加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

別再怪“閃電貸”了,bZx連遭攻擊的真兇是它_EFI:defiai幣被盜

Author:

Time:1900/1/1 0:00:00

一周內,DeFi貸款協議bZx遭遇兩次攻擊,攻擊者空手套白狼,十幾秒套利超百萬美金。這一事件被高度關注,因為它并非一起簡單的、針對單一漏洞的“黑客式”攻擊,而是在充分了解DeFi的情況下,利用各產品特點組合出拳。這起攻擊事件或許暴露出DeFi系統性金融風險的隱患,并對行業發展的路徑選擇,具有醍醐灌頂的警示意義。筆者先說結論:

1.bZx被攻擊的本質是自身產品設計漏洞,喂價完全依賴第三方,沒有考慮接入方的機制,也沒有經過極限壓力測試;2.對于其他DeFi產品,也要謹慎考慮所接入的其他協議可能會對本身協議造成的影響和?險,防止協議調用導致的系統性風險;3.對于生態發展,開發炫技式產品和構建無限杠桿似乎成為一種風氣,這是不健康的,DeFi的初心本應是開放式普惠金融。

回顧:攻擊者借刀殺bZx,空手套得百萬美金

首次攻擊發生在2月15日,攻擊者通過“閃電貸”0成本借得1萬個ETH作為初始資金,利用多個DeFi協議的相互調用,實現了一筆非常不合理的交易。

第一步:通過“閃電貸”0抵押物從dYdX借出1萬個ETH;第二步:將其中5500ETH在Compound中抵押借貸112WBTC的貸款抵押;第三步:將1300ETH在bZx被發送到fulcrum,打開了一個ETH/BTC交易對的5倍杠桿空頭頭寸;第四步:通過KyberReserve到UniswapWBTCpool賣5637ETH,獲得51.34BTC;第五步:把Compound借出來的112BTC,在UniswapWBTCpool賣112WBTC,獲得6800ETH;第6步:將3200ETH+6800ETH=10000ETH還給dydx。

加密貨幣金融平臺Nilos在歐洲推出虛擬銀行:金色財經報道,加密貨幣企業金融平臺Nilos針對歐洲從事加密業務的公司推出新的虛擬歐盟銀行(Virtual EU IBANs)。該解決方案允許企業擁有一個專門的加密貨幣友好型支付賬戶,使他們能夠創建歐元和英鎊的虛擬賬戶,在歐洲和英國進行支付,并使用SEPA和快速支付軌道。

該公司在2022年4月籌集520萬美元的資金,Viola Ventures和Fabric Ventures領投此輪融資。[2023/5/11 14:57:51]

筆者也做了一個表格還原資產變化和最終結果:

據悉,攻擊者獲得總利潤為1193ETH,目前價值29.8萬美元。鏈上數據顯示,攻擊者已將所獲資金轉移到了Compound。理論上,Compound可以使用管理員密鑰沒收資金,但根據ChrisBlec發起的投票,支持沒收資金的僅占12.3%,反對者占69.5%。Hydro創始人李天放表示「使用管理者權限非常損害信任,Compound沒有因為攻擊遭受損失,不太可能犧牲自己的信任幫競爭對手找錢。」「Compound也可以發起社區投票,征詢這種用戶是否受歡迎,如果Compound社區一致抵制,就可以凍結資金。」數字文藝復興基金會董事總經理曹寅表示。

Messari:超3320萬枚APE在2023年第一季度解鎖給非DAO實體,未出現異常價格波動:4月7日消息,區塊鏈研究公司Messari發布報告稱,面對經濟萎縮,APE活動仍然保持彈性。代幣流通速度、新持有人、轉賬量、平均市值、平均DEX交換規模和平均獨立投票等指標均環比增長。與上一季度相比,APE在2023年第一季度的完全稀釋估值(FDV)增長20.6%。在2023年第一季度,超過3320萬枚APE被解鎖給非DAO實體,盡管存在拋售壓力,但這并未導致任何表明APE被大量拋售的異常價格波動。Yuga生態系統資產持有人和APE持有人認領了超過3140萬個APE。盡管拋售壓力持續存在,但APE代幣的平均價格仍比上一季度高出20.6%。APE質押于2022年12月上旬開啟,今年第一季度已質押3140萬枚。 Etherscan數據顯示,250個APE持有者占最大APE供應量約97.5%,其中至少有102個地址是由APE基金會控制的錢包,APE基金會至少控制27%的巨鯨錢包。[2023/4/8 13:50:48]

