编者按:本文来自蜂巢财经News,作者:凯尔,Odaily星球日报经授权转载。半个月内,发生在DeFi协议上的闪电贷攻击一起接着一起,闪电贷成了黑客借来生「金蛋」的鸡。进入11月,ValueDeFi、起源协议OriginProtocol、Akropolis和CheeseBank都遭到了闪电贷攻击,总损失额超过1000万美元。ValueDeFi的前身是被称为「五姨夫」的YFV,它的损失超过540万美元,这还是黑客「归还」了200万美元后的结果。颇有戏剧性的是,在被攻击前一天,该团队曾公开表示Value是最安全的DeFi项目,随后便被黑客「光顾」。成都链安解释,「闪电贷攻击」指利用闪电贷和其他漏洞结合后,进行套利和操纵价格等攻击。「闪电贷本身不是漏洞,不过作恶者可以利用它,以极低的成本撬动巨量资金,在多个协议间进行价格操纵或套利。」区块链开发者小岛美奈子认为,黑客能轻易操纵价格的原因是DeFi协议没有采用安全的预言机策略,即当预言机传达数据失真时,攻击便极易发生。另有行业人士点出本质,DeFi协议在实现本身的功能时,采用单一市场价格反馈的设计极其危险。「因为是新的事物,很多项目在设计时并未充分考虑到这方面风险。」成都链安提示,项目方在业务逻辑设计时,应当考虑这类极端情况,必要时应找专业的审计机构审计。4天内两DeFi协议遭「闪电贷攻击」
安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]
11月17日,起源协议OriginProtocol的稳定币OUSD遭闪电贷攻击,价格最低跌至0.13美元。此次攻击使得OriginProtocol共计损失了225万美元的DAI和100万美元的ETH。就在这起安全事故的3天前,DeFi协议ValueDeFi也被黑客「光顾」,里面也涉及到闪电贷这一工具。11月14日23点36分,ValueDeFi的MultiStables机池遭受黑客攻击,损失将近740万美金的DAI。此前,ValueDeFi曾在社交平台宣布自己是最安全的DeFi,结果立马被打脸。黑客在完成攻击后还返还了200万美元,并以「doyoureallyknowflashloan」的提问发出嘲讽。
Fairyproof:LP价格采用加权平均无法有效预防闪电贷:3月22日消息,Fantom上部署的DeFi应用OneRing Finance遭到攻击。本次攻击黑客的地址为Fantom上的0x12EfeD3512EA7b76F79BcdE4a387216C7bcE905e。黑客借助部署在0x6A6d593ED7458B8213fa71F1adc4A9E5fD0B5A58上的攻击合约发起了本次攻击。由于该合约在特定区块会自行注销,这使得外界难以追踪OneRing上具体哪个函数被调用从而引发了本次攻击。
在攻击中黑客首先利用Celer Network的cBridge通过跨链获得了发起攻击的GAS。接下来在部署上述攻击合约后的15分钟,通过闪电贷向Solidly借到80,000,000USDC,通过推高LP价格,改变了OShare代币的价格,从协议获取大量OShare代币,掏空了OneRing的资产。黑客最终将盗取的资金从Fantom跨链转回到以太坊并最终通过Tornado.Cash套现。
在本次攻击中,Fairyproof发现该协议计算LP价格的方式不合适,本协议使用的计算方式使得LP价格是瞬时价格,因此极易被操纵。[2022/3/22 14:11:03]
My Farm Pet疑遭闪电贷攻击,今日跌幅达79.86%:据派盾数据,My Farm Pet疑遭闪电贷攻击,派盾希望其检查价格预言机。另外,CoinMarketCap数据显示,My Farm Pet今日跌幅达79.86%。[2021/10/6 20:09:15]
ValueDeFi的MultiStables机池正常页面闪电贷似乎成了黑客近来最得心应手的工具。今年以来,多起DeFi的安全事故都被安全机构指出利用了「闪电贷攻击」,受害项目方包括bZx、Balaner、Havest、Akropolis、CheeseBank等,以及最近的ValueDeFi和OriginProtocol。「开发者还没有了解以太坊的特性,」区块链开发者小岛美奈子认为,频频发生闪电贷攻击是因为项目开发者对此缺乏了解。闪电贷是什么?利用它的攻击到底是怎么发生的?Jeff是区块链安全公司PeckShied硅谷研发中心负责人,他对蜂巢财经介绍,区块链上的闪电贷是一种「不需要抵押就可以借贷」的贷款方式,但贷方必须在同一区块内还贷,否则这个交易就会失败。所以闪电贷对借款平台来说基本是零成本、零风险。而黑客就可以利用这样的贷款方式,以很小的成本借出大笔资金,然后用这笔资金去造成一些数字资产的价格波动,再从中渔利。根据安全机构的梳理,我们可以清楚地从ValueDeFi的这起攻击中,看到闪电贷攻击的运作方式。当晚,黑客先通过Aave的闪电贷功能借来8万枚ETH,紧接着通过UniswapV2上的闪电贷借来1.16亿枚DAI。借来大把钱后,黑客开始在Curve和ValueDeFi上操纵价格进行套利。选择这两个协议,黑客是利用了它们之间的关联——Curve上有USDC的兑换池,要想在ValueDeFi合成资产3CRV,也需要用到USDC。在Curve上,黑客主要是用闪电贷借来的钱抬高USDC的价格,一度让这个美元稳定币脱锚上涨至1.788美元。而在ValueDeFi上,黑客将一部分DAI存入该协议的机池中,铸造出名为3CRV的合成资产。