加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

一文詳解DeFi預言機安全事件_DEF:EFI

Author:

Time:1900/1/1 0:00:00

近日,DeFi市場經歷了一場嚴峻的考驗,多起攻擊事件接連發生,造成了巨大的資產損失。在多數安全事件中,閃電貸攻擊的“冠名”似乎成為了標配。但是,在其背后不容忽視的真相,其實是對預言機進行操控,造成內外價格差并從中套利。

所謂閃電貸,其實是一種創新金融工具,可實現無抵押貸款,但要求在同一個區塊內還款,否則交易回滾。閃電貸的魅力在于,可以使貸款者在無需付出任何努力或代價的情況下秒變“富豪”。當然,龐大的資金量也預示著強大的市場操控潛力。

在此類安全事件中,攻擊者通常屬于“空手套白狼”,先使用閃電貸獲取大量資金,擁有了攻擊的啟動“砝碼”后,再通過一系列手段出入各類抵押、借貸、交易等協議,在實現操縱、扭曲資產價格數據后,實施套利,最后歸還“本金”。

數據顯示,自2020年以來,黑客基于重入漏洞的攻擊數量有所下降,而基于價格操控漏洞的攻擊比例正在上升,并已造成累計超過數千萬美元的損失。

螞蟻集團傳尋求合作伙伴申請泰國虛擬銀行牌照:金色財經報道,泰國媒體《曼谷郵報》披露阿里巴巴旗下金融科技平臺螞蟻集團可能會尋求一個合作伙伴,以便向泰國央行申請虛擬銀行牌照。負責泰國螞蟻集團全球商戶合作的Sittipong Kittiprapong表示,螞蟻集團希望支持其潛在合作伙伴的業務運營。螞蟻集團目前與韓國Kakao銀行的移動支付業務Kakao Pay合作,在泰國市場提供支付服務。值得留意的是,泰國匯商銀行與Kakao銀行近日宣布將合作向泰國央行申請虛擬銀行牌照,并計劃吸引更多合作伙伴加入財團。[2023/6/29 22:08:58]

那么,這個預言機到底是什么?

區塊鏈對外溝通的“橋梁”

預言機并不是什么玄幻事物,它其實是區塊鏈網絡與互聯網以及其它區塊鏈網絡等保持數據、信息溝通的“橋梁”。特別是,在DeFi智能合約這類去中心化應用中,通過預言機,開發者可以調用包括行情價格在內的各種外部數據資源,讓Dapp連通外部現實世界的數據環境。

Relation 啟動第一季空投,空投總額為 5000 萬枚 REL:5月26消息,Web3 社交圖譜協議 Relation 啟動其原生代幣 REL 第一季空投。空投快照已于北京時間 5 月 26 日 10:00 完成。此次空投將向 Relation 用戶、早期采用者和貢獻者分配 5000 萬枚 REL。空投用戶包括:在 Relation One 中注冊的 EVM 地址、.soul profile持有者、.soul profile白名單持有者、Semantic SBT 持有者。.soul profile持有者將在此次空投分配中獲得提升。符合條件的用戶可以在一周內在以太坊網絡上領取空投代幣。[2023/5/26 9:45:01]

毫無疑問,能夠提供不可篡改、可靠數據的預言機必將成為DeFi發展的重要基石。在DeFi應用中,不論自身配置還是依賴第三方供應,通過預言機可獲取各個市場的價格、匯率等重要信息。而對于去中心化交易所來說,獲取準確可靠的價格數據意義更為重大。

LayerZero交互地址數已突破150萬,僅完成1筆交易地址占比為30%:5月18日消息,Dune Analytics 數據顯示,跨鏈通訊協議 LayerZero 交互地址數已突破 150 萬,現獨立用戶數為 1524442 。其中,只完成 1 筆交易的地址數為 45 萬個,在總參與地址數量占比為 30%。[2023/5/18 15:11:45]

與中心化交易所不同,Dex行情數據的“孤島化”傾向更為明顯,如果不與外界行情保持實時聯動,Dex中的自動化做市商資產池很可能會因為交易量、流動性等的劇烈變化而產生價差損失。

隨著DeFi市場熱度的提升,行業更多的思考傾向于項目數量、規模以及模式等方面。而對預言機安全問題的關注反倒是處于一種不溫不火的狀態。近段時間,頻繁發生的預言機安全事件可能為此敲響了警鐘,預言機安全于DeFi生態有序發展至關重要。

