意见自年初以来,分散式金融(DeFi)生态系统的总价值已迅速增长至120亿美元以上。随着这一指数级增长,恶意参与者操纵和攻击易受攻击的DeFi协议的动机增加了,这通常是以牺牲普通用户为代价的;
在许多DeFi攻击中使用的最新工具之一是闪电贷款(flash loans),这是一种新型的金融原语,它允许用户开立无抵押贷款,唯一的规定是贷款在同一交易中偿还或归还。这与传统的DeFi贷款有很大的不同,传统的DeFi贷款通常需要用户预先为贷款提供过度抵押。
闪电贷款的新奇之处在于,它可以暂时让世界上任何一个资本充足的演员,有可能突然操纵市场。在最近的一系列攻击中,我们看到恶意行为体使用闪贷来即时借入、交换、存款,然后再次借入大量代币,这样他们就可以在一个交易所人为地移动代币的价格。这一序列实质上是一只脚,攻击者可以利用该交易所的异常定价进行攻击;
当闪贷被用作一个更大的恶意方案的一部分来操纵协议并窃取其资金时,“闪贷攻击”一词成为本周最热门的加密术语。媒体机构和Twitter的影响者同样关注闪贷的运作方式,剖析恶意参与者在一次交易中从令牌跳到令牌、协议到协议的每一步;
但“闪电贷款攻击”这句话并没有抓住眼前的全部问题。闪电贷款不会在DeFi内部造成漏洞——它们只是暴露出已经存在的漏洞。“闪贷攻击”通常只是对oracles的攻击,oracle是将链上DeFi应用程序与链外数据(例如某项资产的公平市场价格)连接起来的实体。DeFi生态系统中真正的系统性风险是集中的预言,而不是快速贷款;
对于那些观望着一场攻击展开的观望者来说,闪电贷款有着迷人的东西。任何人都可以突然控制巨额资金,并以新颖、异国情调、有时甚至是恶意的方式来配置这些资金,这一想法表明了这项技术如何赋予个人权力,并开启全新的金融工具。我们没有分析闪贷的最终功能和目标,反而惊叹于其创造者的聪明才智和攻击的复杂性。因此,闪电贷款越来越被描述为一种危险的债务创新。
另请参阅:Haseeb Qureshi–DeFi“闪贷”攻击改变了一切
正如提供快速贷款的DeFi协议Aave的马克·泽勒(Marc Zeller)简洁地指出的那样,闪电贷款只是一种工具:“它们允许你在交易期间像鲸鱼一样行事。”任何通过闪电贷款执行的攻击也可以由资金充裕的演员在没有闪贷的情况下执行。快速贷款所能做的只是暂时使世界上任何人都成为一个资本充足的参与者,因为获得快速贷款是没有许可的,而且没有预先抵押要求;
当然,开放获取此类资金的机会大大增加了能够实施此类攻击的人数。但即使在没有闪电贷款的世界里,区块链技术的进一步采用也只会继续提供更快地获得更大量流动性的机会。
我们需要注意这些恶意行为体利用新发现的资金在做什么。一种模式已经很明显地出现了:恶意方利用闪存贷来利用依赖于单个分散交换(DEX)作为协议唯一价格的DeFi协议。他们利用闪电贷款操纵和扭曲DEX上一个或多个资产的价格,导致使用基于DEX的price oracle的DeFi应用程序得到不准确的价格数据;
然后,恶意的参与者利用这个机会,以普通用户的直接损失为代价来获取利润。我们的行业沉迷于攻击过程中使用的特定工具,忽视了从这些攻击中得到的真正教训:依赖于价格预言器的DeFi协议(仅从一个交易场所获取数据)可能会被拥有大量资金的参与者破坏。
另请参阅:保罗·布罗迪——企业需要第三方才能让神谕发挥作用
这些都是甲骨文攻击,其攻击媒介不仅已经被预测到,而且以前也已经发生过。对闪贷的关注分散了我们对一个更大的问题的注意力,即拥有数亿甚至10亿美元以上TVL协议的DeFi协议仍然依赖单一交易所来为甲骨文提供价格。正如我们所看到的,单个交易所可能会受到各种各样的交易量变动和鲸鱼操纵的影响。另一个依赖于集中价格反馈的协议的后果是显而易见的。
如今,TVL的许多顶级DeFi dapp使用分散的oracle网络,这些网络可以异步地解释多个交易所之间以及多个不同交易之间的交易量和流动性差异,从而使它们不受贷款资金的快速操纵。随着越来越多的用户被这一生态系统的金融可访问性和机会所吸引,而且由于DeFi协议从全球市场吸收了更多的价值,这些协议的维护者有责任采用分散的oracle解决方案,保护用户免受目前已被广泛理解的、可预防的攻击;
所以下次你听到“闪电贷款攻击”这个短语时,要三思而后行。闪电贷款很可能被用来瞄准系统中的一个特定漏洞:甲骨文的价格没有市场覆盖率。甲骨文应该是协议的最终真相来源——关于资产的价格,关于市场的状况。正如我们所看到的,谁能操纵这一资源,谁就能获得巨大的收益。闪电贷款攻击背后的真相:它们是由闪电贷款资助的,但它们是价格甲骨文攻击。
微信扫一扫 
