DEFI:三天三次閃電貸攻擊 DeFi為何如此脆弱？_DEF

之前，起源協議OriginProtocol穩定幣OUSD被爆出遭到閃電貸攻擊，OriginProtocol共損失225萬美元的DAI和100萬美元的ETH。隨后不久，OriginProtocol創始人MatthewLiu發文公布OriginDollar閃電貸攻擊事件細節。

文中表示，此次閃電貸攻擊已造成約700萬美元損失，其中包括Origin以及創始人和員工存入的超過100萬美元資金。Origin團隊正在全力以赴確定漏洞原因，以及確定是否能夠收回資金，并強調，團隊不會離開，此次攻擊事件不是欺詐，也不是內部騙局，稱黑客技術卓絕，愿意聘請其為安全顧問，如果黑客全額歸還資金，將不對其進行追蹤也不采取法律措施。截止目前并沒有進一步進展。

Origin并特地提醒用戶，目前已取消了金庫存款，不要在Uniswap或Sushiswap上購買OUSD。Origin團隊也表示正在采取措施以追回資金，包括和交易所以及其他第三方合作，以此識別出黑客地址，對資金進行凍結。黑客使用TornadoCash和renBTC來洗錢和轉移資金，目前還有7137枚ETH和224.9萬枚DAI留在黑客錢包中。

數據：比特幣交易費用較三天前翻倍，以太坊網絡費用本月上漲180%:bitinfocharts數據顯示，7月12日開始，比特幣單日平均每筆交易費用大幅上漲，截至目前為5.59美元，較三天前增加120%，較7月12日增加近六倍。與此同時，blockchain.com數據顯示，堵塞在比特幣內存池（mempool）中的大量未確認交易在7月24日達到峰值，大小達到80MB。另外，以太坊的網絡費用也在本月上漲了180%，單日平均每筆交易費達到1.5美元。

注，內存池是所有未經確認的比特幣交易都要等到所有確認消息被公布后才能完成所有交易的地方。內存池越大，確認交易所需的時間就越長，因為需要確認的塊將會越多。[2020/7/30]

來源：medium

受到攻擊事件的影響，OUSD價格出現急跌，跌至0.13美元，同時Uniswap中OUSD流動性也從16日的35萬美元跌至12萬美元。

GOKO平臺Filecoin期貨上線三天漲幅18.2%:根據GOKO行情顯示，FIL于6月29日21:30上線GOKO交易所，開盤價12.5USDT，已經連續三天上漲，目前漲幅18.2%,現報價14.78USDT。

GOKO本次上線的FIL是Filecoin主網上線后3個月的期貨，用戶屆時將獲得平臺兌付Token。Filecoin是在IPFS其上的激勵層，通過token激勵模式在IPFS網絡上構建了一個去中心化的存儲市場。

星際文件系統IPFS是一個面向全球的、點對點的分布式版本文件系統，目標是為了補充（甚至是取代）目前統治互聯網的超文本傳輸協議（HTTP），將所有具有相同文件系統的計算設備連接在一起。

GOKO交易所是一個社區化治理的加密資產交易平臺，公平、公正、安全可信賴，是一個社區友好型的交易所。目前已獲得節點資本戰略投資。[2020/7/2]

至于具體的攻擊手法，根據目前Origin團隊的分析，攻擊者是利用了一筆小額貸款和OUSD合同中的漏洞來啟動所謂的“變基”，在將SushiSwap和Uniswap上新產生的代幣交換為USDT之前，攻擊人為地夸大了協議中OUSD代幣的供應。

EX-IO平臺幣ET上線連續三天漲停5%:據悉，EX-IO平臺已于新加坡時間5月14日上線平臺幣ET/USDT交易，并已開放充提幣通道。ET初始價格0.1USDT，今日為ET上線第三個連續漲停板5%，現報0.1157USDT。EX-IO已經開啟正循環挖礦模式，在平臺交易主流幣即送平臺幣ET，每天最多可挖5萬個ET。平臺將所有手續費凈收入100%用于二級市場24小時的ET托盤回購及銷毀工作，數據實時公開透明，詳情請見官網公告鏈接。[2020/5/16]

在過去短短的三周時間里，這已經是第五個遭受閃電貸攻擊的DeFi項目，HarvestFinance、Akropolis、ValueDeFi和CheeseBank，損失均在百萬美元級別以上，大部分損失最終都是散戶在買單。那么閃電貸攻擊到底是什么？為什么DeFi總是遭受黑客攻擊？