今日,bZx再次發現了使用“閃電貸”進行的可疑交易,目前沒有證據表明是同一個攻擊者。盡管首次攻擊發生之后,bZx關閉了Fulcrum交易平臺進行維護,但該攻擊者再出新招,使用了Synthetix進行交易,目前bZx已暫時關閉被利用的合約。Ethhub創始人EricConner估算到,這一次攻擊者獲利2,388個ETH,約64.4萬美金。

觀點:NFT市場應該促進“代表性不足的藝術家和藝術形式”:金色財經報道,Amberfi首席執行官JD Lasica表示,NFT市場應該促進“代表性不足的藝術家和藝術形式”,西方藝術繼續在NFT領域占據主導地位,并且通常被視為比其他文化的藝術更有價值和更有聲望,這可能會限制非西方藝術形式的可見度和認可度。相反,Web3可以消除文化之間的界限。[2023/3/18 13:11:50]

有趣的是,盡管bZx官方表示這次的損失跟“預言機”沒有任何關系。但在首次攻擊發生后,bZx宣布將新增集成預言機平臺ChainLink作為價格來源之一。「目前看來,ChainLink能夠在真實反映價格和預言機去中心化之間找到比較好的平衡,避免Uniswap等去中心化交易所喂價機制流動性不足導致的價格失真問題」曹寅表示。

澄清:bZx并非價格被操控,主要是產品漏洞

早期網友分析中有很多錯誤,最廣泛流傳的就是bZx的價格被操縱。但真實情況是「利用了bZx的合約漏洞,借了大筆錢,然后在bZx接入的Kyber和Uniswap上操縱價格,套利成功。」MakerDao中國社區負責人潘超表示。

我們來具體解釋下,這幾個協議的關系。bZx是一個保證金交易協議,用戶可以抵押一種幣作為保證金,在某個杠桿下借出另一種幣。但是這兩個幣的浮動匯率是多少呢?bZx需要調用預言機或者去中心化交易所來喂價。在第一起攻擊中,bZx使用Kyber作為鏈上預言機來檢查抵押品和借貸的比例。

NFT項目mfers創始人宣布將回歸加密社區:12月13日消息,NFT項目mfers創始人sartoshi在社交媒體上發文《sartoshi_rip》,宣布將重新回歸加密社區并將從2023年1月1日啟用新的社交媒體賬戶@sartoshi_RIP,同時將作為匿名NFT收藏家重新入場,而其此前退圈作品End Of Sartoshi NFT將會被作為社區通行證,該項目繼續作為一個無領導的組織,智能合約也將繼續保留給社區所有。

此前報道,NFT項目mfers創始人于6月份宣布隱退,智能合約將移交社區。[2022/12/14 21:42:25]

而Kyber作為去中心化代幣交易協議,它有很多儲備庫來提供流動性。儲備庫為兌換者們提供代幣兌換,它可以是有豐富代幣的個人,也可以是專業的做市商、項目團隊、DEX等。而且為了獲得競爭力,Kyber設計成為兌換者提供最好的兌換匯率,Uniswap就是Kyber的儲備庫之一。

在第一輪攻擊中,攻擊者在bZx上發起了保證金交易,抵押1300個ETH用5被杠桿兌換51.3個WBTC的行為,拉高了Uniswap上WBTC兌ETH的相對價格,此時攻擊者再將從Compound借出來的112WBTC在此價位兌換成ETH,于是就獲得了利潤。

不可否認,儲備池式DEX的確交易深度不夠、流動性不足。試想一下,攻擊者僅用1300個ETH就拉高了WBTC的價格,這在主流的中心化交易所大概率不會發生。

英格蘭銀行行長:比特幣沒有內在價值,也不是一種實用的支付方式:金色財經報道,英格蘭銀行行長 Andrew Bailey 近日在做客 “Jobs of the Future” 播客時談到了比特幣和加密貨幣的未來,他表示比特幣沒有內在價值,也不是一種實用的支付方式。Bailey認為比特幣只能具有外在價值,這只是意味著人們想要擁有和獲取它作為一種價值儲存手段。在談到哪種形式的數字貨幣將演變為廣泛使用時,Bailey 表示,我認為它不會是加密貨幣,對比特幣來說,我不認為這是一種實用的支付方式。然而,Bailey 承認比特幣的底層技術似乎確實有價值,區塊鏈和分布式賬本技術應該受到尊重。(u.today)[2022/5/24 3:36:42]

