DEFI:如何通過閃電貸操縱預言機價格？_Request Network

作者：知魚|NestFans論壇描述：近期DeFi生態中發生了連續五次閃電貸操縱預言機價格的事故，這究竟是技術問題還是機制問題？正文：從今年二月份到現在，閃電貸攻擊頻頻發生。前幾日，知名白帽子SamSun在推特發文，具體闡述了DeFi為何頻繁發生價格預言機操縱攻擊的問題。北京時間11月15日凌晨，又一次操縱預言機價格的攻擊，去中心化金融協議ValueDeFi遭遇閃電貸攻擊，攻擊者通過復雜的方式從Value協議的金庫中轉移走了大約700萬美元，隨后歸還了200萬美元，并附上了一條帶有嘲諷意味的信息：“你們真的懂閃電貸嗎？”。而在攻擊發生前一日，ValueDeFi公開宣稱自己是DeFi領域最安全的協議，并且能夠抵抗閃電貸攻擊。就在筆者撰文的此刻，一則新聞出現，又一次閃電貸攻擊，使得去中心化共享經濟協議OriginProtocol損失700萬美元。僅僅三周時間，HarvestFinance、Akropolis、ValueDeFi、CheeseBank和OriginProtocol這五個DeFi協議接連遭到閃電貸攻擊，均為百萬美元級別以上，最終都是要投資者買單，至此，我們不得不認真去審視閃電貸操縱價格預言機的問題。閃電貸是什么？

墨西哥官員會見Samson Mow討論墨西哥如何采用Bitcoin:金色財經報道，Bitcoin Magazine在社交媒體上發文表示，墨西哥參議員兼財政部委員會主席會見Samson Mow討論墨西哥如何采用Bitcoin。[2023/4/30 14:35:25]

在DeFi的世界中，閃電貸是可以讓任何人無需許可、無需抵押，便可立即借出一大筆資金，在DeFi各協議之間進行操作套利，但在一個區塊內必須還回去，否則交易回滾，取消此次任務的執行。這相當于，閃電貸可以讓任何人在短時間擁有巨量資金從而具備操縱市場的能力，像巨鯨一樣游走在各個DeFi協議之間。簡單來說，就是你可以只消耗一點gas費，無需做任何抵押，便可以擁有巨額資金，并在1個區塊時間內歸還資金。為什么會有閃電貸？

早期在DeFi的借貸中，是需要超額質押，才能借到一筆錢，資金利用率很低。隨著DeFi生態的繁榮，智能合約之間可以互相支持調用，閃電貸也由此誕生。最早討論閃電貸的是Aave協議，第一筆flashloans也來自Aave協議。其初衷是為了提升資金利用率，確保用戶無需抵押來實現快速借貸。雖然閃電貸極大的提高了加密資金的利用率，但也同時埋下了一些安全隱患。一筆鏈上交易可以做很多事情，使得用戶可以在借款和還款間加入其它鏈上操作，這就存在了作惡的空間，攻擊者可以惡意的利用閃電貸借入、交換、存入并再次借入大量的Token，人為地在算法定價的DEX里操縱該Token的市場價格，這就出現了目前常見的閃電貸攻擊。應以區塊鏈的視角去看待閃電貸

SAFE空投仍有超3200萬枚未被領取，SafeDAO正討論如何分配該部分代幣:12月29日消息，隨著12月27日申領期結束，Gnosis Safe分配給用戶的SAFE Token空投中仍有超過3200萬枚未被領取。

SafeDAO正在討論如何處理來自未領取的用戶空投分配，目前方案包括：

1. 將該部分Token按比例分配給已經領取空投的用戶，這將是已領取空投的1萬名社區成員分配數量的三倍，但會考慮添加更長的歸屬期；

2. 使用該部分Token獎勵加密社區的貢獻者；

3. 保留在SafeDAO中；

4. 混合上述三種選項，其中的15%進行第二輪空投、15%作為開發者的獎勵、70%保留在SafeDAO。[2022/12/29 22:14:58]

