玩客云--玩客币/链克社区,玩客币行情,区块链资讯,玩客币交易平台 网站地图
网站首页 焦点 资讯 价格 区块 挖矿 知识 交易教程 加密货币 视频

去中心化的金融 频繁发生的「闪电贷攻击」背后的顽症到底在哪?

资讯 www.xiangcunluyou.com
>

日前,去中心化的金融 市场经历了一场严峻的考验,多起攻击事件接连发生,导致了巨大的资产损失。在多数安全事件中,闪电贷攻击的「冠名」好像成为了标配。但,在其背后不容忽略的真相,其实是对预言机进行操控,导致内外价格差并从中套利。

所谓闪电贷(Flashloan),其实是一种革新金融工具,可达成无抵押贷款,但需要在同一个区块内还款,不然买卖回滚。闪电贷的魔力在于,可以使贷款者在不需要付出任何努力或代价的状况下秒变「有钱人」。当然,庞大的资金量也预示着强大的市场操控潜力。

在此类安全事件中,攻击者一般是「空手套白狼」,先用闪电贷获得很多资金,拥有了攻击的启动「砝码」后,再通过一系列方法出入各类抵押、借贷、买卖等协议,在达成操纵、扭曲资产价格数据后,推行套利,最后归还「本金」。

数据显示,自 2021 年以来,黑客基于重入漏洞的攻击数目有所降低,而基于价格操控漏洞的攻击比率正在上升,并已导致累计超越数千万USD的损失。

那样,这个预言机到底是什么?

预言机(Oracle)并非什么玄幻事物,它其实是区块链互联网与网络与其它区块链互联网等维持数据、信息交流的「桥梁」。尤其是,在 去中心化的金融 智能合约这种DApps(Dapp)中,通过预言机,开发者可以调用包括行情价格在内的各种外部数据资源,让 Dapp 连通外部现实世界的数据环境。

毫无疑问,可以提供不可篡改、靠谱数据的预言机势必成为 去中心化的金融 进步的要紧基石。在 去中心化的金融 应用中,不论自己配置还是依靠第三方提供,通过预言机可获得各个市场的价格、汇率等要紧信息。而对于去中心化交易平台(Dex)来讲,获得准确靠谱的价格数据意义更为重大。

与中心化交易平台不同,Dex 行情数据的「孤岛化」倾向更为明显,假如不与外面行情维持实时联动,Dex 中的智能化做市商(AMM)资产池非常可能会由于买卖量、流动性等的剧烈变化而产生价差损失。

伴随 去中心化的金融 市场热度的提高,行业更多的考虑倾向于项目数目、规模与模式等方面。而对预言机安全问题的关注反倒是处于一种不温不火的状况。近段时间,频繁发生的预言机安全事件可能为此敲响了警钟,预言机安全于 去中心化的金融 生态有序进步至关要紧。

关于首起预言机安全事件,时间要回到 2021 年 6 月 25 日。去中心化的金融 衍生品平台 Synthetix 预言机发生异常,导致平台 sKRW/s以太币 汇率显示错误,超越 3700 万枚 s以太币 被底价买卖,涉及金额近 10 亿USD。

事件缘由

该协议 fToken 铸币时使用 Curve y 池为喂价源,攻击者通过巨额兑换,操纵价格数据,控制铸币数目,从而多次套利。

官方透露,黑客通过 curve y 池进行攻击,使 Curve 中稳定币的价格异常超出 387.9%,并在 7 分钟内多次套利。受此影响,Harvest 代币 FARM 的价格在短期内狂跌 65%。

