加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

全面解讀閃電貸:為什么閃電攻擊將成為新常態?_區塊鏈:什么是以太坊幣交易

Author:

Time:1900/1/1 0:00:00

編者按:本文來自鏈聞,撰文:HaseebQureshi,加密貨幣風投機構DragonflyCapital管理合伙人,Odaily星球日報經授權轉載。閃電貸最近成為外界關注的熱點。兩名黑客利用閃電貸攻擊了保證金交易協議bZx,第一起套利金額為35萬美元,之后又搞了一起套利金額60萬美元的翻版攻擊。如果用一個詞來形容這些攻擊的話,可以說是「壯觀」。每次攻擊中身無分文的黑客貸到價值數十萬美元的ETH,分散利用一系列鏈上協議的漏洞進行了一通操作,從所盜竊的資產中提走了數十萬美元,并成功堵上巨額ETH貸款窟窿。所有這一切在瞬間完成,就是說,在一個以太坊區塊中完成。

CarmineInfantino設計的漫畫封面我們不清楚這些攻擊者是誰、身居何處。兩人都是空手套白狼,攻擊完成賺到數十萬美元,且沒有留下任何暴露身份的痕跡。剛爆出這些攻擊消息時,我正在仔細思考閃電貸及DeFi的安全性問題。我認為這個問題值得公共討論。簡單說一下我的觀點:我認為閃電貸存在重大安全威脅。但閃電貸不會消失,我們需要認真考慮未來它對DeFi的安全性影響。什么是閃電貸?

閃電貸概念最早由Marble協議于2018年提出。Marble自詡「智能合約銀行」,其產品是很簡單、但很具智慧的DeFi創新:通過智能化合約完成的零風險貸款。

貸款如何能零風險?傳統信貸機構放貸時面臨兩種風險。第一種是違約風險:如果貸款人攜款潛逃,信貸機構會吞下苦果。但第二種是流動性風險:如果一家信貸機構在錯誤的時間放出太多貸款,或者借款人未及時還款,信貸機構可能意外遭遇流動性緊張,無法履行自己的義務。閃電貸減緩了這兩種傳統放貸風險。閃電貸的基本工作原理是:在單筆交易中貸出借款人需要的金額。然而在交易結束時,借款人必須償還不少于貸款金額的數目。如果借款人做不到,貸款機構會自動回滾交易。簡單講,閃電貸是自動的:如果借款人不能償還貸款,整個交易就會回滾,就像貸款根本沒發生一樣。這樣的事情只有在區塊鏈中才能發生。比如你不能在BitMEX交易所進行閃電貸。因為智能合約平臺一次性處理交易,所以一次交易的所有元素是批處理執行的。交易執行時,可以把這個想成交易的「凍結時間」。而在中心化交易所中可能會出現激烈的競爭,可能導致你的交易部分失敗;在區塊鏈中,可以保障你的所有代碼一行行逐次執行。所以簡單考慮一下這里面的經濟機制。傳統信貸機構因為兩個元素而賺到回報:他們承擔的風險,以及他們所貸出資金的機會成本。閃電貸則不同。閃電貸利率上沒有風險,也沒有機會成本!因為借款人在閃電貸過程中「凍結了時間」,所以在其他任何人眼中,該系統的資金從來沒有風險,從來沒有阻塞,因此你也賺不到利息。這意味著,成為閃電貸出借方感覺上不需要任何成本。這嚴重違反了直覺。所以均衡狀態下閃電貸的成本應該是多少?基本上講,閃電貸應該是沒有成本費用的。或者更準確的說,一筆很小的費用,能補償讓一筆資產進入可放貸狀態而添加的三行代碼。

智己汽車“原石谷”將全面開放 3億枚“原石”對應區塊鏈數據權益:金色財經報道,上汽集團旗下智己汽車7月12日晚宣布首創的“原石谷”即將全面開放,將前沿的區塊鏈技術首次應用于智能汽車行業,落實全球首創的“原石谷用戶數據權益計劃”,回饋用戶對于數據的貢獻。

