DeFi安全风险解析：闪电贷、价格操纵攻击和降低风险的协议设计思路

在加密货币领域，DeFi成为了一个重要的发展方向。然而，随着其市场份额的增长，DeFi平台也面临着越来越多的安全威胁。

最近，Moremoney的联合创始人兼产品负责人?Sirmoremoney在TwitterSpaces上讨论了一些关于DeFi安全的话题，特别是针对抵押品价格操纵和闪电贷攻击等方面的风险。ReveloIntel总结了此次Spaces的发言，并讨论如何采取措施来缓解这些风险。

涉及合约漏洞的攻击/闪电贷攻击

闪电贷攻击涉及利用短时间内无需抵押即可借款的能力来操纵价格或窃取资金。以Platypus攻击为例来说明涉及合约漏洞的攻击。??

0x927b开头地址将313万枚YGG（价值约116万美元）转入币安:金色财经报道，据推特用户Bit余烬监测，15分钟前，0x927b024a75a4f286f63cc38db3fc0d6f2c45feb0多签地址将313万美元YGG （116万美元）转入币安。0x927b开头地址在今天上午从YGG解锁合约领取了263万解锁的 YGG。

5 分钟前， 0xe7d512a0aed53662f4df92bf1ca8b0a85e851cf3 多签地址也将解锁领取的 348万枚YGG （128万美元）转入币安（与0x927b 地址转入同一币安存款地址，应是同一机构所属）。也就是该机构刚才一共转入币安662万枚YGG（245万美元）。[2023/2/19 12:15:38]

攻击者从Aave借出了4400万美元的闪电节点，将其存入Platypus，并借出4200万美元。然后，他们利用合约中的漏洞进行了紧急提款，提取了初始存款并保留了贷款。这次攻击导致了?PlatypusFinance2亿美元的资金损失。

数据：交易所钱包近24小时有5,679.9枚BTC流入:金色财经报道，数据显示，交易所钱包余额近24小时流入5,679.9枚BTC，近7天流入19,587.4枚BTC，近30天流出79,298.62枚BTC。目前全网交易所钱包余额总计为1,947,205.30枚BTC。（coinglass）[2022/11/7 12:23:54]

然而，他们只能以大约850万美元的价格交换剩余的4200万美元的?USB。Platypus的安全顾问和内部团队能够收回240万美元，而Feather和Circle则冻结了卡在合约中的资金。攻击者后来也在法国被逮捕。

Web3社交网络Hooked Protocol已在BNB Chain上线:金色财经报道，Binance Labs与红杉种子基金投资的Web3社交网络Hooked Protocol在社交媒体宣布已在BNB Chain主网上线，目前用户量已突破5万里程碑。Hooked Protocol表示，后续其网络将拓展到其他Layer 1网络，比如Solana、Avalanche等。

Hooked Protocol使用基于Token设计的社区驱动的社交网络，今年9月完成种子轮融资Binance Labs 与红杉种子基金领投，A&T Capital 等参投。[2022/10/24 16:36:50]

这次攻击是由低级黑客发起的，到目前为止已经有70%的被盗资金已经被追回。

从这次攻击中得到的教训是，协议需要有适当的安全措施，例如限制谁可以调用紧急提款功能，并实施债务上限以限制可能造成的损失。

紧急提款功能

例如，Moremoney有一个只能由协议本身或治理调用的救援功能。

他们强调了限制谁可以调用此功能的重要性，就像在Platypus的此次情况中并没有这样做。

抵押品价格操纵攻击

价格操纵攻击涉及操纵去中心化交易所上代币的价格，以借出比抵押品实际价值更多的资金。

以Mango和Loadstar的攻击为例子。这些攻击导致用户遭受了重大损失，并显示了监控抵押品价格和实施措施以防止价格操纵的重要性。

在这两种情况下，攻击者操纵了DEX上代币的价格，以借出比抵押品实际价值更多的资金。选择价格预言机对于协议的安全性至关重要，使用现货价格预言机总是一个糟糕的主意，因为闪崩或其他价格波动可能导致重大损失。

减轻风险的措施

这些措施包括对智能合约进行彻底审计，实施多因素认证和其他安全措施，以及隔离与不同资产和借贷池相关的风险。

隔离的CDP池

隔离的CDP池对于帮助减轻与多因素池相关的风险非常重要。

他们指出，每个抵押资产都是隔离的，这意味着如果攻击者能够利用其中一个资产，他们将无法从整个池中提取资金。

隔离的负债上限

隔离的负债上限可以限制针对每个抵押资产可以借入的金额。

他们认为，这有助于防止攻击者借入大量资金，并减轻与多因素池相关的风险。

全局负债上限

协议可以实施全局负债上限，限制平台上所有资产的借入总额。

这有助于防止平台过度杠杆化，并减少任何单个攻击的潜在影响。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。