AI 概要
展開
僅需 30 秒,即可快速掌握文章內容並判斷市場情緒!
其中一種在 DeFiecosystem 中廣受歡迎的借貸類型是快速借貸,借貸者可快速從套利機會中獲益。它提供借入資金來購買加密貨幣資產、賣出、償還貸款並賺取收益。
不幸的是,雖然這個想法很棒,效果很好,但也有人利用這種借貸方式。繼續閱讀,詳細瞭解快速借貸攻擊以及如何防範。
快速借貸攻擊是指濫用特定平台的智能合約安全性,攻擊者通常會借入大量不需要抵押品的資金。然後,他們在一個交易所操縱加密貨幣資產的價格,並迅速將其轉售給另一個交易所。
該過程非常迅速,攻擊者在完成前會重複該過程多次,然後離開時不會留下任何痕跡。
DeFi借貸領域的發展使加密貨幣借貸變得非常受歡迎。由於它們充分利用了現有技術的強大功能,因此快速借貸已成爲一種極具吸引力的借貸形式。
快速借貸一詞是指借款人無需抵押即可借貸的情況。您可能想知道:如何實現這一目標? 使用平台的智能合約,整個借貸和返還過程在區塊鏈上的單個交易中進行。
這意味着借款人必須迅速行動,並在短時間內返還貸款。如果貸方以任何方式違約,則整個交易將完全廢止,好像什麼都沒有發生。
原則簡單實用。與傳統擔保借貸不同,您無需任何抵押品、信用評分或管理即可處理無擔保借貸。只需幾秒鐘,即可獲得大量穩定幣,並儘快將其用於福利。
這就是不同 DeFi 平台的一些交易者正在做的事情。例如,Aaveuser 可以獲得此類借貸,利用資金把握套利機會,返還借貸,並維持收益。
借貸流程是自動化的,當一切正常時,貸方和借方都將從借貸中獲益。如果出現任何問題,交易將被取消,雙方均無收益。
鑑於該技術仍在不斷發展,DeFi 閃存借貸攻擊目前很常見。目前,超過 70 項 DeFi 漏洞被用於竊取鉅額資金,達到 15 億美元左右。未來幾年,這一趨勢可能會繼續下去,因爲讓平台的安全性變得不可穿透是一項具有挑戰性的任務。
第一個挑戰在於開發人員無法彌補所有可能的弱點,因爲區塊鏈技術是相當新的。另一個問題是系統開發迅速,每個項目都投入了大量資金。風險很高,許多開發者會嘗試不同的方法來發現系統中的漏洞。一些活期借貸攻擊者對流動性資金池的計算錯誤。還有一些是礦工攻擊或編碼錯誤。
不幸的是,讓一切成爲可能的原因也在於弱點。
智能合約的挑戰在於,他們能夠完全控制 DeFi 協議。攻擊者瞭解這些漏洞的運作方式後,就可以操縱合約的缺點並利用其優勢。
這意味着 DeFi 的安全性是一個微妙的平衡:協議創建者的一方面技能,另一方面黑客。
另一個漏洞取決於平台的定價數據。由於全球交易所數量衆多,因此幾乎無法找到加密貨幣數字資產的真實價格。這種定價差異使套利交易極具吸引力。由於價格合理波動,跟單市場是賺取收益的好方法。然而,快速借貸攻擊會操縱價格並利用價格的突然變化。
當攻擊者獲得快速借貸時,就會產生人工拋售,導致加密貨幣資產價格大幅下跌。
幸運的是,目前已有相關制度來防止此類無抵押貸款濫用。下面我們來瞭解一下快速借貸攻擊的例子。
到目前爲止,已有數十起閃貸攻擊。下面是其中一些最重要的項目。
2021 年,C.R.E.A.M. Finance 多次受到攻擊。最大的搶劫案之一涉及 1.3 億美元。罪魁禍首偷走了 CREAM 流動性代幣,在未披露的時間內達到數百萬美元。所有損失都在鏈上可見,罪魁禍首尚未被發現。
幸運的是,這個漏洞只是 Cream DeFi 系統的一部分,因爲他們的合併合作伙伴 Yearn Finance 平台仍然安全。與大多數 DeFi 協議黑客一樣,攻擊者使用了多次閃存借貸並操縱了理論價格。
在 Yearn 團隊的幫助下,該平台迅速修復了漏洞。
2021 年 2 月,Alpha Homora 協議遭到黑客攻擊,損失 3,700 萬美元。該閃借攻擊者還透過一系列閃借使用了 C.R.E.A.M. Finance 的鐵幣銀行。鐵幣銀行是 Alpha Homora 協議的借貸部門。
黑客多次重複這一過程,直到他們積累了奶油 USD(或 cyUSD),然後使用代幣借入其他加密貨幣。黑客攻擊非常複雜,涉及許多步驟。從本質上講,攻擊者嚴重操縱了 HomoraBank v2 的 sUSD 資金池。
他們進行了一系列交易和快速借貸,使他們能夠濫用 HomoraBank v2 和 Iron Bank 之間的借貸協議。您可以詳細瞭解 Alpha Homora 事後攻擊詳情,瞭解黑客的行爲。
