閃電貸攻擊頻發，黑客「空手套」DeFi_DEFI:crv幣最新消息

編者按：本文來自蜂巢財經News，作者：凱爾，Odaily星球日報經授權轉載。半個月內，發生在DeFi協議上的閃電貸攻擊一起接著一起，閃電貸成了黑客借來生「金蛋」的雞。進入11月，ValueDeFi、起源協議OriginProtocol、Akropolis和CheeseBank都遭到了閃電貸攻擊，總損失額超過1000萬美元。ValueDeFi的前身是被稱為「五姨夫」的YFV，它的損失超過540萬美元，這還是黑客「歸還」了200萬美元后的結果。頗有戲劇性的是，在被攻擊前一天，該團隊曾公開表示Value是最安全的DeFi項目，隨后便被黑客「光顧」。成都鏈安解釋，「閃電貸攻擊」指利用閃電貸和其他漏洞結合后，進行套利和操縱價格等攻擊。「閃電貸本身不是漏洞，不過作惡者可以利用它，以極低的成本撬動巨量資金，在多個協議間進行價格操縱或套利。」區塊鏈開發者小島美奈子認為，黑客能輕易操縱價格的原因是DeFi協議沒有采用安全的預言機策略，即當預言機傳達數據失真時，攻擊便極易發生。另有行業人士點出本質，DeFi協議在實現本身的功能時，采用單一市場價格反饋的設計極其危險。「因為是新的事物，很多項目在設計時并未充分考慮到這方面風險。」成都鏈安提示，項目方在業務邏輯設計時，應當考慮這類極端情況，必要時應找專業的審計機構審計。4天內兩DeFi協議遭「閃電貸攻擊」

一個MEV機器人因閃電貸回調損失約15萬美元:10月19日消息，PeckShield發推稱，合約地址開頭為0xf6d7的MEV機器人因閃電貸回調損失約15萬美元，攻擊者地址為smithbot.eth。該機器人的開發者通過鏈上信息表示可以向攻擊者提供損失的一半作為賞金。[2022/10/20 16:30:39]

11月17日，起源協議OriginProtocol的穩定幣OUSD遭閃電貸攻擊，價格最低跌至0.13美元。此次攻擊使得OriginProtocol共計損失了225萬美元的DAI和100萬美元的ETH。就在這起安全事故的3天前，DeFi協議ValueDeFi也被黑客「光顧」，里面也涉及到閃電貸這一工具。11月14日23點36分，ValueDeFi的MultiStables機槍池遭受黑客攻擊，損失將近740萬美金的DAI。此前，ValueDeFi曾在社交平臺宣布自己是最安全的DeFi，結果立馬被打臉。黑客在完成攻擊后還返還了200萬美元，并以「doyoureallyknowflashloan」的提問發出嘲諷。

安全團隊：EtnProduct項目遭受閃電貸攻擊:8月5日，來自成都鏈安社區成員情報顯示，EtnProduct項目遭受閃電貸攻擊。成都鏈安安全團隊分析發現：攻擊者先利用閃電貸借入9,400個USDT，隨后攻擊者購買了一個NFT并把NFT掛入EtnProduct項目，由于在掛單時添加的流動性的代幣數量固定，以及把憑證幣發送給了調用者，攻擊者再銷毀憑證幣套出了流動性里606,091.527的U代幣，并調用UMarket項目的saleU函數把11,253.735個U代幣一比一轉換為USDT后歸還閃電貸，總共獲利約3,074美元和一個價值7,380美元的NFT，目前獲利資金仍然存放于攻擊者地址（0xde703797fe9219b0485fb31eda627aa182b1601e）上。后續成都鏈安鏈上資金追蹤平臺“鏈必追”將對此地址進行持續監控和追蹤。[2022/8/5 12:04:20]

