FLR:DeFi安全风险解析：闪电贷、价格操纵攻击和降低风险的协议设计思路

作者：

时间：1900/1/1 0:00:00

在加密货币领域，DeFi成为了一个重要的发展方向。然而，随着其市场份额的增长，DeFi平台也面临着越来越多的安全威胁。

最近，Moremoney的联合创始人兼产品负责人?Sirmoremoney在TwitterSpaces上讨论了一些关于DeFi安全的话题，特别是针对抵押品价格操纵和闪电贷攻击等方面的风险。ReveloIntel总结了此次Spaces的发言，并讨论如何采取措施来缓解这些风险。

涉及合约漏洞的攻击/闪电贷攻击

闪电贷攻击涉及利用短时间内无需抵押即可借款的能力来操纵价格或窃取资金。以Platypus攻击为例来说明涉及合约漏洞的攻击。??

币安现已完成对XRP持有者的FLR空投分发:1月10日消息，据官方公告，币安现已完成对XRP（XRP）持有者的Flare（FLR）空投分发。用户请在“钱包历史记录”，分发页面查看收到的代币。Flare（FLR）代币将按照1 XRP = 0.1511 FLR的比例分发给符合条件的用户。

此外，币安现已开启Flare（FLR）代币提现业务，但不支持Flare（FLR）代币充值业务。

快照时间：币安已根据2020年12月12日08:00（东八区时间）左右的第一个经过验证的XRP帐本时间进行快照，以记录合资格用户的XRP持仓。[2023/1/10 11:04:10]

攻击者从Aave借出了4400万美元的闪电节点，将其存入Platypus，并借出4200万美元。然后，他们利用合约中的漏洞进行了紧急提款，提取了初始存款并保留了贷款。这次攻击导致了?PlatypusFinance2亿美元的资金损失。

Third Point创始人：“与FTX就投资事宜进行接洽”为不实消息:金色财经报道，对冲基金Third Point创始人Daniel Loeb推特发文称，今日早些时候报道的“FTX正与Third Point就投资事宜进行接洽”一事为不实消息。据此前消息，SBF正寻求为FTX筹集高达94亿美元的救助融资。SBF正在讨论从波场创始人孙宇晨、OKX以及Tether处各募集10亿美元，共计30亿美元；从多家投资基金处筹得20亿美元；剩余部分将来自其他投资者。目前与FTX洽谈的投资者之一包括Daniel Loeb的对冲基金Third Point。[2022/11/11 12:47:22]

然而，他们只能以大约850万美元的价格交换剩余的4200万美元的?USB。Platypus的安全顾问和内部团队能够收回240万美元，而Feather和Circle则冻结了卡在合约中的资金。攻击者后来也在法国被逮捕。

泰国SEC：正在调查Zipmex暂停提款后给公众带来的损失:金色财经消息，泰国证券交易委员会今日表示，在加密货币交易所Zipmex上周暂停提款后，它正在与执法部门合作调查公众的潜在损失。此前，泰SEC在一份声明中表示，它正在要求Zipmex的受影响用户通过在线论坛提交信息，说明他们如何受到平台的影响。（路透社）[2022/7/25 2:35:56]

这次攻击是由低级黑客发起的，到目前为止已经有70%的被盗资金已经被追回。

从这次攻击中得到的教训是，协议需要有适当的安全措施，例如限制谁可以调用紧急提款功能，并实施债务上限以限制可能造成的损失。

紧急提款功能

例如，Moremoney有一个只能由协议本身或治理调用的救援功能。

他们强调了限制谁可以调用此功能的重要性，就像在Platypus的此次情况中并没有这样做。

抵押品价格操纵攻击

价格操纵攻击涉及操纵去中心化交易所上代币的价格，以借出比抵押品实际价值更多的资金。

以Mango和Loadstar的攻击为例子。这些攻击导致用户遭受了重大损失，并显示了监控抵押品价格和实施措施以防止价格操纵的重要性。

在这两种情况下，攻击者操纵了DEX上代币的价格，以借出比抵押品实际价值更多的资金。选择价格预言机对于协议的安全性至关重要，使用现货价格预言机总是一个糟糕的主意，因为闪崩或其他价格波动可能导致重大损失。

减轻风险的措施

这些措施包括对智能合约进行彻底审计，实施多因素认证和其他安全措施，以及隔离与不同资产和借贷池相关的风险。

隔离的CDP池