11 月 14 日,Value 去中心化的金融 协议遭到黑客攻击,同样是历经了一系列协议间操作,最后致使超越 700 万USD的损失。

事件缘由

攻击者借助价格预言机漏洞,操纵 Curve 资产池价格,窃取超量 3CRV 兑换 D人工智能 后套利。

让人唏嘘的是,黑客最后归还了 200 万枚 D人工智能 并留下了一条嘲讽信息:「你真懂闪电贷吗?」以此回话该团队此前的推文,声称可防闪电贷攻击。

近段时间,仅由预言机攻击导致的资产损失已累计超越 3000 万USD。此类事件中,黑客正是通过操纵预言机,导致可推行套利的兑换率,最后借助价格差窃取了协议资产。

因此,去中心化的金融 生态中最具系统性风险的原因是易受价格操控的预言机,而非闪电贷这种金融工具。

预言机有着广泛的应用场景,需与链下数据进行交互的 Dapp 皆可借用预言机来达成功能和价值。其中,典型应用场景包括,Dex、衍生品、稳定币、借贷平台、游戏、保险、预测市场等。面对这个「数据要塞」,通过迭代升级、安全测试等,预言机有望提供更为优质的服务。

因为区块链本身不拥有验证数据是不是公平、适当的功能,因此,那些错误的外部数据在去中心化机制下,将被预言机无差别地实行返回,而这种「将错就错」极容易导致各类损失。

预言机的迭代升级,应达成链上与链下可信数据的对接,确保数据环境正常、稳定、有序。在价格方面,预言机应尽可能从多节点聚合数据,对价格偏差预留处置机制,并根据时间同步更新,确保提供给智能合约的数据靠谱、可信、抗干扰。

在 Dex 中,预言机应在提供价格更新的同时维护、调整 AMM 的网站权重,确保内部汇率与外部市场价格维持匹配,并通过验证机制,异常报警机制等有效拦截攻击者对价格、汇率的操纵,预防套利空间的产生。

另一方面,去中心化的金融 开发者应加大预言机的针对性测试,尤其是在项目上线前,尽量模拟价格操控攻击的各类场景,准时发现问题并找出解决方法,切实提升项目抗预言机攻击的能力。

项目上线后,开发者应依据状况选择接入第三方预言机服务、安全测试服务等;举办有关漏洞赏金活动,做到准时查缺补漏,优化整体结构,在最大程度上减少相同种类型事件再度发生的可能性。

事物的两面性总能在各方面得到体现。对于闪电贷而言,本是一种革新金融工具,可高效提供大额资金,促进价值循环。然而,它却被攻击者借助,沦为了窃取资产的重拳武器。

不论是 去中心化的金融 进步还是区块链新范围的拓展,链上、链下的数据交换势在必行,预言机有哪些用途不可小觑。其实,攻击者的操控方法也并不是高深,只不过在现阶段预言机还不够智能,非常难准时应付和抵御。

同样,事物进步的道路也一直曲折。在遭受很多惨痛代价后,预言机这个「弱点」暴露无遗。为区块链生态安全计,在完全抗操控攻击的预言机诞生之前,加大多方技术的验证和测试,防范攻击于未然成为了当务之急。

事件缘由

喂价源信息失常,预言机发生问题并将错误价格发布到链上,买卖机器人发现后飞速套利。

最后,Synthetix 与买卖机器人所属者达成资金返还协议,巨额损失得以留住。但值得警惕的是,上游价格源异常可能给智能合约带来毁灭性打击,而缺少有效性验证的预言机在数据正确性、稳定性方面存在很大的安全隐患。

在此后的事件中,让人印象深刻的是「bZx 连续攻击事件」。2021 年 2 月,去中心化的金融 贷款协议 bZx 在一周内先后两次遭到攻击,导致了约 100 万USD的损失。

事件缘由

黑客借助 Uniswap 算法价格缺点,操纵有关资产价格数据并游走多个 去中心化的金融 协议,推行套利。

时隔七个月,bZx 第三遭受攻击,此次事件又导致了约 800 万USD的损失。bZx 联合开创者 Kyle Kistner 在事件发生后曾提到,这好像是一次预言机操纵攻击。最后,此次事件是什么原因被归为代码漏洞。

最近,涉及预言机攻击的事件愈发频繁,安全形势严峻。10 月 26 日,去中心化的金融 项目 Harvest Finance 遭到黑客攻击,导致了约 2400 万USD的损失。

此文出于传递更多信息之目的,并不意味着同意其看法或证实其描述。本网站所提供的信息,只供参考之用。

>

关注我们