欧易下载

欧易交易所
欧易交易所APP官网下载

欧易交易所(Huobi Global)是最老牌的比特、莱特、以太交易所,欧易交易平台支持OTC法币交易,支持微信、支付宝和银行卡转账,安全方便快捷,欧易下载官方APP链接。

闪电贷攻击:曾经的 DeFi 之王YFI也未能幸免

引言:关于 DeFi 的安全问题,从 2020 年 2 月份到现在,损失数亿美元,各路专家已有无数文章来解析 DeFi 乐高的风险,直到现在这类问题依然没有引起开发者们的高度重视,在市场持续狂热以及锁仓规模不断推高的环境中,人们似乎已经忘了,那个深埋在狂欢大陆土地下的隐患,并没有消失......

曾经的 DeFi 之王 YFI 协议未能幸免

2021 年第一次闪电贷攻击事件,发生在了 2020 年的 DeFi 王者 —— Yearn Finance 协议身上,当然,这是偶然事件还是开年先拿王者开刀,来嘲讽 DeFi 的无能,我们暂且不论,也无从洞察“攻击者”的心境,这里,我们来看一下发生了什么。

根据慢雾科技的情报,遭受攻击的是 Yearn Finance 协议的 DAI 策略池,具体情况如下:

1. 攻击者首先从 dYdX 和 AAVE 中使用闪电贷借出大量的 ETH

2. 攻击者使用从第 1 步借出的 ETH 在 Compound 中借出 DAI 和 USDC

3. 攻击者将第 2 步中的所有 USDC 和 大部分的 DAI 存入到 Curve DAI/USDC/USDT 池中,这个时候由于攻击者存入流动性巨大,其实已经控制 Curve DAI/USDC/USDT 的大部分流动性

高盛报告:全球约20家保险公司已经投资或考虑投资加密货币:6月2日消息,银行业巨头高盛最近发布了第十一版年度保险调查,加密货币首次被包括在内。这项针对328名首席投资官和首席财务官的调查显示,6%的受访者已经投资或正在考虑投资加密货币。这些首席投资官和首席财务官占全球保险业26万亿美元规模的近一半,因此高盛认为这项调查非常能代表行业的想法。虽然绝大多数保险公司回应说,他们没有投资加密货币,也没有考虑这么做,但6%或大约20家保险公司的回应是肯定的,特别是考虑到加密货币市场下跌,这一结果这令人惊讶。

报道称,尽管保险公司可能仍然不愿意直接投资于加密货币,但他们长期以来一直是区块链技术的大力支持者,在许多方面,区块链技术非常适合涉及大量记录保存、收取保费、跟踪索赔和协调付款的业务。(福布斯)[2022/6/2 3:58:36]

4. 攻击者从 Curve 池中取出一定量的 USDT,使 DAI/USDT/USDC 的比例失衡,及 DAI/ (USDT&USDC) 贬值

5. 攻击者第 3 步将剩余的 DAI 充值进 yearn DAI 策略池中,接着调用 yearn DAI 策略池的 earn 函数,将充值的 DAI 以失衡的比例转入 Curve DAI/USDT/USDC 池中,同时 yearn DAI 策略池将获得一定量的 3CRV 代币

6. 攻击者将第 4 步取走的 USDT 重新存入 Curve DAI/USDT/USDC 池中,使 DAI/USDT/USDC 的比例恢复

7. 攻击者触发 yearn DAI 策略池的 withdraw 函数,由于 yearn DAI 策略池存入时用的是失衡的比例,现在使用正常的比例提现,DAI在池中的占比提升,导致同等数量的 3CRV 代币能取回的 DAI 的数量变少。这部分少取回的代币留在了 Curve DAI/USDC/USDT 池中

8. 由于第 3 步中攻击者已经持有了 Curve DAI/USDC/USDT 池中大部分的流动性,导致 yearn DAI 策略池未能取回的 DAI 将大部分分给了攻击者

9. 重复上述 3-8 步骤 5 次,并归还闪电贷,完成获利

攻击者利用闪电贷进行这一循环套利,使得 Yearn Finance 损失高达千万美元!