究其根本原因,bZx被“騙”在uniswap上做了一筆非常不合理的交易,只能怪自己太依賴第三方。「此類型的攻擊方案只針對于bZx這種完全依賴第三方AMM的DeFi產品,在dydx,DDEX,和compound等類型產品中并不存在」李天放表示。

因此,bZx被攻擊的主要原因是「它自身存在設計上的失誤,沒有考慮到Kyber聚合型交易所的喂價機制,也沒有經過極限的壓力測試,于是被人利用了。」曹寅表示。從結果上來看,本次攻擊也沒有影響到其他協議,損失由bZx承擔。

詰問:“閃電貸”和協議調用,誰才是魔鬼武器?

攻擊事件讓“閃電貸”進入了大眾視線,這是攻擊者無成本套利的關鍵。“閃電貸”是在一個區塊內在不同DeFi借貸平臺發起多筆交易的方式,也就是不同資產和債務之間的轉貸。“閃電貸”也是一種無需抵押物的借貸方式,前提是貸款的發行和償還必須在以太坊同一個區塊內完成,按照目前以太坊的出塊速度,就是13秒。如果不是空手借來的ETH,而是超額抵押借貸模式,還會出現這個情況嗎?筆者采訪的幾位嘉賓有不同的看法。

曹寅表示,“閃電貸”本身沒問題,但應該要限制“閃電貸”的使用場合,不能讓大家隨意調用這個協議,尤其是在DeFi這樣一個無監管、去中心化、代碼即法律的場景里,肯定要謹慎使用。他用了一個很形象的比喻:

現在的DeFi從功能的完善度上,就是一只猴子。而“閃電貸”則相當于一把槍,你給了猴子一把搶,那會有什么好結果呢?猴子現在需要學習用火,學會種地,學會服務實體經濟,而不是純金融工具類型的DeFi協議。

但李天放認為,“閃電貸”只是降低了攻擊的門檻。

就算沒有“閃電貸”,一個本來就很有錢的以太坊賬號也可以做出同樣的攻擊。當然“閃電貸”的存在讓這類攻擊變得更容易,合約設計者必須需要考慮到此現象的存在。

潘超也認為,閃電貸本身不是問題,而是協議之間的耦合問題。「本次攻擊的漏洞對于獨立的單個協議而言沒有問題,但是幾個協議聯系起來就會被成功攻擊,結果就是雖然賬戶里沒有資產,但依然可以空手套白狼,或者說是借刀殺人,利用其他協議的漏洞借錢,損失讓其他協議承擔。」就像bZx團隊“狡辯”的那樣,「從協議的角度來看,只是有人簡單地借了一筆錢,而從貸方的角度來看,這筆貸款與其他任何貸款一樣,照常支付利息。」

「這也給了DeFi從業者一個警示,設計產品是要謹慎考慮所接入的其他協議可能會對本身協議造成的影響和?險」潘超表示。DeFi各產品的智能合約自由調用,增加了很多不確定性因素,那么應該予以限制嗎?

針對這個問題,李天放表示,所謂的”adminkey“在各個合約之間中是非常不一樣的,而且并不是個0或1的選擇,在每類操作中你都可以選擇留出fullcontrol,limitedcontrol,timedelayedcontrol等。

「每個合約的設計者需要在”去中心化“和“便于操作”中做出一系列選擇。比如DDEX為了避免中心化,留的管理者權限非常少。當然這也有一些不便,比如我們不能隨便升級合約的一些模塊,加功能,移動資產,哪怕是“為了用戶好”的操作。」他最后說到,時間會告訴我們正確的選擇是什么。

反思:無限杠桿意義何在,DeFi開發者勿忘初心

對于此次攻擊事件,筆者的直觀感受是DeFi很多產品的主要用途就是“加杠桿”,這讓我想到2008年經濟危機起因,就是華爾街把房地產打包成各種證券產品,制造了太多杠桿,同時讓人們以很低的成本貸款。這和如今DeFi行業做的事情多么相似。

這究竟有什么意義?