我們探討閃電貸的問題，需要從本質上去探討，從區塊鏈的本質來探討。在區塊鏈的世界里，是假定每個人都是作惡者，就像中本聰創建比特幣網絡，連自己都假定為作惡者，才能保證系統的安全和去中心化。所以，閃電貸在某種意義上，是讓每一個人都有機會成為“超級作惡者“，這是有必要的。如果這些“超級作惡者”成功作惡，直接的證明了DeFi協議的脆弱性，DeFi是不成立的，是需要進行革新和改進的。因為，這種成功也間接證明了一個真實的“巨鯨”進行此類攻擊也是可以完成攻擊的，如果DeFi生態連這一關都過不了，何談系統安全性，如何去承載萬億美金市值的加密市場呢？所以面對閃電貸，DeFi科學家們需要解決的真正問題是：閃電貸到底攻擊的是什么？是技術問題還是機制問題？閃電貸攻擊并不是DeFi生態中真正的系統性根源風險，究其本質在于Oracle攻擊，據samczsun.com網站研究人員發布的報告，在2020年，針對價格Oracle操縱行為非常多，迄今為止已導致逾3000萬美元損失，而且沒有放緩的跡象。該報告還指出，多年來基于可重入性的攻擊已經減少，而基于價格Oracle操縱的攻擊現在正在上升。這并不是簡單的代碼漏洞，其本質其實是機制的漏洞，換句話講就是：遭受閃電貸攻擊不是技術問題，而是底層邏輯的機制問題。關于預言機的探討

掌柜調查署 | 競爭之下平臺幣會如何發展？:4月14日16:00，AAX交易所CEO Thor Chan將攜帶新上線的平臺通證AAB做客金色財經掌柜調查署，一起來看競爭之下，平臺幣會如何發展。更多詳情點擊原文鏈接查看。[2020/4/14]

DeFi生態現在需要認清一個現實，價格預言機是DeFi生態最為重要的底層基礎設施！如果預言機問題解決不了，那么代碼質量再好的DeFi協議也都只是空中樓閣。如果想要在鏈上形成一個龐大的DeFi市場，首先第一步就是要在鏈上生成價格。但是區塊鏈無法在鏈上自動生成價格信息，需要依賴外部設施寫入價格信息，所以，“寫”這個動作就至關重要，如何讓價格信息以去中心化的方式直接在區塊鏈上生成出來，便是預言機要做的事情。現在市面上的預言機大部分是間接預言機，只是數據的搬運工，把數據上傳到鏈上，靠的是信譽節點喂價。接入各交易所API，各節點間進行驗證達成某種公允價格，上傳到鏈上供DeFi生態使用，這是非常危險的。去中心化的Oracle網絡，在多個交易所中接入API存在交易量和流動性差異，本身就加大了Oracle攻擊風險。而且閃電貸系統攻擊也證實了，這種低成本的上傳價格數據，不是在整個市場上進行驗證的價格給DeFi協議使用是不負責任的。就像SamSun所講：“如果選擇使用這些解決方案，你現在已將信任委派給第三方，你的用戶也只能這樣做”。這不是代碼技術問題，這是經濟邏輯和底層邏輯的問題，“寫”這個動作或者“寫”進去的數據沒有得到全市場驗證。我們來看一下NEST預言機的解決方案

動態 | 火幣中國CEO與馬來西亞總理討論區塊鏈將如何在馬來西亞落地:據雅虎財經消息，近日，火幣中國CEO袁煜明與馬來西亞總理馬哈蒂爾（Mahathir Mohamad）就“如何在制造業和能源行業中應用區塊鏈”以及“區塊鏈將如何在馬來西亞落地”進行了討論。[2019/5/29]

