有人用閃電貸實現了一次治理操縱。
撰文:LeftOfCenter
閃電貸作為一種套利工具,可被用來實現以極低甚至零成本在各個DeFi協議之間進行高額套利,甚至利用可組合性的漏洞進行黑客攻擊盜取巨額資金。從去年開始,陸續發生的多起閃電攻擊事故已證明了其可行性,可以說,閃電貸攻擊就像一顆定時炸彈,已成為DeFi的巨大安全隱患。
然而,最近發生在MakerDAO社區的一起治理投票讓我們意識到,閃電貸除了用于黑客攻擊讓用戶產生直接的經濟損失之外,還可以被用于實現惡意治理操縱,即通過閃電貸「憑空」取得大部分選票,幾近以零成本花銷變更治理規則讓自己受益,從而讓用戶產生間接的經濟損失。
Messari創始人:在第二季度和第三季度Genesis解除了超過100億美元的貸款:金色財經報道,區塊鏈分析公司Messari創始人Ryan Selkis再次針對數字貨幣集團DCG和Genesis的問題發文。Ryan表示,DCG-Genesis的最后一個問題與潛在的災難性厄運有關。在第二季度和第三季度,Genesis解除了超過100億美元的貸款賬簿。鑒于Alameda和Genesis是世界上最大的兩個加密借貸方,他們很可能有貸款。看起來 Genesis 正在負責任地減少他們的很多頭寸并取消借貸。Alameda或FTX似乎不像今天的Genesis債權人。如果這是真的,那么這兩個巨頭要么沒有關系(不太可能),要么他們平倉了。[2022/12/12 21:38:13]
閃電貸和黑客攻擊
韓國稅務支持計劃中排除了區塊鏈初創企業:韓國近日宣布了一系列緊急支持措施,這些措施將使大邱市、慶山市以及大慶市的中小企業得到多達60%的稅收計劃。但是,與區塊鏈相關的公司,以及部分保險公司、律師事務所沒有資格。一些韓國區塊鏈公司表示這“令他們深感失望”。(Cryptonews)[2020/4/8]
「閃電貸」這種誕生在DeFi世界的新物種,無需任何抵押物,只要借貸和還款在一個區塊時間完成即可。這會讓聰明的開發者腦洞大開,開發出全新的DeFi應用,然而,在帶給我們驚喜的同時,閃電貸也在慢慢在打開一個DeFi的潘多拉魔盒。自去年以來,已有多起閃電貸黑客攻擊事件發生,DeFi協議中的大量資金被盜。
聲音 | V神回復網友:我們通常選擇正確解決潛在問題 除了在一次0x03編碼錯誤中將其定為異常:今日,V神被網友在推特上問道是否有客戶端開發人員選擇在問題上打補丁而不是解決潛在問題?V神表示,我們通常選擇正確解決潛在問題,并回復:“唯一的一次是在Spurious Dragon bug的問題上,其中geth和parity那里都有錯誤,導致開發人員以一個觸及0x03“錯誤”的方式進行操作。一個星期后他們達成了共識。。”[2019/8/13]
DeFi貸款協議bZx曾先后兩次因閃電貸攻擊被套利超百萬美金,知名DeFi平臺Balancer流動性池也曾遭黑客閃電貸攻擊,損失50萬美金。
英國《泰晤士報》:除了美國地區,美國司法部還在調查英國和其他國家的比特幣交易者:據英國《泰晤士報》報道,美國司法部對比特幣等加密貨幣的價格操縱調查不僅僅局限于美國地區,英國和其他國家的比特幣交易者同樣正在被調查。據知情人士透露,因為互聯網無國界,所以這次調查也沒有國界。[2018/5/26]
而就在三天前的10月26日,黑客又一次使用閃電貸套利成功從DeFi協議Harvest.Finance盜走2400萬美金。
閃電貸和治理攻擊
閃電貸攻擊的存在引人不安,尤其是在處于混沌狀態的加密早期階段,DeFi協議可組合性的加持,DeFi中的用戶猶如在危機四伏的黑暗森林中探險,如履薄冰,在高回報和高收益的表象下,閃電貸攻擊隱藏著殺機四伏的安全風險。
