编者按:本文来自WebX实验室Daily,Odaily星球日报经授权转载。从已知的信息来看,过去一周,已经发生了4起闪电贷攻击,包括ValueDeFi、CheeseBank、Akropolis以及今天的OUSD。我们特意查看了一下记录,发现自今年年初以来基本每个月都要发生几起闪电贷攻击。说明闪电贷攻击已经不是一种偶然事件了。
此前的一次闪电贷攻击最近的一次是OUSD,攻击方案的核心就是闪电贷+重入攻击。大概的流程是:1.攻击者先用闪电贷借了一大笔ETH这样的主流资产,然后注入到各类DeFi协议中,进行类似铸币、流动性挖矿这样的操作。2.然后由于攻击者手上有一大笔资金,它们可以操控价格并利用某些设计上的漏洞操控系统的判断。3.最后的结果就是由于这样的操作会导致系统会付给攻击者远高于初始资产的收益,最后攻击者会重复这些操作,最后在合约中取回或者在DEX卖掉获得的超额资产。4.然后攻击者再拿着一部分钱去还之前在闪电贷中借到的钱,就结束了整个攻击过程。本质上这些攻击的核心逻辑就是借助巨额资金来进行非正常的套利操作。闪电贷不是漏洞,但是扩大了漏洞的风险
报告:加密市场的托管业务2022年仍保持在4479亿美元的水平:金色财经报道,普华永道 (PwC) 和财富科技平台Aspen Digital于7月11日发布发布关于数字资产托管状况联合报告。报告显示,加密资产在2021年11月达到顶峰,市值达到超过3万亿美元。然而,加密市场的托管业务2022年仍保持在4479亿美元的水平。?截至2023年4月,托管服务提供商数量为 120 家,将其分为两大类:第三方服务提供商和自助托管解决方案。包括以太坊合并导致对加密货币质押兴趣的上升,以及NFT和元宇宙的出现,吸引了机构投资者。
报告称,由于缺乏适当的治理、风险管理和内部控制,托管行业面临的主要挑战是安全。托管商面临的另一个挑战在于保险政策领域。自托管解决方案不提供保险服务,用户因疏忽而造成的数字资产损失不会得到赔偿。据家族办公室人士透露,健全的保险政策是选择数字资产托管机构的重要标准。[2023/7/11 10:48:36]
在这其中我们发现,虽然近期的几次事件都把“闪电贷”这个概念作为关键词,但是闪电贷本身和攻击事件本身并没有直接的关联。
CoinShares:上周数字资产投资产品净流出6150万美元,为连续第7周资金流出:6月5日消息,据CoinShares报告显示,上周数字资产投资产品净流出6150万美元,为连续第7周流出,流出总额到达了3.29亿美元,占管理资产总额的1%。其中,比特币投资产品净流出270万美元,以太坊投资产品净流出270万美元,做空比特币的投资产品净流出630万美元。上周资金流出主要来自于TRON投资产品,流出金额达到了5100万美元。CoinShares猜测是由于TRON投资产品提供商下架了该产品。[2023/6/5 21:17:02]
官宣:瑞银以30亿瑞郎收购瑞信:金色财经报道,在瑞士政府的斡旋下,瑞银同意以30亿瑞郎收购竞争对手瑞士信贷,并同意承担高达54亿美元的损失。瑞银表示,瑞信股东所持22.48股瑞信股票将换得1股瑞银股票,相当于每股0.76瑞郎,总对价为30亿瑞士法郎。该交易预计将于2023年底完成,到2027年,每年将节省约70亿美元的成本。瑞士央行表示,将向合并后的银行提供1000亿瑞郎(合1080亿美元)的流动性援助。瑞士金融市场监管局(FINMA)表示,两家银行的所有业务活动将有可能继续进行,不受限制或中断。在瑞士政府提供支持后,瑞信名义价值约160亿瑞郎(172亿美元)的额外一级资本债券(AT1)将被完全减记。[2023/3/20 13:13:45]
在攻击发生的前一天,ValueDeFi项目方还在宣称自己是最安全的协议但不可否认的是,闪电贷成为了其中极其重要的攻击工具。用一句话来形容它的作用:“它允许你在交易期间像巨鲸一样的行动”,最可怕的是,如果说那些资金雄厚的人更容易成为攻击的来源,闪电贷可以让一个一无所有,甚至没有基本信用的人在短时间内变成一个手握重金的巨鲸,最重要的是这些人不需要任何许可、不需要良好的信用凭证也不需要付出等额或者超额的抵押品作为代价,完全是空手套白狼。闪电贷本身不是一种漏洞,但它无形之中扩大了那些漏洞被攻击的风险,因为第一攻击者不需要任何代价,第二攻击的来源大大增加,它可能会被任何一个洞悉漏洞的人作为攻击的工具。危险的创新,闪电贷错在哪里?