ValueDeFi机池合约中有3种合成资产,分别是3CRV、bCRV和cCRV,为了方便计价,该协议合约在铸币时会将bCRV、cCRV转换成3CRV进行计价,转换途径需先将bCRV/cCRV换成USDC,再把USDC换成3CRV。问题就出在这里。由于ValueDeFi以Curve的价格作为预言机,而Curve上USDC的价格已经大幅上涨。因此,当攻击者发起3CRV提现时,合约会照常将bCRV、cCRV转换成以3CRV计价,但此时USDC/3CRV的价格被操作拉高,导致用bCRV、cCRV能兑换出更多的3CRV。黑客正是凭此完成了套利,在归集资产、还完闪电贷后,空手套利740万美元。简单来说,整个过程中,闪电贷本身正常运行,但黑客先后利用Aave、UniswapV2的闪电贷功能借出一大笔钱,再通过Curve操纵USDC的价格,影响ValueDeFi的功能,铸币套利。预言机策略失当是风险源头
去中心化借贷平台Ruler Protocol支持闪电贷功能:3月8日消息,去中心化借贷平台 Ruler Protocol 官方表示,平台将支持闪电贷,单笔执行费用为 0.085%。[2021/3/8 18:25:19]
从ValueDeFi的失窃案例看,它被攻击主要是由于预言机出了问题。实际上,被攻击时只是Curve上的USDC价格出现了短暂偏差,其他市场的USDC价格并没变。但由于ValueDeFi采用的是Curve现货价格作为预言机,才导致了套利空间的出现。小岛美奈子认为,防范闪电贷攻击,需要协议开发者使用安全的预言机策略。但怎样才算得上是安全的预言机策略?这正是目前开发者需要持续探索的难题。由于闪电贷攻击频频发生,这个功能被一些人贴上了黑标签。有人认为,闪电贷是危险的工具;还有人觉得,它只是让协议的漏洞更早暴露出来,对协议的安全提升有益。Chainlink的CMOAdelynZhou便是带着发展的眼光来看待闪电贷的两面性。他认为,闪电贷的新奇之处在于,它可以让世界上任何一个人短暂地成为资金充裕的交易者,当然,这也让这个人具备了突然操纵市场的可能性。但本质上,「闪电贷攻击」这个词并没有抓住问题的全部。闪电贷本身不是漏洞,它只是揭示了DeFi存在已久的系统性风险。AdelynZhou与小岛美奈子的观点一致,即闪电贷攻击往往只是对价格预言机的攻击,「DeFi生态系统中真正的系统性风险是围绕着中心化的Oracle,而不是闪电贷。」因此,AdelynZhou认为,「闪电贷攻击」这种说法分散了关注点,一些拥有数亿美元TVL的DeFi协议仍然依赖于单一交易所的价格反馈Oracle,这才是导致价格容易被操纵的根源。这其实与一些中心化交易所合约市场被操纵的情况类似。去年5月,Bitstamp交易所BTC现货价格闪崩,导致合约交易平台Bitmex短时爆仓2万个比特币,时值1.5亿美元。这是因为,Bitmex的BTC合约指数成分中采用了Bitstamp的BTC现货价格,且权重达50%。而在OKEx的合约指数成分中,采用了4个以上的交易所现货价格,且权重分散,因此受到的影响较小。这或许能给予DeFi开发者们一些启示——要在价格预言机这一源头上下功夫,才能避免因预言机传达失真数据而带来的价格操纵风险。Jeff则提供了另一种预防方案,他介绍,根据闪电贷的特性,借贷和取款都要在一个区块内完成,所以对DeFi协议开发方来说,更稳妥的设计是不允许在同一个区块内存款和取款,这样试图利用闪电贷的黑客便无计可施。作为一种新的、不存在于传统金融世界的借贷模式,闪电贷通过区块链被创造,颇有创新意义,但它不应成为黑客的帮凶。DeFi协议开发者理应在频频发生的「闪电贷攻击」中吸取教训。成都链安提示,项目方在业务逻辑设计时,应当考虑这类极端情况。如果对此不了解,应找专业的审计机构进行审计和研究,防范各种可能的风险。
DeFi项目Origin finance将补偿受闪电贷影响的用户:DeFi稳定币项目 Origin finance宣布了一项计划,以补偿受11月700万美元漏洞攻击影响的用户。11月17日,OriginalDollar宣布,其稳定币项目已成为700万美元闪电贷款攻击的受害者。(Cointelegraph)[2020/12/13 15:02:45]
编者按:本文来自以太坊爱好者,作者:zack-bitcoin,翻译&校对:曾汨&阿剑,Odaily星球日报经授权转载.
1900/1/1 0:00:00编者按:本文来自巴比特资讯,作者:AlishaRoy,编译:Libert,星球日报经授权发布。据Ambcrypto11月10日报道,美联储11月9日发表了一篇关于央行数字货币的研究报告,探讨了数.
1900/1/1 0:00:002020年被业界称为“央行数字货币元年”,数字人民币已经近在眼前。11月3日公布的“十四五”规划建议中提出,“稳妥推进数字货币研发.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,撰文:DelphiDigital,加密货币研究机构,编译:卢江飞,星球日报经授权发布.
1900/1/1 0:00:00编者按:本文来自肖飒lawyer,作者:肖飒,Odaily星球日报经授权转载。近年来,区块链项目层出不穷,为取信于投资者,项目方提出各类新奇的应用场景,并包装以精巧的白皮书报告与名人背书.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,星球日报经授权发布。11月7日,CFTC公布了最新一期的CME比特币期货周报,统计周期内BTC保持高位震荡,整周内价格实际波动幅度有限,不过值得注意的是,
1900/1/1 0:00:00