然而,這還不是全部。最近,閃電貸又被發現有了新的「用武之地」,即可被用來操作選票進行去中心化社區治理攻擊。
本周早些時候MakerDAO通過的一起治理投票,事后被發現該治理流程中有利用閃電貸操縱進行投票。雖然事后調查顯示,此次事件并非出于惡意,但這起事故讓MakerDAO社區意識到,閃電貸在治理結構中存在著隱形操作風險,且具有可操作性。
具體來說,10月26日,Maker基金會智能合約開發團隊檢測到一起發生在MakerDAO治理提案中的投票違規行為,該提案由DeFi流動性協議BProtocol開發團隊發起,主要目標是提議將BProtocol列入到MakerDAO預言機的白名單中,以獲得訪問MakerDAO價格預言機的權限,此次檢測發現該提案使用了閃電貸功能操縱投票以通過提案。
事后監測發現,此次提案投票過程中,有多個步驟的操縱被創建和執行,具體來說,首先從dYdX通過閃電貸借出WETH,接著將其用作抵押資產從借貸平臺AAVE中借出價值700萬美元的MKR代幣,之后借出的大約1.3萬MKR代幣被用于進行該提案投票,投票完畢后將其返還。
此次投票操縱的具體流程
該帖子指出,投票違規行為被確認后,Maker基金會與BProtocol團隊取得聯系,BProtocol團隊也一直就此事和Maker基金會保持良好透明的溝通,并愿意為這起閃電貸負責。
誠然,此次治理操縱事件的發生并未帶來巨大損失,但是這起治理事故仍然意義重大,它提醒我們,閃電貸不僅可以產生直接的經濟損失,還可通過治理操縱導致間接的經濟損失,且具有可操作的空間,而后者顯然更加隱秘。
這意味著,DeFi用戶尤其是社區治理者必須意識到閃電貸的潛在風險,即它可能對治理系統產生影響,最終可能引發經濟損失,而對于Maker社區而言則更加迫在眉睫地急需對MKR市場的流動性進行積極地監控。
Maker社區論壇上,已針對未來如何防范閃電貸治理攻擊進行一系列討論,比如將GSM暫停延遲增加至72小時,讓MKR持有者有更長的時間對治理攻擊做出反應,禁用治理參與者的某些功能。
隨著DeFi逐漸變得成熟,可組合性會使整個系統風險呈指數級增長,在各個協議通過組合帶來機會的同時,也面臨兼容性風險。處于蠻荒早期的DeFi生態安全問題仍然任重而道遠。
來源鏈接:forum.makerdao.com
數字貨幣高頻量化系統開發,量化對沖聚合交易所開發首先量化交易可以很好的代替人工去交易,用開發好的策略程序代替扔進行自動化交易,那么量化有好幾種.
1900/1/1 0:00:00加密交易所排名平臺CerLive最近的一份報告顯示,排名前25位的去中心化交易所中有14個在網絡安全方面得分很低.
1900/1/1 0:00:00首屆上海CT國潮音樂動漫游戲嘉年華將于10月31日至11月1日在上海市寶山區科創園舉辦,本次漫展融合了《中國電子競技娛樂大賽》《中國好宅舞》《COMICTIME》三大賽事.
1900/1/1 0:00:00自ETH2.0采用BLS簽名技術以來已有2.5年左右,以下是一些里程碑事件。2018年5月,我在ethresear.ch上發表了一篇文章,指出BLS簽名可以讓ETH2.0實現32ETH的最低質押.
1900/1/1 0:00:00尊敬的虎符用戶 為了滿足用戶對優質項目的需求,HooLabs將于2020年11月5日15:00-17:00重磅開啟LTX項目支持.
1900/1/1 0:00:00或許和大多數人猜測的不一樣,2020年數字貨幣領域市值增長最快的不是來自美國年輕群體流行的手機支付應用CashApp的用戶買入的比特幣,也不是因為DeFi技術應用落地而快速發展的以太坊.
1900/1/1 0:00:00