基于從“信息互聯網”邁向“價值互聯網”新邏輯的解讀,智己汽車將前沿的區塊鏈技術首次應用于智能汽車行業,按照“原石谷用戶數據權益計劃”,通過3億枚“原石”,對應智己汽車創始價值的增長權益,用數據權益的方式回饋用戶對于數據的貢獻。

智己汽車研發人員介紹,作為技術底座,區塊鏈技術是“原石谷”的核心底層技術。智己將區塊鏈技術首度應用在汽車行業用戶數據對于企業價值鏈的貢獻場景上,通過創新型算法,科學評估用戶數據的價值并進行確權。[2022/7/13 2:10:34]

來自0x研發人員RemcoBloemen閃電貸不能收取傳統意義上的利息,因為貸款的持續時間為0,。當然,如果任何放貸機構收取更高的利息,將會被利息更低的其他競爭對手碾壓。閃電貸讓資金成為真正的商品。這種競爭到頭來不可避免的將成本壓低到0或者金額極小。dYdX目前閃電貸手續費為0。而AAVE收取本金的0.09%作為利息。我估計這種情況不會持續下去,實際上AAVE社區已經開始呼吁0利息。閃電貸有什么用?

閃電貸最初的營銷標簽是主要用于套利交易。Marble的亮相聲明表示:「閃電貸可以幫助交易者從Marble銀行貸款,在一家去中心化交易所DEX中買幣,然后在另一家DEX以較高價格賣出代幣,一筆自動化交易就可以讓您將套利收益收入囊中。」而現實確實如此——從金額上講,我們目前看到的多數閃電貸都被用于此類套利交易。

Bitget發布11月運營大事記 本月全面開放API合約接口:據官方消息,Bitget今日發布11月運營大事記。數據顯示,平臺累計注冊用戶99.1萬,日均合約交易用戶5826人。本月Bitget正式登陸CMC、CoinGecko衍生品交易所排行榜,24H全網成交量達19.5億美金,永續合約流動性穩居行業前五。

產品方面,本月全面開放合約API接口,同時可支持交易員用API帶單。為完善風控管理,平臺對提幣額度進行了調整,實名認證用戶可獲得更高提幣權限。

跟單方面,截止目前,累計入駐交易員突破1600人,累計跟單筆數超過94萬,較上月增長36.1%。本月李佛莫爾蟬聯兩期明星交易員,帶單總盈利達28200.72USDT。

本月用戶福利力度持續加大,感恩節用戶交易可返高達26%手續費。另外,用戶在APP首次跟單即可領取50USDT體驗金。[2020/12/1 22:42:01]

AAVE的閃電貸用途,來源:AAVE但金額還很小。AAVE自成立以來發起的閃電貸金額才剛剛超過1萬美元。與套利交易規模和DeFi市場流動性相比,不過九牛一毛。這主要是因為多數套利交易是由運行復雜機器人的競爭性套利者完成的。他們進行鏈上優先gas拍賣,然后利用GasToken來優化交易費。這一市場競爭非常激烈,他們很樂意在賬面上保留部分代幣來優化利潤。另一方面,從AAVE借款的成本約為8萬gas,并收取本金0.09%,對利潤微薄的套利競爭而言,這一成本過高。實際上多數AAVE套利交易中,借款人給貸款池支付的手續費多過其套利收益。長期來看,除非是某些特殊情況,否則套利者不太可能使用閃電貸。事實證明,閃電貸在DeFi中還有其他更引人注目的用例。一個例子是為貸款再融資。例如,假設我有一個Maker抵押債倉,在里面中鎖定了100美元的ETH,我從其中借了40個DAI幣的貸款,因此減去債務后我在CDP中的凈頭寸為60美元。假設我想再融資放在Compound換取更高的利率,通常我需要回購40DAI才能關閉CDP,這需要一些前期資金。相反我可以利用閃電貸借入40個DAI來關閉CDP,將60美元的未鎖定ETH存入Compound,通過Uniswap將其余的40美元ETH轉換回DAI,并用來償還閃電貸。一氣呵成,自動化0成本再融資。這太神奇了!這就是資本樂高運行的偉大范例。1x.ag實際上搭建了一個保證金交易聚合應用,利用閃電貸自動實現這類交易。盡管這些很酷,但bZx攻擊者讓我們清楚看到,閃電貸能帶來多大的傷害。閃電攻擊對安全的重大意義

