险,所以DeFi市场需要利用高利率来弥补去中心化机制所带给投资者的风险敞口。

(2)高利率有助于一些新型的DeFi项目进行冷启动。目前,具有流动性挖矿的成熟DeFi市场吸纳了大部分的资金,一些新型DeFi项目由于暂未发行治理代币而无法提供流动性激励,导致项目早期流动性较差,因此高利率可以很好地吸引用户以达到引流作用,但与此同时也会出现DeFi市场间的套利机会。

套利者可以在一个DeFi市场中以低利率借款,并在另一个DeFi市场中存入资产以获取高利率。当平台之间的借款和存款利率存在差值且存款利率高于借款利率时,套利机会就会出现。

2.利用智能合约的漏洞以及闪电贷的特性进行套利

闪电贷是指利用区块链交易可回滚的特性实现的一种贷款方式。用户无需抵押即可以极低的利息,借贷出一笔巨额的资金。用户只需要在同一笔“交易”中归还借出的款项和利息即可。闪电贷本身不是漏洞,闪电贷攻击指利用闪电贷和其他漏洞结合进行的攻击,多为套利、操纵价格等攻击。开发人员可以从支持闪电贷的DeFi项目储备池中借钱,条件是在交易结束之前将资金返还到资金池中。如果这种资金未能及时返回储备库,则交易将被撤回从而确保储备池的安全。

虽然闪电贷攻击的方法和范围不尽相同,但它们所攻击的协议都有一个共同点,那就是只从某一个去中心化交易所获取价格数据。比如闪电贷攻击的受害者是某个DeFi借贷协议,该协议从某一个去中心化交易所获取喂价数据。操作步骤如下:

(1)从一个支持闪电贷的协议中借入大量通证A;

(2)在某个去中心化交易所上将通证A换成通证B;

(3)将兑换的通证B放在另一个DeFi协议中作抵押,而上一步操作中的去中心化交易所是这个DeFi协议唯一的价格数据源;由于价格数据被操纵,因此可以借到高于正常量的通证A;

(4)用其中一部分通证A还之前闪电贷的贷款,然后剩余的通证放进自己的口袋,以此不当获利;

(5)随着去中心化交易所中通证A和通证B的价格通过套利交易逐渐回到真实水平,DeFi协议会出现债务价值超过抵押品价值的情况,这将直接损害其他正常用户的利益。

目前加密货币市场中已经出现了多起由于智能合约漏洞引发的黑客问题导致用户资金受到威胁,因此大笔资金通过智能合约的方式进行借贷需要DeFi拥有极高的安全性。

闪电贷通过区块链被创造,它作为一种新的、不存在于传统金融世界的借贷模式,极大丰富了DeFi的应用场景,并降低了市场准入门槛,具有创新意义,但它不应成为黑客获取利益的帮凶。虽然近期频频有黑客利用闪电贷的资金对DeFi协议发起攻击,但闪电贷本身作为一种金融工具时,其价值不应被忽视。闪电贷本身不产生风险漏洞,它只是暴露了DeFi协议已经存在的风险漏洞,即因预言机传达失真数据而带来的价格操纵风险。

一个金融市场中的套利行为本身有它积极的影响,它可以为市场中资产标的进行合理定价。在数字货币市场中,加密货币的价格往往由于区域政策、合作利好等相关信息变动显著,套利者可以通过套利机制将市场各个交易所中的加密货币价格进行准确定位,达到当下供给需求平衡的状态。同时,套利机制可以使整体加密货币市场更加规范化、透明化,使每个交易所都能反馈出真实的资产价格走势。套利行为还能促进全球用户对于加密资产的共识,加快整个行业的未来发展。

但是,DeFi协议开发者理应在频频发生的多起由于智能合约漏洞引发的黑客事件中吸取教训。项目开发者在业务逻辑设计时,应当充分考虑这类极端情况,同时应找专业的审计机构进行审计和研究,以防范各种可能的风险。

而对于参与者们,烤仔只有那一句永恒的嘱咐——投资有风险,入市需谨慎。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-5:387ms