比特幣共識大會第三天觀點匯總:1、Square首席執行官Jack Dorsey：數字貨幣是未來的發展方向。互聯網理應擁有一個原生貨幣，且它將擁有一個原生貨幣，我希望它會是比特幣。使用比特幣或其他加密貨幣作為全球貨幣，將降低Dorsey’s payments進入新市場的障礙。Dorsey對 Lightning Labs CEO表示：“我們想要回到最初的想法——用比特幣購買咖啡，這就是我們與你們合作的原因。”2、Coinbase的CTO Balaji Srinivasan稱，目前像微軟這樣的公司正在密切關注數字貨幣行業。目前有三種類型的投資者入場，投資者數量正在迅速增加，第一波組是數字黃金，第二波是智能合約，我認為第三波將是小額支付。3、Ledger CEO Eric Larcheveque稱，計劃啟動機構加密交易。他表示：“如果想擴大加密交易的規模，不能單靠區塊鏈。”4、Union Square Ventures合伙人Fred Wilson認為，現在的一些加密貨幣在十年后會變得令人感到驚訝。此外，他還表示價值是在代幣中的，而非建立在這些加密貨幣之上的企業中。[2018/5/17]

閃電貸：迷人又危險

可能大部分用戶最早聽到閃電貸攻擊這個名詞，是在今年2月bZx遭受閃電貸攻擊，當時攻擊者僅用時13秒即套利36萬美元，雖然bZx通過adminkey限制了操縱人提現，使攻擊者無法真正套利，但自此之后“閃電貸”開始頻繁成為熱門話題，巨額的套利收益抓人眼球。

閃電貸FlashLoan隸屬DeFi生態，DeFi熱度全面起來之后，各種安全問題隨之而來，閃電貸就是一種常見的攻擊方式。閃電貸與傳統的DeFi借貸有很大的不同，傳統的DeFi借貸要求用戶在前期對貸款進行超額抵押，也導致資金利用率較低。而閃電貸則允許借款人無需抵押資產即可實現借貸，只要求借款人必須在同一個區塊中償還即可，否則就會被收回，整個交易回滾，閃電貸也不會發生。

閃電貸在極大提高資金利用率的同時埋下了安全隱患。一筆鏈上交易可以做很多事情，使得用戶可以在借款和還款間加入其它鏈上操作，這就存在了作惡的空間，很多用戶惡意利用閃電貸借入、交換、存入并再次借入大量的Token，人為地在DEX里操縱Token價格。這出現了目前常見的閃電貸攻擊。

有人曾這樣評價閃電貸，“閃電貸之于DeFi，就是一個核彈，而且開關擺在廣場上，它的危險程度用PoS類比，相當于任何人可以通過付利息的方式來借用全網Staking進行51%攻擊。”試想任何一個普通用戶分無分文卻可以控制巨額資金，空手套白狼，誰人不心動，這或許是只有區塊鏈才能帶來的的新奇金融世界。

但是有一點需要表明的是，用戶利用閃電貸進行的一系列套利行為從交易的本身來講是被允許的。技術沒有對錯，閃電貸只是一種工具，如果錯了那么就是因為使用工具的人。

DeFi：新奇又脆弱

閃電貸攻擊自bZx攻擊事件之后頻繁發生，但是閃電貸攻擊并不是DeFi生態中真正的系統性根源風險，究其根源在于Oracle攻擊，閃電貸攻擊往往只是對Oracle的攻擊。Oracle是連接鏈上DeFi應用和鏈下數據的中間件，由于使用去中心化的Oracle網絡，在多個交易所中存在交易量和流動性差異，那就加大了Oracle攻擊風險。

據samczsun.com網站研究人員發布的報告，在2020年，針對價格Oracle操縱行為非常多，迄今為止已導致逾3000萬美元損失，而且沒有放緩的跡象。還指出，多年來基于可重入性的攻擊已經減少，而基于價格Oracle操縱的攻擊現在正在上升。

其實很多閃電貸攻擊并不涉及到任何區塊鏈及智能合約的漏洞安全問題，這讓避免閃電貸攻擊變得難以捉摸，攻擊發生之時也沒有太多時間留給項目反應。很多閃電貸套利事件發生的前提條件只是因為在不同的DEX中存在價格差。

區塊鏈安全公司CertiK針對這種價差套利提出了兩點建議，第一，從控制價格差的角度思考，不同交易所之間建立價格同步機制或者采用同一種價格預言機，可以降低套利事件發生的概率；第二，從執行套利事件的智能合約角度思考，對涉及交易數目巨大的交易采取額外的驗證步驟或者提高對該種交易的交易費用，會減少套利事件的發生。

閃電貸發明的本意是讓想開發者可以任意借貸而無需提供質押物，但也打開了潘多拉魔盒。

未來閃電貸不會消失，但會以何種形態繼續發展不得而知，雖然有風險，但是在這之中確實看到了金融的創新，這是區塊鏈的想象力，是DeFi去中心化金融所帶來的新金融體驗。DeFi本就是一場大型的社會實驗，有成功自然也會失敗，這還不是終點，等待DeFi的完美試驗結果。

Tags：DEFIEFIDEFUSDMetaegg DeFiFriends With Benefits ProDEFT幣usdc幣價格

MATIC