DEFI:刀尖上的創新：閃電貸做錯了什么嗎？_ChargeDeFi Charge

編者按：本文來自WebX實驗室Daily，Odaily星球日報經授權轉載。從已知的信息來看，過去一周，已經發生了4起閃電貸攻擊，包括ValueDeFi、CheeseBank、Akropolis以及今天的OUSD。我們特意查看了一下記錄，發現自今年年初以來基本每個月都要發生幾起閃電貸攻擊。說明閃電貸攻擊已經不是一種偶然事件了。

此前的一次閃電貸攻擊最近的一次是OUSD，攻擊方案的核心就是閃電貸+重入攻擊。大概的流程是：1.攻擊者先用閃電貸借了一大筆ETH這樣的主流資產，然后注入到各類DeFi協議中，進行類似鑄幣、流動性挖礦這樣的操作。2.然后由于攻擊者手上有一大筆資金，它們可以操控價格并利用某些設計上的漏洞操控系統的判斷。3.最后的結果就是由于這樣的操作會導致系統會付給攻擊者遠高于初始資產的收益，最后攻擊者會重復這些操作，最后在合約中取回或者在DEX賣掉獲得的超額資產。4.然后攻擊者再拿著一部分錢去還之前在閃電貸中借到的錢，就結束了整個攻擊過程。本質上這些攻擊的核心邏輯就是借助巨額資金來進行非正常的套利操作。閃電貸不是漏洞，但是擴大了漏洞的風險

對沖基金Hunting Hill啟動數字資產子公司Hunting Hill Digital:金色財經報道，對沖基金 Hunting Hill Global Capital 啟動數字資產子公司 Hunting Hill Digital。知情人士表示，其首款產品將為 Crypto 25 Fund，最初管理的資產規模為 2000 萬至 2500 萬美元，該產品的策略將專注于按市值、流動性和性能排名前 25 位的加密貨幣。

此前報道，Genesis 前高管 Matt Ballensweig 曾在去年 12 月中旬向一位潛在投資者表示，其籌劃的名為 Hunting Hill Digital 的基金已經以 3000 萬美元的投后估值從 Bessemer Venture Partners 融資 250 萬美元，并正在另外籌集 500 萬美元。[2023/5/24 22:15:10]

在這其中我們發現，雖然近期的幾次事件都把“閃電貸”這個概念作為關鍵詞，但是閃電貸本身和攻擊事件本身并沒有直接的關聯。

平治信息：擬從通信運營商領域切入元宇宙 已與中國移動等達成合作:金色財經報道，平治信息接受機構調研時表示，公司擬從通信運營商領域切入元宇宙，公司已與中國移動、中國聯通、快手、達闥機器人等達成戰略合作，并在虛擬數字人領域做了重點布局。公司目前已與中國移動通信集團浙江有限公司杭州分公司簽署了《關于虛擬數字人的合作協議》，公司為移動杭州分公司提供虛擬數字人服務，服務內容為“小胖說云”。[2023/3/16 13:07:12]

在攻擊發生的前一天，ValueDeFi項目方還在宣稱自己是最安全的協議但不可否認的是，閃電貸成為了其中極其重要的攻擊工具。用一句話來形容它的作用：“它允許你在交易期間像巨鯨一樣的行動”，最可怕的是，如果說那些資金雄厚的人更容易成為攻擊的來源，閃電貸可以讓一個一無所有，甚至沒有基本信用的人在短時間內變成一個手握重金的巨鯨，最重要的是這些人不需要任何許可、不需要良好的信用憑證也不需要付出等額或者超額的抵押品作為代價，完全是空手套白狼。閃電貸本身不是一種漏洞，但它無形之中擴大了那些漏洞被攻擊的風險，因為第一攻擊者不需要任何代價，第二攻擊的來源大大增加，它可能會被任何一個洞悉漏洞的人作為攻擊的工具。危險的創新，閃電貸錯在哪里？

NFT 數據分析平臺 BitsCrunch 獲得 Tykhe Block Ventures 戰略投資:金色財經報道，Tykhe Block Ventures 宣布戰略投資多鏈 NFT 數據分析平臺 BitsCrunch。Tykhe Block Ventures 表示，本次投資旨在開發安全、透明和可持續的 Web3 生態系統。[2023/1/31 11:38:35]