SBF:名下只有10萬美元,超7億美元遭檢察官沒收:2月19日消息,根據加密貨幣交易所FTX前首席執行官SBF的說法,在他的公司破產并因涉嫌欺詐指控被捕后,他名下只有大約10萬美元。然而,美國聯邦檢察官似乎已經沒收了多達7億美元,據信所有這些資金都在SBF本人或交易所所屬的賬戶中。

在最近的一份聲明中,美國證券交易委員會(SEC)提到:“SBF策劃了一場長達數年的大規模欺詐,挪用了交易平臺數十億美元的客戶資金以謀取個人利益,并幫助發展他的加密貨幣帝國。”

SBF則表示,在其公司最初倒閉時,他名下只有10萬美元,在撰寫本文時,多達10個屬于加密貨幣高管的獨立賬戶已被沒收。這些賬戶包含大量資產,包括加密貨幣、股票和現金。[2023/2/19 12:15:36]

典型的預言機安全事件

事件一

關于首起預言機安全事件,時間要回到2019年6月25日。DeFi衍生品平臺Synthetix預言機發生異常,致使平臺sKRW/sETH匯率報錯,超過3700萬枚sETH被低價交易,涉及金額近10億美元。

Genesis指控Roger Ver應賠償2090萬美元:金色財經報道,上周申請破產保護的加密貸款機構 Genesis Global Capital 的一個部門聲稱,長期的區塊鏈行業資深人士和比特幣現金 ( BCH ) 支持者 Roger Ver未能結算加密貨幣期權交易。GGC 國際有限公司對 Ver 的指控包含在 1 月 23 日提交給紐約縣法院的一份文件中。

根據 Genesis網站,GGC International Limited 是一家英屬維爾京群島公司,由 Genesis Global Capital 全資擁有,從事現貨交易活動并通過數字資產衍生品對沖風險敞口。根據備案文件,GGC 尋求“因被告未能結算 2022 年 12 月 30 日到期的加密貨幣期權交易而造成的金錢損失,金額將在審判中確定,但不少于 2090 萬美元。”[2023/1/25 11:28:57]

#事件原因

喂價源信息失常,預言機發生故障并將錯誤價格發布到鏈上,交易機器人發現后迅速套利。

最后,Synthetix與交易機器人所屬者達成資金返還協議,巨額損失得以挽回。但值得警惕的是,上游價格源異常可能給智能合約帶來毀滅性打擊,而缺乏有效性驗證的預言機在數據正確性、穩定性方面存在極大的安全隱患。

事件二

在此后的事件中,令人印象深刻的是“bZx連續攻擊事件”。2020年2月,DeFi貸款協議bZx在一周內先后兩次遭到攻擊,造成了約100萬美元的損失。

#事件原因

黑客利用Uniswap算法價格缺陷,操縱相關資產價格數據并游走多個DeFi協議,實施套利。

時隔七個月,bZx再次遭受攻擊,此次事件又造成了約800萬美元的損失。bZx聯合創始人KyleKistner在事件發生后曾提到,這似乎是一次預言機操縱攻擊。最終,此次事件的原因被歸為代碼漏洞。

事件三

近期,涉及預言機攻擊的事件愈發頻繁,安全形勢嚴峻。10月26日,DeFi項目HarvestFinance遭到黑客攻擊,造成了約2400萬美元的損失。

#事件原因

該協議fToken鑄幣時采用Curvey池為喂價源,攻擊者通過巨額兌換,操縱價格數據,控制鑄幣數量,從而多次套利。

官方透露,黑客通過curvey池進行攻擊,使Curve中穩定幣的價格異常超出387.9%,并在7分鐘內多次套利。受此影響,Harvest代幣FARM的價格在短時間內暴跌65%。

事件四

11月14日,ValueDeFi協議遭到黑客攻擊,同樣是歷經了一系列協議間操作,最終導致超過700萬美元的損失。

#事件原因

攻擊者利用價格預言機漏洞,操縱Curve資產池價格,竊取超量3CRV兌換DAI后套利。

令人唏噓的是,黑客最后歸還了200萬枚DAI并留下了一條嘲諷信息:“你真懂閃電貸嗎?”以此回應該團隊此前的推文,聲稱可防閃電貸攻擊。

近段時間,僅由預言機攻擊造成的資產損失已累計超過3000萬美元。此類事件中,黑客正是通過操縱預言機,造成可實施套利的兌換率,最后利用價格差竊取了協議資產。

因此,DeFi生態中最具系統性風險的因素是易受價格操控的預言機,而非閃電貸這種金融工具。

解決方案的探索

預言機有著廣泛的應用場景,需與鏈下數據進行交互的Dapp皆可借助預言機來實現功能和價值。其中,典型應用場景包括,Dex、衍生品、穩定幣、借貸平臺、游戲、保險、預測市場等。面對這個“數據要塞”,通過迭代升級、安全測試等,預言機有望提供更為優質的服務。

