USD:安全 | 兩千爆漲至四萬美元，閃電貸套利事件分析_DeFi Firefly

CertiK安全研究團隊發現一起交易量巨大的閃電貸行為，兩千美元轉眼變成四萬美元，這是什么致富手法？

兩千美元轉眼爆漲20倍，這是什么致富手法？

北京時間8月10日下午1點58分，CertiK安全研究團隊發現位于以太坊區塊鏈區塊高度10633645處發生交易量巨大的閃電貸行為。經過分析研究，CertiK安全研究團隊認為該次事件是一起精心設計的套利事件，不涉及任何區塊鏈及智能合約的漏洞安全問題。

慢霧創始人余弦：助記詞/私鑰等敏感信息交給對安全不夠負責任的錢包來守護簡直就是諷刺:金色財經報道，慢霧創始人余弦在社交媒體上針對Atomic Wallet被盜事件稱，又一個知名錢包出現嚴重被盜事件，助記詞/私鑰如此敏感的信息交給對安全不夠負責任或安全等級不足夠高的錢包來守護，簡直就是諷刺。這里的信息不對稱太嚴重了，連我都難以回答哪些錢包是持續安全的...

助記詞/私鑰就應該躲在加密芯片、離線環境或可信環境里，用多簽/MPC去單點故障也行。

金色財經此前報道，根據ZachXBT統計的數據，Atomic Wallet鏈上被盜資金已經超過1400萬美元，估計至少有2000萬美元被盜。[2023/6/4 21:14:36]

“閃電套利”是DeFi領域的特有手法，更有“DeFi點金術”之稱，不僅充分利用了區塊鏈智能合約的特性，直接實現無沖擊風險的套利模型。而在配合“閃電貸”提供的低成本資金后，更是最大限度地降低了資金風險、提升了資金利用率，使得套利作為市場價格發現機制的作用發揮到了極致。

慢霧：2021年上半年共發生78起區塊鏈安全事件，總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計，2021年上半年，整個區塊鏈生態共發生78起較為著名的安全事件，涉及DeFi安全50起、錢包安全2起，公鏈安全3起，交易所安全6起，其他安全相關17起，其中以太坊上27起，幣安智能鏈(BSC)上22起，Polygon上2起，火幣生態鏈(HECO)、波卡生態、EOS上各1起，總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現，約60%的資金被攻擊者轉入混幣平臺，約30%的資金被轉入交易所。慢霧安全團隊在此建議，用戶應增強安全意識，提高警惕，選擇經過安全審計的可靠項目參與；項目方應不斷提升自身的安全系數，通過專業安全審計機構的審計后才上線，避免損失；各交易所應加大反洗錢監管力度，進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

火幣研究院：DeFi挖礦熱潮凸顯智能合約安全性問題，需警惕無多簽機制合約:近期隨著DeFi挖礦的熱潮，出現了不少智能合約的遷移或安全事件。火幣研究院指出，在以太坊上智能合約的靈活程度較低，已經部署的智能合約代碼無法直接覆蓋升級，因此在需要進行漏洞修復或者功能升級時，只能通過發布新合約等手段進行功能和數據的遷移，比如YAM、SUSHI等項目。但在EOS網絡中，智能合約可升級性是在白皮書中明確指出的功能，合約的管理員可以像部署合約一樣對合約進行覆蓋升級，這意味著管理員有權限通過升級合約代碼等方式拿走合約中的資金，對投資者而言意味著極高的資金風險。但值得注意的是，在EOS網絡中也可以通過設置多簽等手段，限制靈活性避免集中化控制，投資者可以通過是否多簽對合約安全系數做簡單判斷。總而言之，在區塊鏈世界，靈活性的提升往往伴隨著權限合理配置的難度增加和新的安全風險。[2020/9/10]

此次套利事件簡單的解釋就是我們熟悉的低買高賣，利用價格差異獲取利潤的交易方式。

聲音 | 金融壹賬通施奕明：信息安全標準的升級將提升區塊鏈等技術:據《證券日報》報道，金融壹賬通智能風控總經理、加馬人工智能研究院首席科學家施奕明在接受采訪時表示，5G出來之后，信息安全的標準會升級，信息會得到更好的保護。在區塊鏈、云技術上會有很大的提升。[2019/8/15]

隨著DeFi這一個基于區塊鏈技術的新型金融領域出現，套利等利用金融知識來獲利的交易行為方式也必然被應用于DeFi中。

本次套利事件的流程如下：

圖片來源：https://etherscan.io/tx/0x01afae47b0c98731b5d20c776e58bd8ce5c2c89ed4bd3f8727fad3ebf32e9481

事件流程

交易者從dYdX中借貸到約405k的USDC

交易者利用自己準備的45k和借貸到的約405k的USDC，總共450kUSDC，從Uniswap中置換出約1072個ETH。

交易者繼續用置換到的所有ETH，在Uniswap中置換出約493k的USDT。(1ETH=459.822535801USDT?）

交易者通過curve.fi，將獲得的約493kUSDT置換回到USDC，最終共獲得493k的USDC。

使用最終獲得的493kUSDC去償還一開始從dYdX中借貸的405kUSDC

整個流程的獲利約為493k-405k-45k=43k，考慮到其中大約2k的交易費用，交易者的最終獲利約為41kUSDC。其中獲利主要發生于第2和第3步，在Uniswap中的ETH對USDT和USDC這兩種代幣的兌換率差價。

本次套利并不是發生在DeFi中的第一次套利事件。今年2月份，不明身份人士試圖通過操控DeFi貸款協議bZx，套利約36萬美元。

而DeFi之所以會成為套利交易者的目標市場，CertiK安全研究團隊認為主要原因是DeFi項目中存在閃電貸這一種特別的、有別于傳統金融貸款運作方式的項目。

其特點主要為：

不需要抵押

實時到賬

閃電貸的限制條件是其必須在一次交易中完成貸款-操作-還款的完整操作。如果還款操作最終沒有別完成，即貸款者沒有歸還，那么整條交易就會被撤銷還原，以此來保證安全。

也就是說，如果你借款1萬元，到期沒有歸還，那么這一萬，就當你沒有借過，所有操作都會回滾。

因此憑借閃電貸的優勢，交易者可以不依靠抵押或者自身資金而獲得大量資金用于自動套利流程，如果真正的完成了套利交易獲得利潤，可以說就是“空手套白狼”了。

在本次事件中，可以看到交易者雖然自身準備了45k的USDC，但是更多的還是依靠從dYdX中借貸到的405kUSDC作為套利交易的啟動資本。

利用無需抵押的閃電貸，交易者可以輕易獲得大量啟動資本來進行包括套利在內的金融交易。

建議

本次套利事件的發生的前提條件是在不同的DeFi交易所中依舊存在著價格差。

CertiK安全研究團隊建議：

從控制價格差的角度思考，不同交易所之間建立價格同步機制或者采用同一種價格預言機，可以降低套利事件發生的概率。

從執行套利事件的智能合約角度思考，對涉及交易數目巨大的交易采取額外的驗證步驟或者提高對該種交易的交易費用，會減少套利事件的發生。

Tags：USDEFIDEFIDEFBitkeep錢包usdt怎么換人民幣LendefiDeFi FireflyDEFLA

DYDX