Value DeFi遭攻擊始末，閃電貸這次又帶走了700萬美元_VAL

注：北京時間11月15日凌晨，去中心化金融協議ValueDeFi遭遇閃電貸攻擊，攻擊者通過復雜的方式從Value協議的金庫中轉移走了大約700萬美元，隨后歸還了200萬美元，并附上了一條帶有嘲諷意味的信息:“你們真的懂閃電貸嗎？”，而在攻擊發生前一日，ValueDeFi公開宣稱自己是DeFi領域最安全的協議，并且能夠抵抗閃電貸攻擊。

原文來自rekt，作者對這次攻擊進行了分析。

他們真的理解閃電貸嗎？

聲譽的價值是不穩定的，謙虛能夠帶來穩定，而吹噓太多，最終只會搞砸。

ValueDeFi今天因為閃電貸攻擊被黑了700萬美元，這又是一次關于閃電貸的慘痛教訓。

Avalanche每日活躍地址創6個月新高:金色財經報道，根據區塊鏈數據公司Artemis的數據，Layer1區塊鏈協議Avalanche的日活躍地址在4月12日達到近80,000，達到六個月來的新高。其日活躍用戶群在過去90天內增長了85%。根據Artemis的說法，只有四種協議增長得比Avalanche更快：StarkNet、Arbitrum、Stacks和Canto。

此前報道，Avalanche最近與眾多金融機構建立合作伙伴關系，這些機構加入了Avalanche的Evergreen子網“Spruce”，將為其網絡基礎設施做出貢獻，這表明傳統金融公司對Avalanche生態系統的興趣日益濃厚。[2023/4/15 14:05:10]

黑客攻擊前的代幣價格-2.73美元

黑客攻擊后的代幣價格-1.87美元

Aave DAO已在Aave v3 Avalanche上凍結了USDC、USDT、DAI、FRAX和MAI池:金色財經報道，借貸協議Aave稱，鑒于目前圍繞穩定幣的波動，Aave DAO已經在Aave v3 Avalanche上凍結了USDC、USDT、DAI、FRAX和MAI。這一措施可以防止新的頭寸給協議增加風險。

此外，治理成員表示，雖然Gauntlet的建議是暫停，但作為下一步的臨時措施，社區可以主動凍結穩定幣并將 LTV 設置為零。這一建議得到了大多數成員的統一。ChaosLabs稱，我們支持通過將 LTV 設置為 0 來凍結 Avalanche 上所有穩定幣的提議。此外，我們建議在 USDC、DAI 和其他穩定幣掛鉤情況明朗之前，暫停所有 Aave 部署中的穩定幣市場作為臨時階段。[2023/3/12 12:57:37]

讓人啼笑皆非的是，在黑客攻擊前一天，項目方發布了這樣一條推文：

動態 | 區塊鏈酒店預訂平臺Travala.com支持USDT:金色財經報道，基于區塊鏈的酒店預訂平臺Travala.com宣布支持穩定幣Tether（USDT）付款，加密用戶現在可以使用USDT預訂世界各地的住宿。[2020/1/14]

盡管ValueDeFi團隊大膽宣稱自己的協議很安全，但他們似乎并不知道提款不僅可以通過主合約進行，還可以通過代理從金庫合約中提取。

ValueDeFi使用了Curve現貨價格作為預言機。

而攻擊的詳細步驟如下：

Miller Value Partners投資組合經理：加密貨幣空間目前還處于起步階段:據彭博社消息，Miller Value Partners的一名投資組合經理John Spallanzani表示，加密貨幣空間目前還處于起步階段。他列舉了最近兩周漲勢的一系列原因，一是投資者因納稅而賣出加密貨幣的結束，二是樂觀主義的人認為美國監管機構將努力制定可以使加密貨幣蓬勃發展的指導方針。[2018/4/24]

操縱發生在第5步和第6步。

第七步的取款使用了錯誤的Curve函數進行數學運算；

功勞來自@emilianobonassi

功勞來自@FrankResearcher

15：24-這次攻擊選擇了對ValueDeFi團隊非常不利的時間點，時間是在他們要開始一次AMA活動的20分鐘前。

在15:41，一名用戶提問為什么協議鎖倉值出現了下降，當天早些時候，ValueDeFi鎖倉值一度超過了1100萬美元。

到了15:49，人們的擔憂越來越大，而協議團隊成員則告知大家這是一個UI漏洞。

然后在15:49，有人在聊天室放出了etherscan鏈接。

價值700萬美元的ValueDeFi金庫資金被轉移，之后攻擊者歸還了200萬美元，并附上了下面這樣一段話：

“你們真的理解閃電貸？”

在16:00，就在AMA即將開始的時候，StaniKulechov發布了以下這條推文，告知了大家發生了什么。

同時，在AMA活動中；

Value團隊在16:05的時候，在Discord聊天室承認了這次攻擊，而AMA的問題持續了40分鐘，討論的都是無關主題，直到……

$FARM、$AKRO以及$VALUE都成為了閃電貸的受害者，它們因為弱協議而遭到了嚴厲的教訓，并且攻擊者都通過返回一些金額來表達一些“善意”。

這些攻擊是想要教我們什么嗎？

閃電貸在DeFi領域是一個有爭議的話題，近幾個月來，它們一直是很多攻擊及漏洞的主要原因，但是可以說，閃電貸只是在加速我們的學習過程，并有助于消除薄弱的協議。

如果沒有閃電貸，未來也可能會有“鯨魚”能夠這樣做，我們最好就在去中心化金融的起源階段經歷這個過程，因為準備冒險的人每天都在試驗、嘗試和發布新產品。

閃電貸是來教導那些冒進者的，告訴他們為何要謙卑，它們處在DeFi的頂點，這在其他任何地方都是不可能的，閃電貸是DeFi這項技術帶來的新功能的完美例子。

這是DeFi的一個特性，而不是對代碼的利用。

最強大的協議不會受這些攻擊的影響，有些甚至能夠從中受益。

可以說，閃電貸強行提高了DeFi開發者的門檻。

在新標準得到滿足之前，人們和協議會遭到攻擊，這將是痛苦的，而它也將是公開的，但正因為如此，我們需要學習。DeFi將變得更強，我們將為未來的用戶開發更好的實踐、更強的代碼以及更安全的環境。

Tags：VALDEFDEFIEFICircuits of ValueRetro DEFIdefibox幣有價值嗎COREFI價格

幣贏