由于區塊鏈本身不具備驗證數據是否公平、合理的功能,因此,那些錯誤的外部數據在去中心化機制下,將被預言機無差別地執行返回,而這種“將錯就錯”極容易造成各類損失。

預言機的迭代升級,應實現鏈上與鏈下可信數據的對接,確保數據環境正常、穩定、有序。在報價方面,預言機應盡量從多節點聚合數據,對價格偏差預留處理機制,并按照時間同步更新,確保提供給智能合約的數據可靠、可信、抗干擾。

在Dex中,預言機應在提供報價更新的同時維護、調整AMM的權重,確保內部匯率與外部市場價格保持匹配,并通過驗證機制,異常報警機制等有效攔截攻擊者對價格、匯率的操縱,防止套利空間的產生。

另一方面,DeFi開發者應加強預言機的針對性測試,特別是在項目上線前,盡可能模擬價格操控攻擊的各類場景,及時發現問題并找出解決方案,切實提高項目抗預言機攻擊的能力。

項目上線后,開發者應根據情況選擇接入第三方預言機服務、安全測試服務等;舉辦相關漏洞賞金活動,做到及時查缺補漏,優化整體結構,在最大程度上降低同類型事件再度發生的可能性。

結語

事物的兩面性總能在各方面得到體現。對于閃電貸而言,本是一種創新金融工具,可高效提供大額資金,促進價值循環。然而,它卻被攻擊者利用,淪為了竊取資產的重磅武器。

不論是DeFi發展還是區塊鏈新領域的拓展,鏈上、鏈下的數據交換勢在必行,預言機的作用不可小覷。其實,攻擊者的操控手段也并非高深,只是在現階段預言機還不夠智能,很難及時應對和抵御。

同樣,事物發展的道路也總是曲折。在遭受諸多慘痛代價后,預言機這個“短板”暴露無遺。為區塊鏈生態安全計,在完全抗操控攻擊的預言機誕生之前,加強多方技術的驗證和檢測,防范攻擊于未然成為了當務之急。

Tags:DEFDEFIEFI區塊鏈CredefiParadise DefiRefinable區塊鏈運用的技術中不包括哪一項

比特幣價格實時行情
11-23 晚間以太坊行情分析及操作建議 以太坊2.0合約已到達30萬ETH_ETH:加密貨幣

ETH行情分析: ETH昨日晚間最低下行511位置開始反彈,目前價格在585附近位置運行;跟緊大餅腳步延續上漲,價格也是再次刷新年內新高;整體盤面走勢來看,以太還有持續上行空間.

1900/1/1 0:00:00
Serum簡報:鏈上質押即將上線_SER:serum幣上幾家交易所

感謝您繼續關注Serum簡報!本期簡報中,除了常規進展通報,我們會介紹Solana公鏈上質押相關的一些最新進展,現在SRM的鏈上質押已經完備,即將上線.

1900/1/1 0:00:00
比特幣突破歷史高點前夜,你的投資模型在盈利嗎?_BTC:Defi Tiger

原標題:《眼看比特幣即將突破上輪大牛市前高!但你手里還剩幾個?》歷史不會簡單的重復,但卻總是驚人的相似。我們圈子有幾個非常有意思的現象,如果你列舉出來,你會發現真的很奇怪.

1900/1/1 0:00:00
幣海引路人:BTC多空拉鋸戰 把握節點 多空皆可為_SHI:SMPCOIN

幣海引路人:BTC多空拉鋸戰?把握節點?多空皆可為泥濘路上的奔馳,永遠跑不過高速路上的夏利,腳下的路很重要。男人再優秀,沒有女人也生不下孩子,說明合作很重要.

1900/1/1 0:00:00
ETH、XRP、LTC和LINK本周飆漲甚至超過比特幣的漲勢_VER:Divergence Protocol

ETH、XRP、LTC和LINK本周突然飆漲。四種代幣總市值約為1000億美元,本周漲幅區間均在20%-50%,甚至超過比特幣的漲勢。本周以太坊自2018年6月以來首次突破500美元.

1900/1/1 0:00:00
幣思意:11.23比特幣行情分析 低倍做小短線 見利就撤_BTC:TECH幣

幣思意:11.23比特幣行情分析?低倍做小短線?見利就撤????數字貨幣,如比特幣本身,如果你不了解它的技術和原理,你就看不到它在未來能走多遠,能吸引多少價值.

1900/1/1 0:00:00
ads