動態 | 日照大商中心數據已全面接入日照港物流區塊鏈平臺:金色財經報道,目前,日照大商中心交易數據、倉單數據、港口數據已全面接入日照港物流區塊鏈平臺。未來,大商中心將進一步促進產融結合,推動區塊鏈與供應鏈“雙鏈融合”,完善以港口為核心的產業鏈體系。

據悉,山東港口日照港與魯證經貿有限公司、中國鐵路物資股份有限公司、山東萬寶物流有限公司等多家企業共同出資設立的日照大宗商品交易中心有限公司(簡稱“日照大商中心”),是山東省唯一同時具有港口背景和金融屬性的大宗商品交易場所。自成立以來,日照大商中心一直致力于推動“基于港區貨物的融資業務”,實現了“區塊鏈+供應鏈”雙鏈融合,并通過創新貿易新業態新模式,為自貿區貨物提供立體化、全鏈域服務。[2019/12/9]

我越來越相信閃電貸真正解鎖的是閃電攻擊——利用閃電貸進行高額資金攻擊。近期的bZx黑客攻擊讓我們管中窺豹,我懷疑這僅僅是個開頭而已。為何閃電貸成為攻擊者的利器?主要有兩個原因。很多黑客攻擊需要大量的前置資金。如果你1000萬美元的ETH取得正收益,那應該不是什么套利交易。短期貸款可以最大程度地減少攻擊者的污點。如果我有一個如何以1000萬美元的ETH操縱Oracle幣的想法,即使我擁有那么多的ETH,我可能也不想用自己的資金來冒險。我的ETH可能沾染污點,交易所可能會拒絕我的存款,洗錢難度大大增加。有風險!但是,如果我用閃電貸貸出1000萬美元,誰在乎呢?各方都會有收益。我的貸款來源——dYdX的抵押池不會被污染,dYdX的污染某種程度上消失了。您可能不喜歡,但交易所審查制度如今已成為區塊鏈安全模式的一部分——相當模糊且中心化。但我認為對一個攻擊者而言,閃電貸實質上改變了這種風險。在比特幣白皮書中,中本聰發出了著名的宣言:比特幣不會遭受安全攻擊,因為:「應該會發現按照規則參與的話比毀壞系統更有利可圖,而毀壞系統就是毀壞他自己的資產。」而在閃電貸中,攻擊者與閃電貸游戲絲毫沒有利益捆綁。閃電貸從本質上改變了攻擊者的風險。另外請記住,閃電貸可以累積!鑒于gas的限制,你可以在一筆交易中從所有能放貸的資金池中貸款,然后將所有資金捆綁到一個可攻擊合約中。現在攻擊者手里有了5000萬美元的重磅大錘,只要砸出重金,任何弱不禁風的鏈上協議都承受不了其巨大沖擊。這太可怕了。當然攻擊者不是僅憑大量金錢就可以對這些協議實施攻擊。如果所有DeFi堆棧都像它聲稱的那樣安全,這應該不是個問題——面對富鯨哪種協議是不安全的?您可能會說,這些協議沒有考慮到那種情況,僅僅是疏忽了。不過據稱每小時用不到20萬美元的資金就可以讓以太坊本身遭受51%攻擊**。這個金額也并不很大!如果以太坊自身的安全模式僅僅能防止資金匱乏的攻擊者,我們何必那么苛責那些防不住1000萬美元攻擊的DeFi應用呢?如何減緩閃電攻擊?

