加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 狗狗幣 > Info

烤仔觀察:反思DeFi中的黑客攻擊,簡談套利機制的積極作用_DEF:DEFI

Author:

Time:1900/1/1 0:00:00

對加密貨幣市場,同一資產在不同的交易所有不同的價格。這些價格差異使得交易者可以通過在不同平臺上進行交易來獲取利潤。當閃電貸進入DeFi的世界,套利的成本更低了。這聽起來是一件好事,但是DeFi協議的漏洞增加了資金被盜的風險。就像V神所說,高利率的天平兩端分坐著短暫的套利機會和未知的風險。

“當你凝視深淵時,深淵也在凝視著你。”

可是,這一切真的都是因為閃電貸嗎?下面烤仔就為大家總結一下近期的數起閃電貸攻擊事件以及它們背后套利的邏輯。一、近期典型DeFi黑客攻擊事件梳理

Ordinals Wallet向早期用戶空投Pixel Pepes NFT:5月10日消息,比特幣錢包服務商Ordinals Wallet在其社交平臺宣布,已向產品發布首周即參與交易的用戶空投Pixel Pepes NFT。據相關頁面信息,Pixel Pepes NFT地板價暫 0.35 BTC,其 24 小時成交額為28.57BTC。[2023/5/10 14:54:55]

1.ValueDeFi北京時間11月14日23點36分,ValueDeFi的MultiStablesVault池子遭受黑客攻擊,損失將近740萬美金的DAI。由于ValueDeFi協議在使用基于AMM算法的價格預言機(Curve)來計算代幣價格時存在漏洞。攻擊者先通過閃電貸操縱Curve上通證的價格,然后再用鑄造的pooltokens成功提取出了遠超原先價值的3CRV通證。之后,攻擊者再將這些3CRV通證在Curve上贖回DAI,從而完成獲利。2.AkropolisDeFi11月13日,DeFi借貸協議Akropolis協議遭受黑客攻擊,損失約200萬DAI,Akropolis創始人兼首席執行官AnaAndrianova表示,攻擊者利用在衍生品平臺dYdX的閃電貸進行重入攻擊。攻擊者使用自己構造的通證,對Akropolis合約的deposit函數進行重入,導致Akropolis合約使用相同的差值鑄幣了兩次,但是只觸發了一次轉賬,當攻擊者提現的時候,就可以提兩倍的收益,從而獲利。3.CheeseBank11月7日凌晨3時22分,黑客利用閃電貸通過一筆交易攻擊一家去中心化數字銀行CheeseBank獲利330萬美元。PeckShield通過追蹤和分析發現,攻擊者首先通過dYdX閃電貸貸出大筆ETH。隨后,在UniswapV2中將50枚WETH兌換為107,000枚CHEESE(CheeseBank通證)。CheeseBank以流動性礦池UNI_V2-CHEESE-ETH中WETH的數量來衡量所對應的UNI_V2LP憑證的價格,攻擊者通過提高UNI_V2LP憑證的價格能有效地貸出更多USDC、USDT、DAI。最后,攻擊者在將ETH歸還給dYdX閃電貸后獲得巨額套利收益。4.HarvestFinance10月26號,HarvestFinance項目遭受閃電貸攻擊,損失約2400萬美元。黑客發起的此次經濟攻擊是通過CurveY池進行的。黑客通過閃電貸瞬間操縱了Curve上穩定幣的匯率,然后在Harvest低價充值某穩定幣、并在Curve購回所賣出的穩定幣,恢復正常匯率,Harvest提現,賺取匯率差。二、關于DeFi攻擊事件的反思

美國立法者提出兩黨法案,提議禁止成員投資“金融工具”:金色財經報道,在 5 月 2 日的公告中,美國民主黨代表 Alexandria Ocasio-Cortez 和 Raja Krishnamoorthi 以及共和黨代表 Brian Fitzpatrick 和 Matt Gaetz?介紹了兩黨恢復政府信仰法案。根據該法案,投資此類資產的國會議員將在很大程度上被要求在通過后 90 天內出售這些資產或將其置于保密信托中。不遵守法律可能會導致美國司法部長提出民事指控,并可能導致最高 50,000 美元的罰款。盡管四名國會議員指出股票交易是該法案的原因之一,但該法案的文本表明,某些加密貨幣的所有權也可以包括在禁令中。美國證券交易委員會和商品期貨交易委員會的成員都表示比特幣有資格作為一種商品,而一些人仍然不清楚以太坊的資產狀況。[2023/5/4 14:41:10]