NEST預言機方案采用了逆向驗證的新思路，報價礦工要拿真金白銀去參與報價，而不僅僅上傳價格數據到鏈上合約中，在承擔風險以及付出報價手續費的情況下，有成本的價格輸出才是值得考量的，并且需要經過市場區塊驗證。有關NEST預言機的具體運行機制，我們以ETH/USDT價格為例進行說明：1、任意參與者可以將自己認可的價格傳入到報價合約，比如1ETH=400USDT，然后將這兩種資產按照價格比例，打入到報價合約里，初始是30ETH的規模，并收取ETH規模的0.3%作為手續費，進行挖礦，獲得NEST激勵；2、打進去后，等待T0時間，這個時間周期內任何人可以用報價者的價格去買走ETH或者USDT，如果T0內沒有人成交，則該報價被系統錄用，有人成交則該價格無效。超過這一時間，資產即可取回；3、如果有人愿意與報價者成交，那么他成交的同時，也要按照上述標準報一個新的價格進去，這樣就在初始報價P0后面形成p1、p2…價格鏈。4、成交者的報價規模，是他成交規模的beta整數倍，其中beta>1，這意味著價格鏈一定會隨著規模的擴大而最終終止，并且作惡者的成本幾何級增長，從而對抗攻擊行為。5、NEST價值：挖礦手續費及使用預言機需要支付一定的ETH費用，統一到分紅合約，分配給所有的流通NEST持有人。這樣的NEST分布式價格事實預言機方案在具體結果上的表現為：其數據具備準確性、靈敏性、抗攻擊性，而且能夠對數據進行直接驗證，且驗證者可以是任意第三方，沒有門檻限制；此外，NEST預言機網絡系統是高度分布式的，任何人都可以成為報價礦工，參與報價挖礦，自由進入或退出。在NEST報價機制里面，你用真金白銀去寫入的價格，要交給全市場驗證，只有活過25個區塊的價格數據才會被NEST預言機系統錄入，僅僅這一點，閃電貸攻擊就無法實現，因為閃電貸必須在一個區塊內及時還款，若想操控NEST預言機，幾乎不可能。最后，我們對當前的預言機現狀和發展趨勢做一個小結：1、中心化的預言機方案必然存在著中心化系統風險，且無法擺脫。2、價格數據上鏈的本質不是往鏈上“上傳”數據信息，而是要在鏈上形成價格事實；不管是中心化的上傳價格信息，還是以去中心化的方式上傳，都意味著鏈下價格事實先于鏈上產生。而真正的預言機系統，應該要做到鏈下價格事實同步產生于鏈上。3、NEST分布式價格事實預言機給出了一個開創性的預言機方案，其獨特之處在于：直接在鏈上形成一個價格事實，而其他間接預言機系統則只是往鏈上傳了一個價格事實，這是本質差異！4、此外，預言機價格形成的成本和信用規模，要能夠支撐遠超過該規模的DeFi，才是正確的預言機；NEST分布式價格事實預言機產生的每一條數據都是礦工用真金白銀去驗證的，且其鏈式結構具備高抗攻擊性。希望更多的DeFi生態科學家正視預言機問題，共同參與預言機這一基礎設施的建設，和維護基礎設施的網絡安全，促進DeFi生態繁榮發展，使其具備能夠承載萬億美金市場的可能性。

現場 | 降維安全CTO：交易所應該如何保護數字資產:12月16日，由ChainUP主辦，節點資本等聯合主辦的“Future BlockChain”全球行活動在韓國舉辦。降維安全CTO在會議中表示，交易所主要面臨Hacker、惡意量化團隊、惡意用戶、惡意項目方這些外部攻擊。具體到黑客攻擊有以下四點：DoS勒索、Web滲透/APT社會工程學攻擊以及利用區塊鏈項目自身的漏洞進行攻擊。據降維安全統計，交易所應用（不涉及期貨合約）風險，共有5大類，14個子類，68個風險點。他表示：專業的事情應該交給專業的人做，選擇專業的交易所系統和專業的安全服務商，非常重要。[2018/12/16]

Tags：DEFIEFIDEFEST去中心化金融defi入門分析與理解WeFilmChaindeFIRERequest Network

AAVE