安全公司：APE空投遭閃電貸攻擊，攻擊者套利約60564枚APE:3月18日消息，BlockSec告警系統檢測到APE空投遭受閃電貸攻擊，攻擊者套利了約60564枚APE代幣，價值約40萬美元。攻擊者首先借用BAYC代幣flashloan并贖回BAYC NFTs。然后BAYC NFTs被用于在Airdrop Grapes Token合約（0x025c6da5bd0e6a5dd1350fda9e3b6a614b205a1f）中索賠獎勵。在獲得獎勵后，NFT將被歸還并用于鑄造BAYC代幣，這些代幣隨后將用于償還閃電貸款。[2022/3/18 14:04:48]

ValueDeFi的MultiStables機槍池正常頁面閃電貸似乎成了黑客近來最得心應手的工具。今年以來，多起DeFi的安全事故都被安全機構指出利用了「閃電貸攻擊」，受害項目方包括bZx、Balaner、Havest、Akropolis、CheeseBank等，以及最近的ValueDeFi和OriginProtocol。「開發者還沒有了解以太坊的特性，」區塊鏈開發者小島美奈子認為，頻頻發生閃電貸攻擊是因為項目開發者對此缺乏了解。閃電貸是什么？利用它的攻擊到底是怎么發生的？Jeff是區塊鏈安全公司PeckShied硅谷研發中心負責人，他對蜂巢財經介紹，區塊鏈上的閃電貸是一種「不需要抵押就可以借貸」的貸款方式，但貸方必須在同一區塊內還貸，否則這個交易就會失敗。所以閃電貸對借款平臺來說基本是零成本、零風險。而黑客就可以利用這樣的貸款方式，以很小的成本借出大筆資金，然后用這筆資金去造成一些數字資產的價格波動，再從中漁利。根據安全機構的梳理，我們可以清楚地從ValueDeFi的這起攻擊中，看到閃電貸攻擊的運作方式。當晚，黑客先通過Aave的閃電貸功能借來8萬枚ETH，緊接著通過UniswapV2上的閃電貸借來1.16億枚DAI。借來大把錢后，黑客開始在Curve和ValueDeFi上操縱價格進行套利。選擇這兩個協議，黑客是利用了它們之間的關聯——Curve上有USDC的兌換池，要想在ValueDeFi合成資產3CRV，也需要用到USDC。在Curve上，黑客主要是用閃電貸借來的錢抬高USDC的價格，一度讓這個美元穩定幣脫錨上漲至1.788美元。而在ValueDeFi上，黑客將一部分DAI存入該協議的機槍池中，鑄造出名為3CRV的合成資產。ValueDeFi機槍池合約中有3種合成資產，分別是3CRV、bCRV和cCRV，為了方便計價，該協議合約在鑄幣時會將bCRV、cCRV轉換成3CRV進行計價，轉換途徑需先將bCRV/cCRV換成USDC，再把USDC換成3CRV。問題就出在這里。由于ValueDeFi以Curve的價格作為預言機，而Curve上USDC的價格已經大幅上漲。因此，當攻擊者發起3CRV提現時，合約會照常將bCRV、cCRV轉換成以3CRV計價，但此時USDC/3CRV的價格被操作拉高，導致用bCRV、cCRV能兌換出更多的3CRV。黑客正是憑此完成了套利，在歸集資產、還完閃電貸后，空手套利740萬美元。簡單來說，整個過程中，閃電貸本身正常運行，但黑客先后利用Aave、UniswapV2的閃電貸功能借出一大筆錢，再通過Curve操縱USDC的價格，影響ValueDeFi的功能，鑄幣套利。預言機策略失當是風險源頭

幣安智能鏈上Belt Finance遭閃電貸攻擊 損失620萬美元資金:據官方消息，幣安智能鏈（BSC）上的 Belt Finance 遭遇閃電貸攻擊，損失 620 萬美元。

攻擊者利用閃電貸，通過 8 筆交易從 Belt Finance 協議中獲得超過 620 萬美元資金，并已將大部分資金轉換成 anyETH 并提取到以太坊。

此前消息，AMM 協議 Belt Finance 遭到閃電貸攻擊。[2021/5/30 22:55:58]

