三天三次閃電貸攻擊 DeFi為何如此脆弱？_EFI:DEF

之前，起源協議OriginProtocol穩定幣OUSD被爆出遭到閃電貸攻擊，OriginProtocol共損失225萬美元的DAI和100萬美元的ETH。隨后不久，OriginProtocol創始人MatthewLiu發文公布OriginDollar閃電貸攻擊事件細節。

文中表示，此次閃電貸攻擊已造成約700萬美元損失，其中包括Origin以及創始人和員工存入的超過100萬美元資金。Origin團隊正在全力以赴確定漏洞原因，以及確定是否能夠收回資金，并強調，團隊不會離開，此次攻擊事件不是欺詐，也不是內部騙局，稱黑客技術卓絕，愿意聘請其為安全顧問，如果黑客全額歸還資金，將不對其進行追蹤也不采取法律措施。截止目前并沒有進一步進展。

Origin并特地提醒用戶，目前已取消了金庫存款，不要在Uniswap或Sushiswap上購買OUSD。Origin團隊也表示正在采取措施以追回資金，包括和交易所以及其他第三方合作，以此識別出黑客地址，對資金進行凍結。黑客使用TornadoCash和renBTC來洗錢和轉移資金，目前還有7137枚ETH和224.9萬枚DAI留在黑客錢包中。

Aerodrome TVL在三天內突破1.7億美元:金色財經報道，根據DefiLlama的數據，在8月29日推出后，Velodrome分叉協議Aerodrome的總鎖倉價值（TVL）已超過1.7億美元，Aerodrome的成功已將Base上DeFi協議的總TVL推至超過3.3億美元。

Aerodrome Finance團隊表示，其目標是成為“Base的中央流動性中心”。DefiLlama數據顯示，Base現在是第十大區塊鏈和第三大以太坊L2，僅次于Arbitrum和Optimism。[2023/9/1 13:10:25]

來源：medium

受到攻擊事件的影響，OUSD價格出現急跌，跌至0.13美元，同時Uniswap中OUSD流動性也從16日的35萬美元跌至12萬美元。

ProShares空頭比特幣ETF上市三天后成為美國第二大以比特幣為重點的基金:6月25日消息，Arcane Research分析師Vetle Lunde表示，ProShares空頭比特幣策略ETF BITI上市三天后成為美國第二大以比特幣為重點的基金。BITI旨在提供與比特幣相反的表現，這意味著如果BTC價格下跌1%（在扣除管理費用和支出之前），基金的投資者通過持有BTC衍生品將獲得1%的投資利潤，它于周二在紐約證券交易所開始交易。Lunde表示，BITI在周三和周四的資金流入強勁，管理的資產相當于929BTC，超過了Valkyrie的比特幣期貨ETF（840BTC），以及VanEck的比特幣期貨ETF（830BTC）。在美國上市的最大比特幣ETF是基于ProShares期貨的比特幣ETF (BITO)，其管理資產相當于31,000BTC，按當前價格計算為6.51億美元。[2022/6/25 1:30:32]

至于具體的攻擊手法，根據目前Origin團隊的分析，攻擊者是利用了一筆小額貸款和OUSD合同中的漏洞來啟動所謂的“變基”，在將SushiSwap和Uniswap上新產生的代幣交換為USDT之前，攻擊人為地夸大了協議中OUSD代幣的供應。

Tether過去三天增發了價值5.4億美元的USDT:據統計，隨著比特幣價格飆升至1.1萬美元以上，Tether在過去三天里增發了價值5.4億美元的USDT。Bitfinex和Tether首席技術官Paolo Ardoino在Twitter上解釋稱，這些交易是為了補充庫存，為更多的需求做準備：“請注意，這是已授權但未發行的交易，這意味著該金額將用作下一次發行請求的庫存。”（Decrypt）[2020/7/29]

在過去短短的三周時間里，這已經是第五個遭受閃電貸攻擊的DeFi項目，HarvestFinance、Akropolis、ValueDeFi和CheeseBank，損失均在百萬美元級別以上，大部分損失最終都是散戶在買單。那么閃電貸攻擊到底是什么？為什么DeFi總是遭受黑客攻擊？