DeFi,一般是指基于智能合約平臺構建的加密資產、金融類智能合約以及協議。今年DeFi憑借吸納百億資金入場備受矚目,但與此同時也出現了一群被戲稱為“科學家”的人們依靠技術實力和知識門檻專薅DeFi的羊毛,利用DeFi進行套利獲取巨額收益。在DeFi的世界里,這群“科學家”們把“借款、轉移、還款”都編程到一筆發往智能合約的交易里,以此來實現以極低甚至零成本在各個DeFi協議之間進行高額套利,或者利用可組合性的漏洞進行攻擊盜取巨額資金。目前利用DeFi進行套利主要有兩種模式:1.利用加密貨幣產品之間的利率差進行獲利DeFi市場中的利率都比較高,原因主要有以下兩個:(1)去中心化的DeFi協議仍然處于早期發展階段,加密貨幣的高波動性、超額抵押、智能合約風險等因素都將促使DeFi協議為用戶提供高利率的風險彌補。由于同樣的資金存放在傳統金融借貸市場中會承受較低的風險,所以DeFi市場需要利用高利率來彌補去中心化機制所帶給投資者的風險敞口。(2)高利率有助于一些新型的DeFi項目進行冷啟動。目前,具有流動性挖礦的成熟DeFi市場吸納了大部分的資金,一些新型DeFi項目由于暫未發行治理代幣而無法提供流動性激勵,導致項目早期流動性較差,因此高利率可以很好地吸引用戶以達到引流作用,但與此同時也會出現DeFi市場間的套利機會。套利者可以在一個DeFi市場中以低利率借款,并在另一個DeFi市場中存入資產以獲取高利率。當平臺之間的借款和存款利率存在差值且存款利率高于借款利率時,套利機會就會出現。2.利用智能合約的漏洞以及閃電貸的特性進行套利閃電貸是指利用區塊鏈交易可回滾的特性實現的一種貸款方式。用戶無需抵押即可以極低的利息,借貸出一筆巨額的資金。用戶只需要在同一筆“交易”中歸還借出的款項和利息即可。閃電貸本身不是漏洞,閃電貸攻擊指利用閃電貸和其他漏洞結合進行的攻擊,多為套利、操縱價格等攻擊。開發人員可以從支持閃電貸的DeFi項目儲備池中借錢,條件是在交易結束之前將資金返還到資金池中。如果這種資金未能及時返回儲備庫,則交易將被撤回從而確保儲備池的安全。雖然閃電貸攻擊的方法和范圍不盡相同,但它們所攻擊的協議都有一個共同點,那就是只從某一個去中心化交易所獲取價格數據。比如閃電貸攻擊的受害者是某個DeFi借貸協議,該協議從某一個去中心化交易所獲取喂價數據。操作步驟如下:(1)從一個支持閃電貸的協議中借入大量通證A;(2)在某個去中心化交易所上將通證A換成通證B;(3)將兌換的通證B放在另一個DeFi協議中作抵押,而上一步操作中的去中心化交易所是這個DeFi協議唯一的價格數據源;由于價格數據被操縱,因此可以借到高于正常量的通證A;(4)用其中一部分通證A還之前閃電貸的貸款,然后剩余的通證放進自己的口袋,以此不當獲利;(5)隨著去中心化交易所中通證A和通證B的價格通過套利交易逐漸回到真實水平,DeFi協議會出現債務價值超過抵押品價值的情況,這將直接損害其他正常用戶的利益。目前加密貨幣市場中已經出現了多起由于智能合約漏洞引發的黑客問題導致用戶資金受到威脅,因此大筆資金通過智能合約的方式進行借貸需要DeFi擁有極高的安全性。閃電貸通過區塊鏈被創造,它作為一種新的、不存在于傳統金融世界的借貸模式,極大豐富了DeFi的應用場景,并降低了市場準入門檻,具有創新意義,但它不應成為黑客獲取利益的幫兇。雖然近期頻頻有黑客利用閃電貸的資金對DeFi協議發起攻擊,但閃電貸本身作為一種金融工具時,其價值不應被忽視。閃電貸本身不產生風險漏洞,它只是暴露了DeFi協議已經存在的風險漏洞,即因預言機傳達失真數據而帶來的價格操縱風險。一個金融市場中的套利行為本身有它積極的影響,它可以為市場中資產標的進行合理定價。在數字貨幣市場中,加密貨幣的價格往往由于區域政策、合作利好等相關信息變動顯著,套利者可以通過套利機制將市場各個交易所中的加密貨幣價格進行準確定位,達到當下供給需求平衡的狀態。同時,套利機制可以使整體加密貨幣市場更加規范化、透明化,使每個交易所都能反饋出真實的資產價格走勢。套利行為還能促進全球用戶對于加密資產的共識,加快整個行業的未來發展。但是,DeFi協議開發者理應在頻頻發生的多起由于智能合約漏洞引發的黑客事件中吸取教訓。項目開發者在業務邏輯設計時,應當充分考慮這類極端情況,同時應找專業的審計機構進行審計和研究,以防范各種可能的風險。而對于參與者們,烤仔只有那一句永恒的囑咐——投資有風險,入市需謹慎。