事實上閃電貸在遭受非議之前被認為是DeFi最偉大的創新之一。閃電貸概念最早由Marble協議于2018年提出，當時開發者的想法是通過智能化合約完成的零風險貸款。智能合約平臺一次性處理交易，如果借款人不能償還貸款，整個交易就會回滾，就像貸款根本沒發生一樣。重點是區塊鏈交易回滾這個特性，用戶和合約發起一筆交易，合約借給用戶一筆錢，然后同樣的用戶在這個交易里還回借出的金額和相應的利息就可以了。如果沒還那么這個交易就會被判定不生效，然后被回滾，也就不存在借款轉移的事情了。這在傳統觀念來說是完全不可思議的事情，因為借貸既不需要信用也不需要抵押品。其實一開始閃電貸的用途是給那些套利者提供便捷的套利資金工具，例如分散交易所之間的額套利、清算多個借貸平臺的貸款或者進行再融資等這些操作，最簡單的就是，閃電貸可以幫助交易者從Marble銀行貸款，在一家去中心化交易所DEX中買幣，然后在另一家DEX以較高價格賣出代幣，然后獲得差價收益。這樣的目的是正常的，傳統金融中也會出現這樣的場景。唯一的區別就是閃電貸的零門檻零代價。很不幸的是，我們能夠封堵漏洞，但永遠防不住人心。黑客或者潛在的攻擊者會發現閃電貸完全可以為攻擊提供充足的啟動資金，這其中產生的另外一個后果就是，由于黑客的錢是借來的，所以錢和黑客本身并沒有直接的關聯，他們的身份也更加地難以追蹤。因此一句話總結：閃電貸減小了攻擊者的風險，攻擊會更加隨意。閃電貸+另一種潛在攻擊用途

SBF：FTX存在管理失誤，并未參與Alameda經營:12月1日消息，FTX創始人Sam Bankman-Fried在DealBook峰會上發表演講，他表示，“我對AlamedaResearch的頭寸規模感到驚訝，我沒有故意嘗試混合資金，我認為Alameda Research實際頭寸和平臺后臺數據之間存在巨大差異，我不知道發生了什么。”

SBF還談到了其他問題，表示FTX存在“管理失誤”，但其捐款主要來自于利潤而非客戶資金，巴哈馬父母的房產不是長期財產“但不知道是怎么付款的”，同時他還表示FTX不存在“狂歡派對”，同事之間只會玩棋盤游戲。SBF承認自己在擔任FTX營銷人員的時候撒過幾次謊。[2022/12/1 21:14:15]

作為工具，閃電貸的用途是我們永遠不能想象和預測的。我們完全不能低估“科學家”的智慧，除了經濟上的攻擊，閃電貸又被發現可以應用到別的領域的攻擊上，例如操縱去中心化社區的治理。近期，Maker基金會智能合約開發團隊檢測到一起發生在MakerDAO治理提案中的投票違規行為，大體意思是，社區的一次提案需要持有治理代幣的用戶投票，然后有一個人就利用閃電貸借出總資產，然后用來作為抵押品在借貸平臺拿到大量的治理代幣，去參與投票，投完票然后再還回去。聽到這里可能很多人會驚出一身冷汗，因為如果這次通過的是一項有利于攻擊者的戰略性提案，那造成的后果遠比一次套利攻擊要嚴重的多，而且這樣的攻擊顯然更加隱秘。閃電貸本身在這次風波中并沒有任何過錯，它反而是一種讓人眼前一亮的創新，我們通過閃電貸這樣的產物看到了DeFi的想象空間是有多大。但基于當前DeFi正處在一個實驗性階段，因此大量的漏洞和攻擊者會將閃電貸用到各種非法用途上，所以很多人認為閃電貸是一種極為危險的創新，換個角度來說也正式因為閃電貸的存在，使得各項目方更加重視安全，這也是一種價值。

Tags：DEFIDEFEFIFTXdefi幣價格漲跌原理ChargeDeFi Chargetruefi幣暴跌HDPUNK Vault (NFTX)

ADA