EFI:三天三次闪电贷攻击 DeFi为何如此脆弱？

之前，起源协议OriginProtocol稳定币OUSD被爆出遭到闪电贷攻击，OriginProtocol共损失225万美元的DAI和100万美元的ETH。随后不久，OriginProtocol创始人MatthewLiu发文公布OriginDollar闪电贷攻击事件细节。

文中表示，此次闪电贷攻击已造成约700万美元损失，其中包括Origin以及创始人和员工存入的超过100万美元资金。Origin团队正在全力以赴确定漏洞原因，以及确定是否能够收回资金，并强调，团队不会离开，此次攻击事件不是欺诈，也不是内部局，称黑客技术卓绝，愿意聘请其为安全顾问，如果黑客全额归还资金，将不对其进行追踪也不采取法律措施。截止目前并没有进一步进展。

Origin并特地提醒用户，目前已取消了金库存款，不要在Uniswap或Sushiswap上购买OUSD。Origin团队也表示正在采取措施以追回资金，包括和交易所以及其他第三方合作，以此识别出黑客地址，对资金进行冻结。黑客使用TornadoCash和renBTC来和转移资金，目前还有7137枚ETH和224.9万枚DAI留在黑客钱包中。

过去三天超过 15 亿美元的比特币交易头寸被清算:金色财经报道，据数据网站Coinglass的数据，过去三天，由于追加保证金，超过 15 亿美元的比特币交易头寸被清算。[2022/1/24 9:08:52]

来源：medium

受到攻击事件的影响，OUSD价格出现急跌，跌至0.13美元，同时Uniswap中OUSD流动性也从16日的35万美元跌至12万美元。

至于具体的攻击手法，根据目前Origin团队的分析，攻击者是利用了一笔小额贷款和OUSD合同中的漏洞来启动所谓的“变基”，在将SushiSwap和Uniswap上新产生的代币交换为USDT之前，攻击人为地夸大了协议中OUSD代币的供应。

在过去短短的三周时间里，这已经是第五个遭受闪电贷攻击的DeFi项目，HarvestFinance、Akropolis、ValueDeFi和CheeseBank，损失均在百万美元级别以上，大部分损失最终都是散户在买单。那么闪电贷攻击到底是什么？为什么DeFi总是遭受黑客攻击？

比特币近三天全网平均算力降至103EH/s，据历史高点下降近43%:据欧科云链 OKLink 数据显示，比特币及以太坊近一周算力持续下降。比特币过去三天全网平均算力仅为 103.03 EH/s，据今年 5 月算力历史高点 180EH/s 已下降近 43%。以太坊过去三天全网算力 502.98 TH/s，距此前全网算力高点下降超 12%。[2021/6/23 23:59:35]

闪电贷：迷人又危险

可能大部分用户最早听到闪电贷攻击这个名词，是在今年2月bZx遭受闪电贷攻击，当时攻击者仅用时13秒即套利36万美元，虽然bZx通过adminkey限制了操纵人提现，使攻击者无法真正套利，但自此之后“闪电贷”开始频繁成为热门话题，巨额的套利收益抓人眼球。

行情 | 近三天24小时成交额前三币种平均成交额显著下滑:根据公开数据显示， 24小时成交额排行中成交额排名第一的是比特币，平均成交额为2495688万人民币，相对之前下降1240196万人民币，下降幅度约为33.2%，占比降为26.97%，下降幅度为1.91%；排名第二的是泰达币，平均成交额2245479万人民币，相对三天前下降869619万人民币，下降幅度约为27.9%，占比升为24.26%，上升幅度为0.18%；排名第三的是以太坊，平均成交额1026511万人民币，相对三天前下降284844万人民币，下降幅度约为21.7%，占比升为11.09%，上升幅度为0.95%。[2018/7/29]

