闪电贷攻击频发黑客「空手套」DeFi( 二 ) 半个月内

黑客正是凭此完成了套利，在归集资产、还完闪电贷后，空手套利740万美元。
简单来说，整个过程中，闪电贷本身正常运行，但黑客先后利用Aave、UniswapV2的闪电贷功能借出一大笔钱，再通过Curve操纵USDC的价格，影响Value DeFi的功能，铸币套利。
预言机策略失当是风险源头
从Value DeFi的失窃案例看，它被攻击主要是由于预言机出了问题。实际上，被攻击时只是Curve上的USDC价格出现了短暂偏差，其他市场的USDC价格并没变。但由于Value DeFi采用的是Curve现货价格作为预言机，才导致了套利空间的出现。
小岛美奈子认为，防范闪电贷攻击，需要协议开发者使用安全的预言机（Oracle）策略。但怎样才算得上是安全的预言机策略？这正是目前开发者需要持续探索的难题。
由于闪电贷攻击频频发生，这个功能被一些人贴上了黑标签。有人认为，闪电贷是危险的工具；还有人觉得，它只是让协议的漏洞更早暴露出来，对协议的安全提升有益。
Chainlink 的CMO Adelyn Zhou便是带着发展的眼光来看待闪电贷的两面性。他认为，闪电贷的新奇之处在于，它可以让世界上任何一个人短暂地成为资金充裕的交易者，当然，这也让这个人具备了突然操纵市场的可能性。但本质上，「闪电贷攻击」这个词并没有抓住问题的全部。闪电贷本身不是漏洞，它只是揭示了DeFi存在已久的系统性风险。
Adelyn Zhou与小岛美奈子的观点一致，即闪电贷攻击往往只是对价格预言机的攻击，「DeFi生态系统中真正的系统性风险是围绕着中心化的Oracle ，而不是闪电贷。」因此， Adelyn Zhou认为，「闪电贷攻击」这种说法分散了关注点，一些拥有数亿美元TVL（锁仓量）的DeFi协议仍然依赖于单一交易所的价格反馈Oracle ，这才是导致价格容易被操纵的根源。
这其实与一些中心化交易所合约市场被操纵的情况类似。
去年5月， Bitstamp交易所BTC现货价格闪崩，导致合约交易平台Bitmex短时爆仓2万个比特币，时值1.5亿美元。这是因为， Bitmex的BTC合约指数成分中采用了Bitstamp的BTC现货价格，且权重达50% 。而在OKEx的合约指数成分中，采用了4个以上的交易所现货价格，且权重分散，因此受到的影响较小。
这或许能给予DeFi开发者们一些启示——要在价格预言机这一源头上下功夫，才能避免因预言机传达失真数据而带来的价格操纵风险。
Jeff则提供了另一种预防方案，他介绍，根据闪电贷的特性，借贷和取款都要在一个区块内完成，所以对DeFi协议开发方来说，更稳妥的设计是不允许在同一个区块内存款和取款，这样试图利用闪电贷的黑客便无计可施。
作为一种新的、不存在于传统金融世界的借贷模式，闪电贷通过区块链被创造，颇有创新意义，但它不应成为黑客的帮凶。 DeFi协议开发者理应在频频发生的「闪电贷攻击」中吸取教训。成都链安提示，项目方在业务逻辑设计时，应当考虑这类极端情况。如果对此不了解，应找专业的审计机构进行审计和研究，防范各种可能的风险。
【闪电贷攻击频发黑客「空手套」DeFi】互动时间：
你认为闪电贷是否应该被禁用？

闪电贷攻击频发 黑客「空手套」DeFi( 二 )

闪电贷攻击频发黑客「空手套」DeFi( 二 )