撰文|NESTFANS.知鱼出品|NEST爱好者引言:关于DeFi的安全问题,从2020年2月份到现在,损失数亿美元,各路专家已有无数文章来解析DeFi乐高的风险,直到现在这类问题依然没有引起开发者们的高度重视,在市场持续狂热以及锁仓规模不断推高的环境中,人们似乎已经忘了,那个深埋在狂欢大陆土地下的隐患,并没有消失......曾经的DeFi之王YFI协议未能幸免
2021年第一次闪电贷攻击事件,发生在了2020年的DeFi王者——YearnFinance协议身上,当然,这是偶然事件还是开年先拿王者开刀,来嘲讽DeFi的无能,我们暂且不论,也无从洞察“攻击者”的心境,这里,我们来看一下发生了什么。
UpSwing Finance项目遭到闪电贷攻击:金色财经消息,据CertiK监测,UpSwing Finance (UPStkn) 项目遭到闪电贷攻击。据悉,该项目从2020年10月以来处于非活跃状态,并且遭受了价格操纵攻击,共计损失约22枚ETH(约3.55万美元)。
ETH合约地址: 0xFFeE5EcDE135a7b10A0Ac0E6e617798e6aD3D0D6[2023/1/18 11:18:15]
根据慢雾科技的情报,遭受攻击的是YearnFinance协议的DAI策略池,具体情况如下:1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH2.攻击者使用从第1步借出的ETH在Compound中借出DAI和USDC3.攻击者将第2步中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CurveDAI/USDC/USDT的大部分流动性4.攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值5.攻击者第3步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例提现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中8.由于第3步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次,并归还闪电贷,完成获利攻击者利用闪电贷进行这一循环套利,使得YearnFinance损失高达千万美元!根源不是闪电贷,而是脆弱的价格机制
Cream Finance:已对闪电贷功能做出调整,以适应EIP-3156提案:8月23日,CreamFinance官方发布公告,称平台对闪电贷相关功能进行了调整,以适应改进提案EIP—3156。公告显示,CreamFinance的闪电贷功能与AAVEV1非常相似,但有3个主要区别:1.Cream的闪电贷使用者将与flashLoanLender合约进行交互,而不是借贷池。2.Cream部署了两个符合EIP-3156的flashLoanLenders合约,一种用于Lending,一种用于IronBank。3.Cream闪电贷的手续率更低,为0.03%。[2021/8/23 22:31:44]
YFI和Curve之间的组合,利用LP的不同净值来计算份额,通过池子里的份额来决定价格,这是典型的价格操控!我们把现在的各DeFi协议当作是各个国家,每个国家制定不同的政策规则,商人通过政策规则之间的组合,寻找突破口,来获取利差。这是光明正大的赚取合理收益,无法责怪攻击者,因为,你的机制告诉了别人,怎么来操控我的价格进行套利。关于闪电贷攻击的问题,我们已经阐述过多次,《解读|Compound遭受价格预言机操纵攻击事件始末》,这篇文章里有详细描述。价格操控的背后所暴露的问题,才是我们更应该去思考和研究的方向。现如今的DeFi协议开发者,往往把快速、高效放在第一位,对区块链的本质充耳不闻,大家都求快,不愿去解决本质问题的根源。因为几乎所有人都正在这样做,睁一只眼闭一只眼。比特币的设计,是让所有节点一起对正在广播的交易进行验证,所有人都同意的广播,这笔交易才作数。其本身就是一个冗余的复杂系统,比特币并非是为了在“可用性”方面做出创新,而是在“可信性”方面给出了一个完美的解决方案,解决了去中心化过程中的安全问题。比特币网络的算力规模越大,网络越安全,但其处理交易的效率并没有提高。如果一个价格机制可以简单的利用所谓的“可信”节点上传到链上或者通过LP份额的方式来简单决定,而使用这个价格的DeFi协议或者用户无法对你的价格进行无需许可的有效验证,那么你给出的价格就是你说的算,并不是共识过的价格,并不是大家一起说的算;进而,基于这套价格体系的链上经济体的安全系数,也必然不会随着规模的扩大而增强。简单来讲,这与区块链本质背道而驰,舍本逐末。坚定去中心化的安全之路
Certik复盘Yearn闪电贷攻击:黑客完成5次DAI与USDT从3crv中存取操作后偿还闪电贷:Certik发布文章,复盘Yearn闪电贷攻击。黑客操作的具体操作如下:
1.利用闪电贷筹措攻击所需初始资金。
2.利用 Yearn.Finance 合约中漏洞,反复将 DAI 与 USDT 从 3crv 中存入和取出操作,目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。
3.完成5次重复的DAI 与 USDT 从 3crv 中存取操作后,偿还闪电贷。[2021/2/5 18:57:51]
NESTProtocol坚持以无需许可,可被任何人验证的无套利空间的价格同步在链上生成,供DeFi协议调用,随着NEST报价矿工/验证者参与规模的增长,其在链上生成的价格数据质量也会同步提高,这是一个非合作博弈系统所应该表现出来的基础属性,可累积博弈。在有效市场下,这种报价矿工之间的博弈、报价矿工与验证者之间的博弈,以及协议与二级市场之间的博弈,多维度非合作博弈生成的链上价格才是我们应该去追求的安全之根。坚持区块链本质,坚定去中心化精神,是区块链行业发展的第一准则。
BiKi闪电贷将于6月28日16:30上线OKS:据BiKi官方消息,BiKi闪电贷将于6月28日16:30上线OKS(Oikos),支持质押OKS借贷USDT,可登陆APP查看借贷详情。
Oikos是一家基于Tron的合成资产平台,提供法定货币、商品、股票和指数的區塊链上交易。 合成资产(Synths)由OKS作为抵押物,作为智能合同的担保。 Synths跟踪各种资产的价格,允许加密用户和无银行用户在Oikos交易所上交易P2C(对等合同),而不受流动性限制。[2020/6/28]
\n\n 一入币圈深似海从此小心脏嘤嘤嘤~ 林涵风:狗庄!休想我下车!林涵风:狗庄!休想我接盘!林涵风:狗庄,给个机会吧,嘤嘤嘤~ 如果你看不清趋势手脚慌乱一定要学会分析金融指标毕竟.
1900/1/1 0:00:00Bitcoinwin数字货币平台行情显示,上周BTC走势与上上周依旧十分类似,即在周初洗盘两天,多震荡于31000附近,周三开始,行情连续拉升,至周五,行情触及历史最高点41970.
1900/1/1 0:00:00行情概述:比特币形成为期近20日的收敛结构,继上期报告中所说比特币波动率达到近两周最低位置,今日再看波动率稍有上升,或将走至选择方向的时刻.
1900/1/1 0:00:00BTC行情分析 基本面不追溯,反正再怎么震荡,基本面我们都是死多头。前两天30000左右加仓位,也不可能有多少人加仓,所幸不聊逻辑和投资,今天简单说技术.
1900/1/1 0:00:00今天的标题是一个很让人无奈的事实,早在下跌伊始薪火便已经提到过这轮下跌将会持续数十个交易日,目前已经过去一小半时间,盘面走势也显示出跌无可跌的迹象.
1900/1/1 0:00:00Evgeny生活照Evgeny现任NEAR高级软件工程师,负责NEAR的runtime、智能合约等开发工作.
1900/1/1 0:00:00