闪电贷FlashLoan隶属DeFi生态，DeFi热度全面起来之后，各种安全问题随之而来，闪电贷就是一种常见的攻击方式。闪电贷与传统的DeFi借贷有很大的不同，传统的DeFi借贷要求用户在前期对贷款进行超额抵押，也导致资金利用率较低。而闪电贷则允许借款人无需抵押资产即可实现借贷，只要求借款人必须在同一个区块中偿还即可，否则就会被收回，整个交易回滚，闪电贷也不会发生。

比特币期货连涨三天，本周涨超3%:CME比特币期货BTC 6月合约收涨270美元，涨幅大约3.27%，报8530美元，华尔街见闻统计数据显示，4月6日以6630美元创主力合约收盘纪录最低位，本周累计上涨约5.18%。CBOE比特币期货XBT 6月合约收涨280美元，涨超3.39%，报8530美元，4月6日也以6605美元录得主力合约收盘纪录低点，本周涨约3.27%。[2018/4/21]

闪电贷在极大提高资金利用率的同时埋下了安全隐患。一笔链上交易可以做很多事情，使得用户可以在借款和还款间加入其它链上操作，这就存在了作恶的空间，很多用户恶意利用闪电贷借入、交换、存入并再次借入大量的Token，人为地在DEX里操纵Token价格。这出现了目前常见的闪电贷攻击。

有人曾这样评价闪电贷，“闪电贷之于DeFi，就是一个核弹，而且开关摆在广场上，它的危险程度用PoS类比，相当于任何人可以通过付利息的方式来借用全网Staking进行51%攻击。”试想任何一个普通用户分无分文却可以控制巨额资金，空手套白狼，谁人不心动，这或许是只有区块链才能带来的的新奇金融世界。

但是有一点需要表明的是，用户利用闪电贷进行的一系列套利行为从交易的本身来讲是被允许的。技术没有对错，闪电贷只是一种工具，如果错了那么就是因为使用工具的人。

DeFi：新奇又脆弱

闪电贷攻击自bZx攻击事件之后频繁发生，但是闪电贷攻击并不是DeFi生态中真正的系统性根源风险，究其根源在于Oracle攻击，闪电贷攻击往往只是对Oracle的攻击。Oracle是连接链上DeFi应用和链下数据的中间件，由于使用去中心化的Oracle网络，在多个交易所中存在交易量和流动性差异，那就加大了Oracle攻击风险。

据samczsun.com网站研究人员发布的报告，在2020年，针对价格Oracle操纵行为非常多，迄今为止已导致逾3000万美元损失，而且没有放缓的迹象。还指出，多年来基于可重入性的攻击已经减少，而基于价格Oracle操纵的攻击现在正在上升。

其实很多闪电贷攻击并不涉及到任何区块链及智能合约的漏洞安全问题，这让避免闪电贷攻击变得难以捉摸，攻击发生之时也没有太多时间留给项目反应。很多闪电贷套利事件发生的前提条件只是因为在不同的DEX中存在价格差。

区块链安全公司CertiK针对这种价差套利提出了两点建议，第一，从控制价格差的角度思考，不同交易所之间建立价格同步机制或者采用同一种价格预言机，可以降低套利事件发生的概率；第二，从执行套利事件的智能合约角度思考，对涉及交易数目巨大的交易采取额外的验证步骤或者提高对该种交易的交易费用，会减少套利事件的发生。

闪电贷发明的本意是让想开发者可以任意借贷而无需提供质押物，但也打开了潘多拉魔盒。

未来闪电贷不会消失，但会以何种形态继续发展不得而知，虽然有风险，但是在这之中确实看到了金融的创新，这是区块链的想象力，是DeFi去中心化金融所带来的新金融体验。DeFi本就是一场大型的社会实验，有成功自然也会失败，这还不是终点，等待DeFi的完美试验结果。

标签：DEFIEFIDEF比特币DOGDEFIPEFI币IDEFI泰达币和比特币区别

火必热门资讯