金色晨訊 | SEC 2019 年將重點檢查數字資產 京東區塊鏈服務平臺正式全面開放:1.SEC 公布 2019 年合規重點檢查方向數字資產為其中之一。

2.烏茲別克斯坦將區塊鏈用于地籍及房產登記。

3.印度政府或通過有力的監管使加密貨幣合法化。

4.網信辦:金融信息服務提供者不得散布虛假金融信息。

5.韓國金融委員會主席:明年1月之內將發布ICO調查情況。

6.V神:不相信 PoW BSV是徹頭徹尾的災難。

7.中糧集團與多家公司合作利用區塊鏈等技術提高農業效率。

8.巴哈馬央行財報數據顯示:Tether并未在巴哈馬的銀行擁有美元儲備。

9.京東區塊鏈服務平臺正式全面開放。[2018/12/27]

假設你是一家衍生品平臺,想避免受到閃電攻擊。自然會問:我是否能檢測出與我交易的用戶是不是在用閃電貸?簡單的答案是:你做不到。以太坊的EVM設計方式不允許你從任何其他合同中讀取存儲。因此,如果你想知道另一個合同中發生的事情,只能通過該合同告訴你。如果你想知道客戶是否正在使用閃電貸合同,則必須詢問該閃電貸合同。目前許多放貸協議都無法對此類查詢做出回應。即使你的衍生產品平臺試圖檢查已知的閃電貸協議,協議平臺使用代理合同或通過跨閃電貸協議鏈接,也很容易將任何此類查詢誤導。通常根本無法判斷用戶是否正在使用閃電貸。短短的一秒鐘,如果有人要用1000萬美元敲開你家交易平臺的大門,無法判斷這是他們自己的資金,還是一筆閃電貸。所以我們要防范閃電攻擊,真正的選擇是什么?我想到三種方法。說服閃電貸協議停止提供這種服務開個玩笑而已。伙計們,這可是加密世界啊!嚴肅地講,試圖讓貸款池停止提供閃電貸,就像試圖阻止噪聲污染一樣,這是公共領域的經典悲劇。提供閃電貸款符合每個協議的利益,并且其用戶有合理原因的希望使用此功能。因此,我們可以放心地消除這一選項。閃電貸不會消失。迫使關鍵交易跨越兩個區塊要記住,閃電貸允許你在單筆交易時間內借入資本。如果一個資本密集型交易需要跨越至少兩個區塊,用戶需要至少在兩個區塊時間段取出貸款,閃電攻擊就成為不可能。顯然這是以大幅犧牲用戶體驗下進行的:這意味著交易將不再是同步的,很像commit/reveal方案。用戶體驗很糟糕,需要謹慎三思。很多開發者抱怨智能合約異步操作,例如與Layer2或以太坊2.0的跨片通信協議的互動。具有諷刺意味的是,異步性使得這些系統更安全,避免遭遇閃電攻擊。因為攻擊者無法在一次自動化交易中同步完成主鏈與Layer2或分片的操作。這意味著ETH2.0分片或Layer2DEX不會遭遇閃電攻擊。要求提供鏈上證明,證明完成閃電貸后用戶的賬戶余額未出現變化如果可以通過某種方法來檢測用戶的實際余額是多少,我們就可以戰勝閃電攻擊。在原生EVM機制中無法執行此操作,但是可以對其進行修改。你要做的是:在用戶與你的協議進行交互之前,你要求其提供Merkle證明,證明在上一個區塊末尾時他們有足夠的余額來償還當前使用的資金。你需要針對每個區塊中的每個用戶跟蹤此情況。這種方法一定程度上是奏效的。當然,它還很粗糙,有一些問題:驗證這些鏈上證據在鏈上的成本極高,思維正常的用戶沒有人愿意提供這類證明,并為整個過程支付gas費用。另外用戶完全可能有合法合理的理由,在上個區塊想調整其余額。所以,盡管這種方法理論上有些作用,它不是一種可行的解決方案。很清楚,我上面所舉的三種解決方案都不夠理想。我相信面對閃電攻擊沒有真正好的解決辦法。但有兩個特別應用確實能減緩閃電攻擊:市場價預言機和治理代幣。像Uniswap或OasisDEX等市場價預言機,由于閃電攻擊的可能性,你任何情況下不能把當前市價中位數當成喂價。攻擊者只需要一筆交易就能輕而易舉地大幅改變市價中位數,讓預言機失靈。對此最好的解決方案是通過時間加權平均價格或成交量加權平均價格計算上一批X區塊的加權平均數。Uniswapv2會自帶這一功能;經濟學家MaxWolff的著作《Polaris》為其它協議提供了一種通用方法。鏈上治理則是則會帶來一連串令人頭疼的問題。鏈上治理通常由治理代幣持幣人按權重投票決定。但如果這種治理代幣進入某一貸款池,任何攻擊者可以偷走大量選票,得到自己想要的結果。當然,多數治理協議要求這些治理代幣在投票期間鎖定,這讓閃電攻擊無計可施。但有些治理協議并非如此,例如「CarbonVote」和Maker的行政投票。在閃電攻擊的陰影之下,這些治理機制完全可能被攻陷。理想情況下,你不想讓治理代幣進入閃電貸款池。但這并非由發幣者決定,它是由市場決定的。因此,所有治理行動應該要求代幣鎖定期,以阻止閃電襲擊。更關鍵的是,所有治理代幣必須有時間鎖。時間鎖迫使所有的執行決策在生效前都有一段等候期。。如果遭遇意料之外的治理攻擊,這一機制讓系統有了容錯時間。甚至盡管MKR目前大量未進入閃電貸資金池,近期已經有人稱MakerDAO很容易遭遇此類攻擊。MakerDAO當前正加快修復。這些有什么深遠意義?