公告：幣新交易挖礦前三天分紅改為ETH:幣新發布公告稱，6月15日12:00-6月17日24:00三天交易挖礦200%返利等值ETH，其他政策保持不變。持幣分紅政策保持不變。[2018/6/18]

閃電貸：迷人又危險

可能大部分用戶最早聽到閃電貸攻擊這個名詞，是在今年2月bZx遭受閃電貸攻擊，當時攻擊者僅用時13秒即套利36萬美元，雖然bZx通過adminkey限制了操縱人提現，使攻擊者無法真正套利，但自此之后“閃電貸”開始頻繁成為熱門話題，巨額的套利收益抓人眼球。

閃電貸FlashLoan隸屬DeFi生態，DeFi熱度全面起來之后，各種安全問題隨之而來，閃電貸就是一種常見的攻擊方式。閃電貸與傳統的DeFi借貸有很大的不同，傳統的DeFi借貸要求用戶在前期對貸款進行超額抵押，也導致資金利用率較低。而閃電貸則允許借款人無需抵押資產即可實現借貸，只要求借款人必須在同一個區塊中償還即可，否則就會被收回，整個交易回滾，閃電貸也不會發生。

閃電貸在極大提高資金利用率的同時埋下了安全隱患。一筆鏈上交易可以做很多事情，使得用戶可以在借款和還款間加入其它鏈上操作，這就存在了作惡的空間，很多用戶惡意利用閃電貸借入、交換、存入并再次借入大量的Token，人為地在DEX里操縱Token價格。這出現了目前常見的閃電貸攻擊。

有人曾這樣評價閃電貸，“閃電貸之于DeFi，就是一個核彈，而且開關擺在廣場上，它的危險程度用PoS類比，相當于任何人可以通過付利息的方式來借用全網Staking進行51%攻擊。”試想任何一個普通用戶分無分文卻可以控制巨額資金，空手套白狼，誰人不心動，這或許是只有區塊鏈才能帶來的的新奇金融世界。

但是有一點需要表明的是，用戶利用閃電貸進行的一系列套利行為從交易的本身來講是被允許的。技術沒有對錯，閃電貸只是一種工具，如果錯了那么就是因為使用工具的人。

DeFi：新奇又脆弱

閃電貸攻擊自bZx攻擊事件之后頻繁發生，但是閃電貸攻擊并不是DeFi生態中真正的系統性根源風險，究其根源在于Oracle攻擊，閃電貸攻擊往往只是對Oracle的攻擊。Oracle是連接鏈上DeFi應用和鏈下數據的中間件，由于使用去中心化的Oracle網絡，在多個交易所中存在交易量和流動性差異，那就加大了Oracle攻擊風險。

據samczsun.com網站研究人員發布的報告，在2020年，針對價格Oracle操縱行為非常多，迄今為止已導致逾3000萬美元損失，而且沒有放緩的跡象。還指出，多年來基于可重入性的攻擊已經減少，而基于價格Oracle操縱的攻擊現在正在上升。

其實很多閃電貸攻擊并不涉及到任何區塊鏈及智能合約的漏洞安全問題，這讓避免閃電貸攻擊變得難以捉摸，攻擊發生之時也沒有太多時間留給項目反應。很多閃電貸套利事件發生的前提條件只是因為在不同的DEX中存在價格差。

區塊鏈安全公司CertiK針對這種價差套利提出了兩點建議，第一，從控制價格差的角度思考，不同交易所之間建立價格同步機制或者采用同一種價格預言機，可以降低套利事件發生的概率；第二，從執行套利事件的智能合約角度思考，對涉及交易數目巨大的交易采取額外的驗證步驟或者提高對該種交易的交易費用，會減少套利事件的發生。

閃電貸發明的本意是讓想開發者可以任意借貸而無需提供質押物，但也打開了潘多拉魔盒。

未來閃電貸不會消失，但會以何種形態繼續發展不得而知，雖然有風險，但是在這之中確實看到了金融的創新，這是區塊鏈的想象力，是DeFi去中心化金融所帶來的新金融體驗。DeFi本就是一場大型的社會實驗，有成功自然也會失敗，這還不是終點，等待DeFi的完美試驗結果。

Tags：EFIDEFDEFI比特幣defi去中心化交易所下載DefinexDefiville超級比特幣SBTC最新消息

比特幣交易