根源不是闪电贷,而是脆弱的价格机制

YFI 和 Curve 之间的组合,利用 LP 的不同净值来计算份额,通过池子里的份额来决定价格,这是典型的价格操控!

我们把现在的各 DeFi 协议当作是各个国家,每个国家制定不同的政策规则,商人通过政策规则之间的组合,寻找突破口,来获取利差。这是光明正大的赚取合理收益, 无法责怪攻击者,因为,你的机制告诉了别人,怎么来操控我的价格进行套利。

关于闪电贷攻击的问题,我们已经阐述过多次,《解读 | Compound 遭受价格预言机操纵攻击事件始末》,这篇文章里有详细描述。

价格操控的背后所暴露的问题,才是我们更应该去思考和研究的方向。

现如今的 DeFi 协议开发者,往往把快速、高效放在第一位,对区块链的本质充耳不闻,大家都求快,不愿去解决本质问题的根源。因为几乎所有人都正在这样做,睁一只眼闭一只眼。

比特币的设计,是让所有节点一起对正在广播的交易进行验证,所有人都同意的广播,这笔交易才作数。其本身就是一个冗余的复杂系统,比特币并非是为了在“可用性”方面做出创新,而是在“可信性”方面给出了一个完美的解决方案,解决了去中心化过程中的安全问题。比特币网络的算力规模越大,网络越安全,但其处理交易的效率并没有提高。

如果一个价格机制可以简单的利用所谓的“可信”节点上传到链上或者通过 LP 份额的方式来简单决定,而使用这个价格的 DeFi 协议或者用户无法对你的价格进行无需许可的有效验证,那么你给出的价格就是你说的算,并不是共识过的价格,并不是大家一起说的算;进而,基于这套价格体系的链上经济体的安全系数,也必然不会随着规模的扩大而增强。简单来讲,这与区块链本质背道而驰,舍本逐末。

坚定去中心化的安全之路

NEST Protocol 坚持以无需许可,可被任何人验证的无套利空间的价格同步在链上生成,供 DeFi 协议调用,随着 NEST 报价矿工/验证者参与规模的增长,其在链上生成的价格数据质量也会同步提高,这是一个非合作博弈系统所应该表现出来的基础属性,可累积博弈。

在有效市场下,这种报价矿工之间的博弈、报价矿工与验证者之间的博弈,以及协议与二级市场之间的博弈,多维度非合作博弈生成的链上价格才是我们应该去追求的安全之根。

坚持区块链本质,坚定去中心化精神,是区块链行业发展的第一准则。

撰文 | NESTFANS.知鱼

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

欧易交易所

DOGE如何将你的合约升级到Solidity 0.8?

我们离 Solidity 1.0 的发布越来越近了(当然除非 0.9 之后是 0.10)。Solidity0.8在0.7 发布之后仅 5 个月就发布了! 登链社区正在同步翻译 Solidity 0.8 的文档 今天我们就来探讨一下如何把合约迁移升级到 0.8 版本... ... 我们来看看两个大的新功能:集成的 SafeMath 和新的错误处理。

比特币交易所关于 Optimistic Rollup 你需要知道的一切(下)

Layer 2 可扩展性方案基于这样一个事实,即,我们试图尽可能减少链上执行的事务的数量。我们使用欺诈证明来取消已发生的无效状态转换。由于欺诈证明是链上事务,我们想尽可能减少在以太坊上发布的欺诈证明的数量。在理想情况下,欺诈永远不会发生,也就不会有欺诈证明发布。 我们通过引入诚信保证金(fidelity bond)来反激励欺诈行为。

屎币2.3晚间行情:多头市场 小跌小买 大跌大买

文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别防上当。据OKEx的数据显示,当前BTC/USDT现货报价为 36097,24小时涨幅/跌幅为 3.68%。

[0:0ms0-0:515ms