行情 | 加密貨幣市場反彈 主流幣種全面上漲:今晨,加密貨幣市場反彈,火幣pro平臺比特幣半小時內上漲約300美元,目前主流幣種全面上漲。其中,BTC報6241.87美元,漲幅為5.73%;BCH報725.07美元,漲幅為9.17%;ETH報434.05美元,漲幅為4.78%。[2018/6/30]

我認為bZx攻擊事件徹底改變了局面。這不會是最后一起閃電攻擊事件。第二起bZx攻擊只是第一次翻版而已,我懷疑未來幾個月還有一波類似攻擊。現在全球各個角落有數千名聰明的青少年對所有這些DeFi樂高虎視眈眈,用顯微鏡尋找任何漏洞,試圖找出發動閃電攻擊的辦法。如果攻陷一個漏洞,他們也會賺到數十萬美元,對全球多數國家和地區而言,這一數字足以改變人生。對各家DeFi協議而言,閃電攻擊意味著安全模式已經改變。在bZx黑客事件后如果再遭到類似攻擊,會和DAO黑客事件后再遭重入式攻擊一樣,會成為加密世界的笑話。不過你可以預期,這是會出現的。最后,這些事件讓我去思考加密世界的古老概念:礦工可提取價值。MEV指礦工可以從一個區塊鏈系統中可以提取的總價值,包括出塊獎勵和費用,但也包括其它不那么正大光明的收益,例如交易重新排序或向塊中插入流氓交易。從根本上講,應該將所有這些閃電攻擊都視為海量資金內存池中的單筆交易。例如,第二次bZx攻擊在單筆交易中產生了價值64.5萬美元的ETH利潤。如果你是礦工,并且打算開始開采新區塊,請想象一下查看先前區塊的交易并對自己說:「這算怎么回事兒?上一個區塊中包含64.5萬美元的利潤,我為什么要開采一個只換來500美元的新區塊?」更符合你利益的做法不是繼續開采新區塊,而是試圖重寫歷史,讓你自己成為那個閃電攻擊者。想一下:這一筆交易就相當于以太坊誠實挖礦四個小時的所得!這與擁有一個包含正常塊獎勵1000倍的超級塊是同樣的原理——這種超級塊帶來的合理結果是大批礦工瘋狂爭奪,為自己竊取那個超級塊。

