观点:闪电贷攻击的本质,其实是Oracle攻击?

编者按:本文来自加密谷Live,作者:AdelynZhou,翻译:Olivia,Odaily星球日报经授权转载。自今年年初以来,去中心化金融生态系统已经迅速发展到锁定总价值超过120亿美元。随着这种指数级的增长,恶意行为者操纵和攻击脆弱的DeFi协议的动机增加了,并且这通常以牺牲普通用户为代价。最近在许多DeFi攻击中使用的工具之一是闪电贷--这是一种新型的金融原始工具,它允许用户开立无抵押贷款,唯一的规定是贷款必须在同一个区块中偿还,否则就会被收回。这与传统的DeFi贷款有很大的不同,传统的DeFi贷款往往要求用户在前期对贷款进行超额抵押。闪电贷的新奇之处在于,它可以让世界上任何一个人暂时成为资金非常充裕的交易者,具有突然操纵市场的潜力。在最近的一连串攻击中,我们看到恶意行为者利用闪电贷瞬间借入、交换、存入并再次借入大量的Token,这样他们就可以人为地在一个DEX里操纵Token的价格。这个操作序列本身是合规的,因此它也就允许攻击者利用该DEX进行异常定价。当闪电贷被用作操纵协议并窃取资金的恶意计划的一部分时,"闪电贷攻击"一词就会成为本周的热门加密术语。媒体机构和推特的大V都很关注闪电贷的运作,剖析恶意行为者在一次交易中从一个Token跳转到另一个Token以及从一个协议跳转到另一个协议的每一步。但"闪电贷攻击"这个词并没有抓住问题的全部。闪电贷不会在DeFi内部产生漏洞--它们只是揭示了已经存在的漏洞。"闪电贷攻击"往往只是对Oracle的攻击,其中Oracle是连接链上DeFi应用和链下数据的中间件,比如某项资产的公平市场价格。DeFi生态系统中真正的系统性风险是围绕着中心化的Oracle,而不是闪电贷。对于看着攻击发生的旁观者来说,闪电贷有一些迷人的地方。任何人都可以突然控制巨额资金,并以新奇的甚至恶意的方式进行配置,这一想法展示了这项技术如何赋予个人权力并解锁全新的金融工具。我们没有分析闪电贷的最终功能和目标,而是惊叹于其创造者的独创性和攻击的复杂性。因此,闪电贷越来越被定性为一种危险的DeFi创新。正如DeFi协议Aave的马克·泽勒(MarcZeller)所言,闪电贷只是一种工具:它们允许你在交易期间像鲸鱼一样行动。任何通过闪电贷执行的攻击也可以在没有闪电贷的情况下由资金雄厚的持有者执行。闪电贷所能做的就是让世界上的任何人暂时成为一个资本充足的持有者,因为获得闪电贷是不需要任何许可的,也没有预先抵押品的要求。当然,公开获得这种资金,大大增加了可以进行这种攻击的人数。但即使在一个没有闪电贷的世界里,采用更多区块链的技术会为我们继续提供更快的渠道以及获得更多流动资金的机会。关注问题所在

观点:攻击Wintermute的黑客可能是其团队内部成员:9月27日消息,Librehash(James Edwards)在Medium发布有关Wintermute黑客攻击事件的分析文章。Librehash认为,Wintermute的智能合约被交互并最终被利用的方式表明黑客攻击由内部人员进行。

文章声称,“外部账户(EOA)发起的相关交易表明,黑客很可能是Wintermute团队的内部成员。”需要注意的是James Edwards并非知名的网络安全研究员或分析师。

据此前报道,Wintermute于9月20日在DeFi黑客攻击中损失1.6亿美元。Wintermute通过链上消息警告黑客在规定日期前归还被盗资产,否则面临法律诉讼。(Cointelegraph)[2022/9/27 22:33:09]