從ValueDeFi的失竊案例看，它被攻擊主要是由于預言機出了問題。實際上，被攻擊時只是Curve上的USDC價格出現了短暫偏差，其他市場的USDC價格并沒變。但由于ValueDeFi采用的是Curve現貨價格作為預言機，才導致了套利空間的出現。小島美奈子認為，防范閃電貸攻擊，需要協議開發者使用安全的預言機策略。但怎樣才算得上是安全的預言機策略？這正是目前開發者需要持續探索的難題。由于閃電貸攻擊頻頻發生，這個功能被一些人貼上了黑標簽。有人認為，閃電貸是危險的工具；還有人覺得，它只是讓協議的漏洞更早暴露出來，對協議的安全提升有益。Chainlink的CMOAdelynZhou便是帶著發展的眼光來看待閃電貸的兩面性。他認為，閃電貸的新奇之處在于，它可以讓世界上任何一個人短暫地成為資金充裕的交易者，當然，這也讓這個人具備了突然操縱市場的可能性。但本質上，「閃電貸攻擊」這個詞并沒有抓住問題的全部。閃電貸本身不是漏洞，它只是揭示了DeFi存在已久的系統性風險。AdelynZhou與小島美奈子的觀點一致，即閃電貸攻擊往往只是對價格預言機的攻擊，「DeFi生態系統中真正的系統性風險是圍繞著中心化的Oracle，而不是閃電貸。」因此，AdelynZhou認為，「閃電貸攻擊」這種說法分散了關注點，一些擁有數億美元TVL的DeFi協議仍然依賴于單一交易所的價格反饋Oracle，這才是導致價格容易被操縱的根源。這其實與一些中心化交易所合約市場被操縱的情況類似。去年5月，Bitstamp交易所BTC現貨價格閃崩，導致合約交易平臺Bitmex短時爆倉2萬個比特幣，時值1.5億美元。這是因為，Bitmex的BTC合約指數成分中采用了Bitstamp的BTC現貨價格，且權重達50%。而在OKEx的合約指數成分中，采用了4個以上的交易所現貨價格，且權重分散，因此受到的影響較小。這或許能給予DeFi開發者們一些啟示——要在價格預言機這一源頭上下功夫，才能避免因預言機傳達失真數據而帶來的價格操縱風險。Jeff則提供了另一種預防方案，他介紹，根據閃電貸的特性，借貸和取款都要在一個區塊內完成，所以對DeFi協議開發方來說，更穩妥的設計是不允許在同一個區塊內存款和取款，這樣試圖利用閃電貸的黑客便無計可施。作為一種新的、不存在于傳統金融世界的借貸模式，閃電貸通過區塊鏈被創造，頗有創新意義，但它不應成為黑客的幫兇。DeFi協議開發者理應在頻頻發生的「閃電貸攻擊」中吸取教訓。成都鏈安提示，項目方在業務邏輯設計時，應當考慮這類極端情況。如果對此不了解，應找專業的審計機構進行審計和研究，防范各種可能的風險。

閃電貸套利機器人在巨鯨交易中花費約4ETH套利8萬多USDC:8月11日消息，監控套利空間的閃電貸機器人花費約4ETH 的gas費從Uniswap上套利8 萬多USDC。由于有“巨鯨”在Uniswap上用約1800萬美金USDT一次性購買約40,000ETH （相關閱讀：以太坊巨鯨在Uniswap上將ETH價格推高至450美元），造成了Uniswap上ETH超10% 的溢價；閃電貸機器人監控到該套利空間，花費約4ETH的gas費從中套利8 萬多USDC。

該筆交易哈希為0x01afae47b0c98731b5d20c776e58bd8ce5c2c89ed4bd3f8727fad3ebf32e9481。從Etherscan顯示的交易細節可看出，該筆交易包含了包括借款和還款在內的6步操作，共發生了15筆代幣轉移。（PANews）[2020/8/11]

Tags：DEFIDEFEFICRVGDEFI幣DEFLY價格pefi幣在哪里可以交易crv幣最新消息

USDC