首發 | 反思 DeFi 中的黑客攻擊 簡談套利機制的積極作用_DEF

對加密貨幣市場，同一資產在不同的交易所有不同的價格。這些價格差異使得交易者可以通過在不同平臺上進行交易來獲取利潤。當閃電貸進入DeFi的世界，套利的成本更低了。這聽起來是一件好事，但是DeFi協議的漏洞增加了資金被盜的風險。就像V神所說，高利率的天平兩端分坐著短暫的套利機會和未知的風險。

可是，這一切真的都是因為閃電貸嗎？下面烤仔就為大家總結一下近期的數起閃電貸攻擊事件以及它們背后套利的邏輯。

一、近期典型DeFi黑客攻擊事件梳理

1.ValueDeFi

北京時間11月14日23點36分，ValueDeFi的MultiStablesVault池子遭受黑客攻擊，損失將近740萬美金的DAI。由于ValueDeFi協議在使用基于AMM算法的價格預言機(Curve)來計算代幣價格時存在漏洞。攻擊者先通過閃電貸操縱Curve上通證的價格，然后再用鑄造的pooltokens成功提取出了遠超原先價值的3CRV通證。之后，攻擊者再將這些3CRV通證在Curve上贖回DAI，從而完成獲利。

LBANK藍貝殼于3月22日18:00首發 DORA，開放USDT交易:據官方公告，3月22日18:00，LBANK藍貝殼首發DORA(Dora Factory)，開放USDT交易，現已開放充值。

資料顯示，Dora Factory 是基于波卡的 DAO 即服務基礎設施，基于 Substrate 的開放、可編程的鏈上治理協議平臺，為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時，開發者可以向這個 DAO 即服務平臺提交新的治理模塊，并獲得持續的激勵。[2021/3/22 19:07:06]

2.AkropolisDeFi

11月13日，DeFi借貸協議Akropolis協議遭受黑客攻擊，損失約200萬DAI，Akropolis創始人兼首席執行官AnaAndrianova表示，攻擊者利用在衍生品平臺dYdX的閃電貸進行重入攻擊。攻擊者使用自己構造的通證，對Akropolis合約的deposit函數進行重入，導致Akropolis合約使用相同的差值鑄幣了兩次，但是只觸發了一次轉賬，當攻擊者提現的時候，就可以提兩倍的收益，從而獲利。

首發 | imKey正式支持Filecoin，成為首批Filecoin硬件錢包:12月1日，隨著imToken2.7.2版本上線，imKey同步支持Filecoin，成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一，成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉，imKey團隊已在Q4全面啟動多鏈支持計劃，計劃實現imToken已經支持的所有公鏈項目，本次imKey升級更新，無需更換硬件，不涉及固件升級，通過應用（Applet）自動升級，即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

3.CheeseBank

11月7日凌晨3時22分，黑客利用閃電貸通過一筆交易攻擊一家去中心化數字銀行CheeseBank獲利330?萬美元。PeckShield通過追蹤和分析發現，攻擊者首先通過dYdX閃電貸貸出大筆ETH。隨后，在UniswapV2中將50枚WETH兌換為107,000枚CHEESE(CheeseBank通證)。CheeseBank以流動性礦池UNI_V2-CHEESE-ETH中WETH的數量來衡量所對應的UNI_V2LP憑證的價格，攻擊者通過提高UNI_V2LP憑證的價格能有效地貸出更多USDC、USDT、DAI。最后，攻擊者在將ETH歸還給dYdX閃電貸后獲得巨額套利收益。?

首發 | 火幣集團全球業務副總裁：監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日，火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示，對區塊鏈和數字貨幣的監管態度，2019年是重要的一年。在美國，到2019年底，針對加密貨幣和區塊鏈政策有21項法案，這些法案包括稅收問題，監管結構，跟蹤功能和ETF批準，哪些聯邦機構監管數字資產等。歐盟（EU）在2020年1月10日實施了一項新法律，要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士，日本，立陶宛，馬耳他和墨西哥通過法律，要求交易所必須根據KYC和AML準則獲得許可。中國，土耳其，泰國等國家正在計劃自己的中央銀行數字貨幣（CBDC）。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

4.HarvestFinance

10月26號，HarvestFinance項目遭受閃電貸攻擊，損失約2400萬美元。黑客發起的此次經濟攻擊是通過CurveY池進行的。黑客通過閃電貸瞬間操縱了Curve上穩定幣的匯率，然后在Harvest低價充值某穩定幣、并在Curve購回所賣出的穩定幣，恢復正常匯率，Harvest提現，賺取匯率差。

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日，可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹，可信教育數字身份融合采用國產密碼、區塊鏈等核心技術，創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份，實現一體化密鑰管理，構建“可信教育身份鏈”。（中國新聞網）[2019/12/25]