此外,他們還利用了單個借方情況下借貸計算的舍入錯誤計算。
在某些情況下,遊戲協議需要正確的時間和操縱價格。2020 年初,dYdX 漏洞就出現了這種情況。攻擊者使用該平台獲得快速借貸,然後拆分資金並將其用於兩個交易平台 - Fulcrum 和 Compound。
第一部分用於 Fulcrum,以換取 ETH 和 WBTC。在此過程中,Kyber Network 透過 Uniswap 的DEX 下單。Uniswap 的低流動性資金池將 WBTC 的價格推高得令人難以置信。
與此同時,攻擊者利用 Compound 平台借貸的第二部分獲得 WBTC 閃借。隨着 Uniswap 價格飆升,攻擊者迅速進行了交易,並獲得了鉅額非法收益。
2021 年 5 月,一名黑客偷走了近 300 萬美元,對 PancakeBunny 平台進行了測試。黑客首先利用 PancakeSwap 獲得鉅額 BNB 貸款。在攻擊期間,黑客操縱了 BUNNY/BNB 和 USDT/BNB 交易對。
此後,一筆鉅額閃幣借貸爲黑客提供了大量 BUNNY 代幣,他立即傾銷,還款 BNB,收益消失。整個折磨導致 PancakeBunny 的價格從 $146 大幅下跌至 $6.17。
隨着越來越多的攻擊不斷髮生,安全專家正在詳細瞭解各種閃存借貸漏洞。上述示例中的所有漏洞均已修復,其發生情況催生了兩種熱門解決方案。
由於大多數快速借貸攻擊都取決於價格操縱,因此有必要使用去中心化定價先知來反擊這種方法。舉例說明:ChainlinkandBand Protocol。這些平台透過提供不同加密貨幣的準確定價來確保所有協議安全。
例如,由於協議無法從單個 DEX 獲取價格信息,因此無法像 dYdX 那樣進行 DeFi 攻擊。
Alpha Homora 現在使用 Alpha Oracle Aggregator 來防止歷史重演。隨着 DeFi 市場規模不斷擴大,我們將看到更多類似這樣的系統。
DeFi生態系統採用尖端技術,重塑國際金融體系前景。這種關注給整個系統帶來了巨大的負擔。
好消息是,已有特定平台能夠應對當前的安全挑戰。 OpenZeppelin 就是一個很好的例子。其在整個生態系統中的作用是保護整個智能合約和 DeFi 平台。
除了智能合約審計功能外,Defender Sentinels 等解決方案還可持續提供保護,防止快速借貸攻擊。開發者可以使用該工具自動執行防禦策略,快速暫停整個系統並部署修復程序。
快速響應對於減輕快速借貸攻擊可能造成的損害至關重要。
Yearn.finance、Foundation Labs、dYdX、Opyn、The Graph、PoolTogether 等巨頭已經在使用該平台來中和其系統的攻擊。
當一切按預期運行時,快速借貸完全沒有風險。如果滿足所有智能合約條件,借貸方和借貸方可以從交易中受益。
從貸方的角度來看,他們從不放棄任何資金。如果借方採取所有必要措施,那麼這一切都是人工的,併成爲區塊鏈信息的一部分。如果借方違約,同一筆交易將被拒絕。
貸方仍持有資金,借方不欠任何人任何資金。
另一方面,借方只能盈利。他們可以使用借入的資金從加密貨幣市場的套利中獲利。如果交易失敗,資金將退回貸方。
理想情況下,系統的設計可確保無風險的即時借貸。但是,爲了確保一切無風險,智能合約需要涵蓋所有交易詳情。這樣一來,攻擊者就不會被利用。
因此,在閃貸方面,目前困擾 DeFi 生態系統的最大風險是數據泄露,以及允許此類攻擊的智能合約漏洞。
儘管現在情況看起來並不完美,但隨着時間的推移,這些系統最終會變得安全。在 Chainlink 和 OpenZeppelin 等平台上,快速借貸攻擊可能會成爲歷史的一部分。
流動借貸是 DeFi 生態系統的又一重要補充。雖然目前容易受到攻擊,但未來市場將迎來漲勢。
隨着開發者編寫更好的智能合約,以及越來越多的系統部署安全工具和去中心化預言器進行定價,黑客攻擊的數量將減少。
如果您正在考慮快速借貸是否是一項不錯的投資,我們認爲答案是肯定的。請記住,閃貸攻擊的風險始終極低,因此在 DeFi 平台上借貸時請謹慎使用加密貨幣。
想要詳細瞭解 DeFi 借貸? 您可以在我們的部落格上詳細指南中找到所有詳情。