「你說的很對,每個DeFi項目都應該考慮這些問題。一個好的協議設計應該鼓勵更多有價值的”winwin”行為。如果一類行為真的是空手套白狼,對整個系統是負價值的,也許協議上可以做一些調整來改善整個系統價值」李天放表示。

然而,DeFi社區不僅沒有因為攻擊事件變得審慎,反而在推波助瀾。筆者注意到了兩liang:

1.0x的研發人員RemcoBloemen提出直接在代幣的合約中創建免費無限的閃電貸款;2.1inchExchange新推出的1x.ag,利用“閃電貸”提高杠桿倉位的效率,來做無限杠桿。

「DeFi中造價值的角色有個共同點:它們都需要承擔風險。比如做市商需要承擔風險,liquidator需要承擔風險。但是“閃電貸”和“無風險套利”之都是在一個區塊中做操作,空手套白狼」李天放表示。

「這暴露出這個行業的開發者存在誤區,就是以“炫技式”的心態,去做一些DeFi協議的開發。」曹寅一刀見血的指出。

DeFi的初心究竟是什么?這值得建設者和擁護者反思,曹寅的這幾段話非常有道理:

對于投機者來說,高桿桿、空手套白狼,肯定喜歡這樣的工具。雖然套利行為對促進信息有效性,降低交易成本能夠起到一定的作用。但無限杠桿可能帶來連環性事故,釀成系統性風險。按照DeFi目前的發展方式,這種情況很有可能會發生。

我們做DeFi的初心是什么?是為了服務那些沒有金融基礎設施的的中小企業、創業者、普通生產者。我們降低中心化帶來的摩擦成本,去掉完全沒必要的中介成本,同時把數據所有權和金融所有權,從不靠譜的中心化機構手里搶回來,還給生產者,這才是我們做DeFi的初心。

DeFi的開發者,是想做一個服務全球人類,讓金融成為一種普惠商品,讓數據回到生產者和消費者手里的開放金融市場?還是要做一個沒有監管,無限杠桿,非常投機性的賭場?大家到底想做什么事,這很重要。

Tags:EFIDEFIDEFBZXNINEFI幣defiai幣被盜DEFT價格BZX幣

抹茶交易所
觀點 | ENS:為什么我們選擇以太坊而不是另起爐灶_以太坊:男的用ethereal說明什么

以太坊域名服務之所得名,不僅是因為它支持給以太坊地址賦予域名,還因為它運行在以太坊區塊鏈上并接受ETH作為支付方式.

1900/1/1 0:00:00
嘉楠科技暴漲82%,美股、港股、A股區塊鏈概念集體走高_比特幣:比特幣價格今日行情usdt

今日,區塊鏈概念股集體走高,嘉楠科技暴漲82.73%領漲,美股、港股、A股呈現輪動上漲,我們先回顧下實時行情:北京時間凌晨5點美股收盤,嘉楠科技暴漲82.73%.

1900/1/1 0:00:00
分析:XRP價格與其推特活躍度相關,且與黃金關聯性較BTC更強_比特幣:COI

來源:CointelegraphChina編者注:原標題為《瑞波價格和交易量與其推特活躍度相關》 過去兩周,隨著瑞波今天回到1月末的0.23美元的價格,其2月份以來的漲幅已經被抹去.

1900/1/1 0:00:00
經濟學家:龐氏騙局是比特幣詐騙的最新形式_BAR:ARA

來源:新浪財經 據外媒報道,根據加密數據分析公司Chainalysis提供的數據,龐氏騙局和其他涉及比特幣等加密貨幣詐騙活動在2019年從投資者那里獲取了至少43億美元的資金.

1900/1/1 0:00:00
學習時報:建議加大數字貨幣的試點工作_數字貨幣:區塊鏈

來源:求是網 新冠肺炎疫情對中國經濟的沖擊是短期的,并不會影響中國經濟長期向好的走勢。疫情遲早會控制住,生產經營活動終將回歸正常軌道,經濟增長仍將保持中高速水平.

1900/1/1 0:00:00
礦工持續投入資金,比特幣全網算力再創歷史新高_比特幣:比特幣錢包

據外媒?3月3日報道,本周一,礦工們在比特幣網絡上處理區塊的算力超過了該網絡的歷史最高記錄,總哈希速率達到每秒136exahash?.

1900/1/1 0:00:00
ads