進入11月,DeFi領域已經有6起閃電貸攻擊事件。
11月17日,起源協議Origin Protocol穩定幣OUSD遭閃電貸攻擊,價格已跌至0.13美元。此次攻擊使得Origin Protocol共損失225萬美元的DAI和100萬美元的ETH。此後,Uniswap中OUSD流動性從16日的35萬美元跌至12萬美元。Aave創始人Stani Kulechov表示,“如果您是協議開發人員,請立即開始檢查程式碼,以避免類似的快速貸款漏洞。”截至發稿時,Origin Dollar尚未回覆問題以發表評論。
11月17日,基於以太坊的DeFi平臺Cheese Bank最近因駭客攻擊遭受了330萬美元的損失。據悉,駭客利用閃電貸漏洞即時借入、交換、存款並再次借入大量代幣。因此,他們可以在單個交易所(例如Uniswap、Curve)上人為地操縱特定代幣的價格。區塊鏈安全公司PeckShield週一在部落格中表示,Value DeFi和Akropolis最近遭受了類似的DeFi駭客攻擊。
11月17日,基於以太坊的DeFi平臺Cheese Bank最近因駭客攻擊遭受了330萬美元的損失。據悉,駭客利用閃電貸漏洞即時借入、交換、存款並再次借入大量代幣。因此,他們可以在單個交易所(例如Uniswap、Curve)上人為地操縱特定代幣的價格。區塊鏈安全公司PeckShield週一在部落格中表示,Value DeFi和Akropolis最近遭受了類似的DeFi駭客攻擊。
11月15日,Value DeFi協議週六被駭客攻擊並盜走740萬美元的DAI,隨後歸還了200萬美元。據悉,攻擊者執行了一次閃電貸攻擊,從Aave協議借了80000 ETH。閃電貸款允許使用者立即借入資金,只要他們在一個交易區塊內退還即可,這意味著使用者可以利用無抵押貸款。根據可利用的網路資料,作為利用的一部分,攻擊者向Value DeFi退還了200萬美元,併為自己保留了540萬美元。
11月12日,DeFi借貸協議Akropolis遭到網路駭客的攻擊。Akropolis創始人兼執行長Ana Andrianova表示,攻擊者利用在衍生品平臺dYdX的閃電貸進行重入攻擊,造成了200萬美元的損失。
11月1日,yearn.finance (YFI)披露一個新的閃電貸安全漏洞,該漏洞由安全研究員 Wen-Ding Li於10月29日透過Yearn的安全漏洞披露流程報告,團隊在1.5 個小時後將該漏洞移除。根據該披露,閃電貸攻擊可能會給TUSD保險庫資金帶來安全危險,目前該問題已被修復,同時TUSD保險庫已被停止部署資金。目前資金是安全的,使用者也無需採取任何措施。
什麼是閃電貸?為何閃電貸攻擊在DeFi領域中成為了常態?
成都鏈安對金色財經介紹說:“閃電貸是指利用區塊鏈交易可回滾的特性實現的一種貸款方式。使用者無需抵押即可以極低的利息,借貸出一筆鉅額的資金。使用者只需要在同一筆“交易”中歸還借出的款項和利息即可。閃電貸是一種新的,不存在於傳統金融的貸款模式,他使得作惡者可以以極低的成本,撬動巨量資金進行攻擊。因為是新的事物,很多專案在設計時,並未充分考慮到這方面風險。閃電貸本身不是漏洞,閃電貸攻擊指利用閃電貸和其他漏洞結合進行的攻擊,多為套利、操縱價格等攻擊。”
正如DeFi協議Aave的馬克·澤勒(Marc Zeller)所言,閃電貸只是一種工具:它們允許你在交易期間像鯨魚一樣行動。任何透過閃電貸執行的攻擊也可以在沒有閃電貸的情況下由資金雄厚的持有者執行。閃電貸所能做的就是讓世界上的任何人暫時成為一個資本充足的持有者,因為獲得閃電貸是不需要任何許可的,也沒有預先抵押品的要求。
也正因此,專案方在業務邏輯設計時,就應當考慮這類極端情況。如果對這塊不瞭解,可以找專業的審計機構審計。
Primitive Ventures 創始合夥人萬卉表示:“閃電貸攻擊所有操作都在鏈上,第一次'道'與'魔'的對抗策略是明牌打出,不管你是道也好魔也罷,都是絕佳的學習過程。”