我们需要关注这些恶意行为者究竟在用他们新获得的资金做什么。一个明显的模式已经出现:恶意方利用闪电贷来操控依赖于单一去中心化交易所(DEX)作为协议唯一价格Oracle的DeFi协议。他们利用闪存贷来操纵和扭曲DEX上一种或多种资产的价格,导致使用该基于DEX的价格Oracle向DeFi应用程序提供不准确的价格数据。然后,恶意攻击者就会乘机而入,以直接损害普通用户的利益为代价获取产生利润。在沉迷于利用过程中使用的特定工具时,我们的行业忽视了这些攻击的真正教训:依赖于从单个交易场所获取数据的价格预言的DeFi协议可能被拥有大量资金的参与者破坏。这些都是Oracle攻击,其攻击载体不仅已经被预测到而且以前也已经发生过。对闪电贷的关注分散了我们对一个更大问题的注意力,即拥有数亿甚至有时高达10亿美元TVL的DeFi协议仍然依赖于单一交易所的价格反馈Oracle。正如我们所看到的,单一交易所可能会受到各种各样的成交量变化和鲸鱼操纵。对于另一个依赖中心化价格反馈的协议,其后果是显而易见的。如今,TVL的众多顶级DeFidApp都使用了去中心化的Oracle网络,在多个不同的交易中异步核算多个交易所的交易量和流动性差异,这使得它们对闪电贷资金的操控不敏感。随着越来越多的用户被这个生态系统的金融便利性和机会所吸引以及DeFi协议从全球市场吸收着越来越多的价值,这些协议的维护者有责任采用去中心化的Oracle解决方案,以保护用户免受目前已被熟知的、可预防的攻击。因此,当你下次听到"闪电贷攻击"这个词时,请三思而行。闪电贷很可能是用来针对系统中的一个特定漏洞:一个没有市场覆盖的价格Oracle。Oracle应该是一个协议的权威真相来源--关于资产的价格,关于市场的状态。正如我们所看到的,谁能操纵这个源头,谁就能获得巨大的利益。闪电贷攻击背后的真相:他们的资金来源是闪电贷,但他们是价格Oracle攻击。

观点:使用第三方托管机构的人大量采用并不是比特币的大规模采用:加密货币托管公司Casa联合创始人兼CTO Jameson Lopp转发的观点表示,使用第三方托管机构的人大量采用并不是比特币的大规模裁采用,而是大量采用比特币IOU。原观点指出,在一个充斥着数字黑客和监管不确定性的世界里,冷钱包是最安全的选择。但大多数持有黄金投资组合的投资者都是通过经纪机构购买ETF的股票,他们实际上根本不持有任何黄金。事实上,他们所拥有的只是一张纸证,表明他们有权获得相关黄金的市场价值。他们无法从ETF中提取实物黄金。对于大多数普通投资者来说,这对他们来说完全可以。

BTC和加密社区的人员通常是超前或者具有一定技术水平,对他们来说,冷钱包是完全有意义的。进入顶级安全级别的技术壁垒并不太高,而且是一个无需考虑的问题。但是对于普通的大街投资者,Robinhood和PayPal是完美的解决方案,是可以理解和访问的切入点。并不是每个黄金投资者都希望或需要在地下室购买实物金条,比特币和加密货币也是如此。

注:IOU相当于一份靠交易所名誉担保的欠条。[2020/11/23 21:47:01]

观点:DeFi将在12月重启一轮牛市:加密货币分析师Alex Krüger表示,随着投资者开始对风险较高的交易进行投机,DeFi代币价格将会上涨。不过他认为,在12月投资者开始将资金从比特币等更大规模的数字资产转移至beta资产后,DeFi的第二波热潮才会出现。Krüger称:“从更大的角度来看,DeFi并没有死。一旦市场回到冒险模式,它将在12月重启一轮牛市。不会像前一轮那样强劲,因为疯狂的收益率不会回升。”(CryptoSlate)[2020/10/23]

业内观点:红杉起诉币安的形式意义大于赔偿结果:据全天候科技,某一线VC基金的投资人认为,红杉之所以要起诉币安,形式的意义大于赔偿的结果:“一个一线美元基金如果对这种事忍让,那就称不上一线基金。”也有观点认为,在币安这种明星项目上,对于红杉来说丢了项目不能丢了气场,打官司至少还可以向LP们证明已经尽力了。对于赵长鹏而言,此次遭红杉起诉可能还会有信誉损失。有投资人表示,“看到他这么对待别人就会担心以后这么对待自己。”[2018/4/27]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

加密货币这轮DAO热潮中永不发币的Snapshot为何最值得关注?

编者按:本文来自链闻ChainNews,星球日报经授权发布。撰文:潘致雄,链闻研究总监感谢blockpunk组织学习Snapshot原理,为本文提供了部分素材和观点大量去中心化金融协议发行「治理代币」之后,引发了对区块链治理问题的再次.

[0:31ms0-1:760ms