SDT:闪电贷攻击：曾经的 DeFi 之王YFI也未能幸免

引言：关于DeFi的安全问题，从2020年2月份到现在，损失数亿美元，各路专家已有无数文章来解析DeFi乐高的风险，直到现在这类问题依然没有引起开发者们的高度重视，在市场持续狂热以及锁仓规模不断推高的环境中，人们似乎已经忘了，那个深埋在狂欢大陆土地下的隐患，并没有消失......

曾经的DeFi之王YFI协议未能幸免

2021年第一次闪电贷攻击事件，发生在了2020年的DeFi王者——YearnFinance协议身上，当然，这是偶然事件还是开年先拿王者开刀，来嘲讽DeFi的无能，我们暂且不论，也无从洞察“攻击者”的心境，这里，我们来看一下发生了什么。

根据慢雾科技的情报，遭受攻击的是YearnFinance协议的DAI策略池，具体情况如下：

NFT巨鲸n0b0dy.eth以185 ETH购入Otherdeed for Otherside #81764:金色财经报道，据 NFTGo数据显示，NFT 巨鲸 n0b0dy.eth 以 185 ETH 价格购入 Otherdeed for Otherside #81764，约合 29.394 万美元。

该巨鲸当前已持有 229 个 Yuga Labs 元宇宙项目 Otherside 虚拟地块，45 个无聊猿BAYC NFT、以及 43 个下水道通行证Sewer Pass NFT。[2023/1/21 11:24:55]

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH

2.攻击者使用从第1步借出的ETH在Compound中借出DAI和USDC

国际清算银行将银行的加密货币储备上限设置为2%:12月19日消息，国际清算银行（BIS）上周五发布的一份官方声明规定，银行的加密货币储备上限为2%，将于2025年1月1日开始实施。报告称，总体而言，银行的加密货币敞口不应超过1%。

国际清算银行表示，这些规则是由该行巴塞尔委员会的监督机构制定的，支持“银行对加密资产风险敞口的全球审慎标准”。BIS中央银行行长表示：“该标准标志着在制定全球监管基准以减轻加密资产对银行造成的风险方面的一个重要里程碑。重要的是继续监测加密资产市场中与银行相关的发展。我们随时准备在必要时采取进一步行动。”（pymnts）[2022/12/19 21:53:29]

3.攻击者将第2步中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，这个时候由于攻击者存入流动性巨大，其实已经控制CurveDAI/USDC/USDT的大部分流动性

以太坊Layer2总锁仓量回升至44.9亿美元，7日涨幅4.85%:金色财经报道，12月5日，据L2BEAT数据显示，当前以太坊Layer2总锁仓量回升至44.9亿美元，7日涨幅4.85%。其中，锁仓量前五分别为：ArbitrumOne（23.9亿美元，7日涨幅3.87%）；Optimism（12.2亿美元，7日涨幅4.37%）；dYdX（4.25亿美元，7日涨幅6.62%）；Loopring（0.9552亿美元，7日涨幅11.47%）；MetisAndromeda（0.9407亿美元，7日涨幅3.73%）。[2022/12/6 21:24:38]

4.?攻击者从Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/(USDT&USDC)贬值

腾讯吴运声：元宇宙是广泛概念，腾讯在全真互联多领域有积累:金色财经消息，9月3日，在腾讯·瞰见论坛上，腾讯云副总裁、腾讯优图实验室总经理吴运声在接受记者采访时表示，元宇宙是一个广泛的概念，涉及到腾讯诸多业务板块的技术。在优图实验室方面，主要涉及到的技术包括3D建模、数字人、语音识别等技术，这些都属于全真互联网的范畴。同时，腾讯在社交领域也有相关的技术场景积累。“这些都会融合起来，共同面对新时代的技术挑战。”（澎湃新闻）[2022/9/3 13:06:35]

5.攻击者第3步将剩余的DAI充值进yearnDAI策略池中，接着调用yearnDAI策略池的earn函数，将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中，同时yearnDAI策略池将获得一定量的3CRV代币

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢复

7.攻击者触发yearnDAI策略池的withdraw函数，由于yearnDAI策略池存入时用的是失衡的比例，现在使用正常的比例提现，DAI在池中的占比提升，导致同等数量的3CRV代币能取回的DAI的数量变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中

8.由于第3步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性，导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者

9.重复上述3-8步骤5次，并归还闪电贷，完成获利

攻击者利用闪电贷进行这一循环套利，使得YearnFinance损失高达千万美元！

根源不是闪电贷，而是脆弱的价格机制

YFI和Curve之间的组合，利用LP的不同净值来计算份额，通过池子里的份额来决定价格，这是典型的价格操控！

我们把现在的各DeFi协议当作是各个国家，每个国家制定不同的政策规则，商人通过政策规则之间的组合，寻找突破口，来获取利差。这是光明正大的赚取合理收益，无法责怪攻击者，因为，你的机制告诉了别人，怎么来操控我的价格进行套利。

关于闪电贷攻击的问题，我们已经阐述过多次，《解读|Compound遭受价格预言机操纵攻击事件始末》，这篇文章里有详细描述。

价格操控的背后所暴露的问题，才是我们更应该去思考和研究的方向。

现如今的DeFi协议开发者，往往把快速、高效放在第一位，对区块链的本质充耳不闻，大家都求快，不愿去解决本质问题的根源。因为几乎所有人都正在这样做，睁一只眼闭一只眼。

比特币的设计，是让所有节点一起对正在广播的交易进行验证，所有人都同意的广播，这笔交易才作数。其本身就是一个冗余的复杂系统，比特币并非是为了在“可用性”方面做出创新，而是在“可信性”方面给出了一个完美的解决方案，解决了去中心化过程中的安全问题。比特币网络的算力规模越大，网络越安全，但其处理交易的效率并没有提高。

如果一个价格机制可以简单的利用所谓的“可信”节点上传到链上或者通过LP份额的方式来简单决定，而使用这个价格的DeFi协议或者用户无法对你的价格进行无需许可的有效验证，那么你给出的价格就是你说的算，并不是共识过的价格，并不是大家一起说的算；进而，基于这套价格体系的链上经济体的安全系数，也必然不会随着规模的扩大而增强。简单来讲，这与区块链本质背道而驰，舍本逐末。

坚定去中心化的安全之路

NESTProtocol坚持以无需许可，可被任何人验证的无套利空间的价格同步在链上生成，供DeFi协议调用，随着NEST报价矿工/验证者参与规模的增长，其在链上生成的价格数据质量也会同步提高，这是一个非合作博弈系统所应该表现出来的基础属性，可累积博弈。

在有效市场下，这种报价矿工之间的博弈、报价矿工与验证者之间的博弈，以及协议与二级市场之间的博弈，多维度非合作博弈生成的链上价格才是我们应该去追求的安全之根。

坚持区块链本质，坚定去中心化精神，是区块链行业发展的第一准则。

撰文|NESTFANS.知鱼

来源：金色财经

标签：DAIUSDSDTSDCDAISY币USDGLO泰达币USDT官网可以买吗SDC价格

TUSD热门资讯