以太坊基金會:Shapella升級將于北京時間4月13日6:27:35激活:3月28日消息,以太坊基金會宣布,將于北京時間4月13日6:27:35激活Shapella升級。[2023/3/29 13:31:56]

MakerDAO設立Defense Fund提案獲投票通過:2月1日消息,MakerDAO 社區投票通過了設立特殊基金 Defense Fund 以用于支付法律辯護費用的提案,該基金提供 500 萬枚 DAI 的緊急預算用于在針對 MakerDAO 的特定參與者采取法律或監管行動時支付法律辯護費用。該基金將由一個由保險和風險管理專家組成的外部技術委員會管理,委員會將根據申請提出批準或拒絕支付的建議。[2023/2/1 11:41:30]

Axie Infinity:Axie Discord 主服務器上的 Mee6 機器人遭攻擊發布虛假鑄造鏈接,提醒用戶注意風險:5月18日消息,Axie Infinity 發推稱,安裝在 Axie Discord 主服務器上的 Mee6 bot 遭到破壞。攻擊者使用該機器人向一個虛假的 Jiho 帳戶添加權限,然后該帳戶發布了一個關于鑄造虛假公告。公告已被刪除,但某些用戶可能仍會看到該消息,直到重新啟動 Discord。Axie Infinity 已經從服務器中刪除了 Mee6 機器人,提醒用戶主要公告將同時在 Twitter、Discord、Substack 和 Facebook 上公布。[2022/5/18 3:24:19]

Tags:DEFEFIDEFI加密貨幣xDEF2幣DeFi WizardDeFinomics加密貨幣-新浪財經

狗狗幣
為什么比特幣短期看跌趨勢可能已經出現_Polygon:polygon幣價格

編者按:本文來自萌眼財經,Odaily星球日報經授權轉載。隨著比特幣價格接近20000美元的趨勢,鏈上分析師認為,不可避免的修正可能很快就會到來.

1900/1/1 0:00:00
隨著比特幣價格穩定在18000美元以上,比特幣挖礦難度接近歷史最高_比特幣:ASS

編者按:本文來自Cointelegraph中文,作者:TURNERWRIGHT,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
谷燕西:區塊鏈與穩定幣或改變銀行業務形式_穩定幣:區塊鏈域名選什么后綴好

在互聯網時期,比爾蓋茨有一句流傳非常廣的名言。大意就是我們會繼續需要銀行業務,但是未必是通過銀行來做銀行業務。互聯網時期的金融行業中的應用發展也確實在某種程度上證明了他這個觀點.

1900/1/1 0:00:00
Chainlink預言機如何保障Curve流動性池安全?_CHA:Alchemist DeFi Aurum

隨著DeFi協議的鎖倉量不斷上升,黑客抓住各種安全漏洞發起惡意攻擊的誘惑也越來越大。今年我們在博客上發過一篇名為《DeFi智能合約數據質量的重要性》的文章,文章中提到DeFi目前最大的安全漏洞在.

1900/1/1 0:00:00
USDT灰產調查:販、網賭、洗錢_USD:CUSDT

USDT等加密貨幣,正在變成收取資的“綠色通道”。“相比于微信支付寶轉賬,加密貨幣的流動沒有可完全證實的信息可查。買賣雙方都安全。“一涉人士在自建博客網站上寫道.

1900/1/1 0:00:00
ETH衍生品各方混戰 , 中心化、去中心化方案誰更勝一籌?_ETH:ETHV幣

WhilePhase0marksthestartofETHstaking,RocketPoolwillbechoosingtolaunchfollowingtheimplementationof.

1900/1/1 0:00:00
ads