模擬展示礦工們的激烈爭奪均衡狀態下,所有閃電攻擊應該最終被礦工提取價值。。諷刺的是,這會成為阻止閃電攻擊的一個重要元素,因為會讓攻擊黑客無法將竊取成果折現。也許最終礦工們會開始私下懸賞攻擊代碼,為黑客提供線人費。技術上講,利用零知識認證是可以在無需信任的情況下完成。在今天這還都是科幻。礦工們明顯沒有這么做。他們為什么沒這么干?有無數的理由。首先它很難,需要大量工作,EVM很難模擬,風險很高,存在漏洞可能造成資金流失或孤塊,會招致口誅筆伐,整個礦池會遭遇公關危機,可能被列為「以太坊公敵」。在目前情況下,礦工如果這么做更有可能帶來更多經濟損失和孤塊,而不是拿到這筆錢。在目前這是真的,但這種情況不會持續很久。這給以太坊帶來了一個新的動力去盡快過渡到以太坊2.0。以太坊上的DeFi盡管令人驚嘆且令人著迷,但毫無疑問是漏洞百出的。DeFi在PoW鏈上不穩定,因為所有高價值交易都會由礦工重新分配。對于大規模運營的系統,你需要的是不可改變性——礦工不能重寫已確認的區塊。這將會保護之前的區塊不會被重新分配。另外,如果DeFi協議存在于單獨的以太坊2.0分片上,它們不會在閃電攻擊面前弱不禁風。依據我的估計,閃電攻擊帶給我們很小、但很有用的一個提醒是,這僅僅是個開局。我們還沒有擁有出色的架構來構建未來的金融系統。目前閃電貸款會是新常態。也許在長遠來看,以太坊上的所有資產都可以被投入閃電貸。交易所所持有的所有抵押物,Uniswap的抵押物,也許所有ERC-20標準代幣。誰知道呢,不過是幾行代碼的事兒。

Tags:區塊鏈ETHDEFI以太坊區塊鏈運用的技術中不包括哪一項Ac/sLFETH價格Defi Shopping Stake什么是以太坊幣交易

幣贏交易所
如何通過區塊瀏覽器查詢鏈上活動?_TOKEN:以太坊

對于區塊鏈領域的投資者來說,無論是參與交易所的IEO還是進行代幣投資,都無可避免的會遇到一個問題:我想投資的資產究竟價值幾何?哪里可以看到代幣的分配情況呢?這種時候.

1900/1/1 0:00:00
灰度增持比特幣至28.5萬個,華爾街資本正“涌入”幣市?_比特幣:加密貨幣

作為全球oldmoney與游資聚集地,華爾街對加密貨幣任何態度轉變,都會對市場產生巨大影響。目前,這樣的轉變風潮正由灰度投資引領.

1900/1/1 0:00:00
星球前線 | Deribit新一輪融資釋放10%股份,估值上億美元_BIT:CAP

Odaily星球日報譯者|AzumaTheBlock從某位相關投資者處獲悉,巴拿馬加密貨幣衍生品交易所Deribit已完成由QCPCapital和ThreeArrowsCapital領投的新一輪.

1900/1/1 0:00:00
HashKey Capital:一文讀懂比特幣閃電網絡機制、?進展與挑戰_BOB:嫩模幣空投的BOBA代幣發行量

編者按:本文來自鏈聞,撰文:錢柏均,就職于HashKeyCapitalResearch,審校:鄒傳偉,萬向區塊鏈、PlatON首席經濟學家,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
新型冠狀病是比特幣牛市的無形推手嗎?_比特幣:USDT

編者按:本文來自星傳媒STARMEDIA,作者:雪穗,Odaily星球日報經授權轉載。最近有兩個事是大家比較關注的,一個當屬全球矚目的新型冠狀病肺炎,另一個是2月9日比特幣突破1萬美元關口.

1900/1/1 0:00:00
美聯儲緊急降息引市場劇震,比特幣更加值得期待_比特幣:哪種穩定幣最安全

編者按:本文來自中本小蔥,Odaily星球日報經授權發布。北京時間昨日(3月3日)晚23:00,美聯儲突然宣布下調基準利率50基點,將超額準備金率下調50個基點至1.1%.

1900/1/1 0:00:00
ads