数据:以太坊PoS链首笔交易gas费用达36.8ETH:9月15日消息,据Etherscan数据显示,以太坊正式转向PoS共识机制后,首笔交易在14时42分59秒诞生,该笔交易的gas费用为36.8ETH,价值5.9万美元。[2022/9/15 6:58:26]
事实上闪电贷在遭受非议之前被认为是DeFi最伟大的创新之一。闪电贷概念最早由Marble协议于2018年提出,当时开发者的想法是通过智能化合约完成的零风险贷款。智能合约平台一次性处理交易,如果借款人不能偿还贷款,整个交易就会回滚,就像贷款根本没发生一样。重点是区块链交易回滚这个特性,用户和合约发起一笔交易,合约借给用户一笔钱,然后同样的用户在这个交易里还回借出的金额和相应的利息就可以了。如果没还那么这个交易就会被判定不生效,然后被回滚,也就不存在借款转移的事情了。这在传统观念来说是完全不可思议的事情,因为借贷既不需要信用也不需要抵押品。其实一开始闪电贷的用途是给那些套利者提供便捷的套利资金工具,例如分散交易所之间的额套利、清算多个借贷平台的贷款或者进行再融资等这些操作,最简单的就是,闪电贷可以帮助交易者从Marble银行贷款,在一家去中心化交易所DEX中买币,然后在另一家DEX以较高价格卖出代币,然后获得差价收益。这样的目的是正常的,传统金融中也会出现这样的场景。唯一的区别就是闪电贷的零门槛零代价。很不幸的是,我们能够封堵漏洞,但永远防不住人心。黑客或者潜在的攻击者会发现闪电贷完全可以为攻击提供充足的启动资金,这其中产生的另外一个后果就是,由于黑客的钱是借来的,所以钱和黑客本身并没有直接的关联,他们的身份也更加地难以追踪。因此一句话总结:闪电贷减小了攻击者的风险,攻击会更加随意。闪电贷+另一种潜在攻击用途
作为工具,闪电贷的用途是我们永远不能想象和预测的。我们完全不能低估“科学家”的智慧,除了经济上的攻击,闪电贷又被发现可以应用到别的领域的攻击上,例如操纵去中心化社区的治理。近期,Maker基金会智能合约开发团队检测到一起发生在MakerDAO治理提案中的投票违规行为,大体意思是,社区的一次提案需要持有治理代币的用户投票,然后有一个人就利用闪电贷借出总资产,然后用来作为抵押品在借贷平台拿到大量的治理代币,去参与投票,投完票然后再还回去。听到这里可能很多人会惊出一身冷汗,因为如果这次通过的是一项有利于攻击者的战略性提案,那造成的后果远比一次套利攻击要严重的多,而且这样的攻击显然更加隐秘。闪电贷本身在这次风波中并没有任何过错,它反而是一种让人眼前一亮的创新,我们通过闪电贷这样的产物看到了DeFi的想象空间是有多大。但基于当前DeFi正处在一个实验性阶段,因此大量的漏洞和攻击者会将闪电贷用到各种非法用途上,所以很多人认为闪电贷是一种极为危险的创新,换个角度来说也正式因为闪电贷的存在,使得各项目方更加重视安全,这也是一种价值。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。