二、關于DeFi攻擊事件的反思

DeFi，一般是指基于智能合約平臺構建的加密資產、金融類智能合約以及協議。今年?DeFi?憑借吸納百億資金入場備受矚目，但與此同時也出現了一群被戲稱為“科學家”的人們依靠技術實力和知識門檻專薅DeFi的羊毛，利用DeFi進行套利獲取巨額收益。在DeFi的世界里，這群“科學家”們把“借款、轉移、還款”都編程到一筆發往智能合約的交易里，以此來實現以極低甚至零成本在各個DeFi協議之間進行高額套利，或者利用可組合性的漏洞進行攻擊盜取巨額資金。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

目前利用DeFi進行套利主要有兩種模式：

1.利用加密貨幣產品之間的利率差進行獲利

DeFi市場中的利率都比較高，原因主要有以下兩個：

(1)去中心化的DeFi協議仍然處于早期發展階段，加密貨幣的高波動性、超額抵押、智能合約風險等因素都將促使DeFi協議為用戶提供高利率的風險彌補。由于同樣的資金存放在傳統金融借貸市場中會承受較低的風險，所以DeFi市場需要利用高利率來彌補去中心化機制所帶給投資者的風險敞口。

(2)高利率有助于一些新型的DeFi項目進行冷啟動。目前，具有流動性挖礦的成熟DeFi市場吸納了大部分的資金，一些新型DeFi項目由于暫未發行治理代幣而無法提供流動性激勵，導致項目早期流動性較差，因此高利率可以很好地吸引用戶以達到引流作用，但與此同時也會出現DeFi市場間的套利機會。

套利者可以在一個DeFi市場中以低利率借款，并在另一個DeFi市場中存入資產以獲取高利率。當平臺之間的借款和存款利率存在差值且存款利率高于借款利率時，套利機會就會出現。

2.利用智能合約的漏洞以及閃電貸的特性進行套利

閃電貸是指利用區塊鏈交易可回滾的特性實現的一種貸款方式。用戶無需抵押即可以極低的利息，借貸出一筆巨額的資金。用戶只需要在同一筆“交易”中歸還借出的款項和利息即可。閃電貸本身不是漏洞，閃電貸攻擊指利用閃電貸和其他漏洞結合進行的攻擊，多為套利、操縱價格等攻擊。開發人員可以從支持閃電貸的DeFi項目儲備池中借錢，條件是在交易結束之前將資金返還到資金池中。如果這種資金未能及時返回儲備庫，則交易將被撤回從而確保儲備池的安全。

雖然閃電貸攻擊的方法和范圍不盡相同，但它們所攻擊的協議都有一個共同點，那就是只從某一個去中心化交易所獲取價格數據。比如閃電貸攻擊的受害者是某個DeFi借貸協議，該協議從某一個去中心化交易所獲取喂價數據。操作步驟如下：

(1)從一個支持閃電貸的協議中借入大量通證A；

(2)在某個去中心化交易所上將通證A換成通證B；

(3)將兌換的通證B放在另一個DeFi協議中作抵押，而上一步操作中的去中心化交易所是這個DeFi協議唯一的價格數據源；由于價格數據被操縱，因此可以借到高于正常量的通證A；

(4)用其中一部分通證A還之前閃電貸的貸款，然后剩余的通證放進自己的口袋，以此不當獲利；

(5)隨著去中心化交易所中通證A和通證B的價格通過套利交易逐漸回到真實水平，DeFi協議會出現債務價值超過抵押品價值的情況，這將直接損害其他正常用戶的利益。

目前加密貨幣市場中已經出現了多起由于智能合約漏洞引發的黑客問題導致用戶資金受到威脅，因此大筆資金通過智能合約的方式進行借貸需要DeFi擁有極高的安全性。

閃電貸通過區塊鏈被創造，它作為一種新的、不存在于傳統金融世界的借貸模式，極大豐富了DeFi的應用場景，并降低了市場準入門檻，具有創新意義，但它不應成為黑客獲取利益的幫兇。雖然近期頻頻有黑客利用閃電貸的資金對DeFi協議發起攻擊，但閃電貸本身作為一種金融工具時，其價值不應被忽視。閃電貸本身不產生風險漏洞，它只是暴露了DeFi協議已經存在的風險漏洞，即因預言機傳達失真數據而帶來的價格操縱風險。

一個金融市場中的套利行為本身有它積極的影響，它可以為市場中資產標的進行合理定價。在數字貨幣市場中，加密貨幣的價格往往由于區域政策、合作利好等相關信息變動顯著，套利者可以通過套利機制將市場各個交易所中的加密貨幣價格進行準確定位，達到當下供給需求平衡的狀態。同時，套利機制可以使整體加密貨幣市場更加規范化、透明化，使每個交易所都能反饋出真實的資產價格走勢。套利行為還能促進全球用戶對于加密資產的共識，加快整個行業的未來發展。

但是，DeFi協議開發者理應在頻頻發生的多起由于智能合約漏洞引發的黑客事件中吸取教訓。項目開發者在業務邏輯設計時，應當充分考慮這類極端情況，同時應找專業的審計機構進行審計和研究，以防范各種可能的風險。

而對于參與者們，烤仔只有那一句永恒的囑咐——投資有風險，入市需謹慎。

Tags：DEFEFIDEFI加密貨幣XDEFI Walletgamefi幣種Credefi加密貨幣行情

以太坊價格