除了套利攻击,闪电贷还能作什么恶?
作者:LeftOfCenter
闪电贷作为一种套利工具,可被用来实现以极低甚至零成本在各个 DeFi 协议之间进行高额套利,甚至利用可组合性的漏洞进行黑客攻击盗取巨额资金。从去年开始,陆续发生的多起闪电攻击事故已证明了其可行性,可以说,闪电贷攻击就像一颗定时炸弹,已成为 DeFi 的巨大安全隐患。
然而,最近发生在 MakerDAO 社区的一起治理投票让我们意识到,闪电贷除了用于黑客攻击让用户产生直接的经济损失之外,还可以被用于实现恶意治理操纵,即通过闪电贷「凭空」取得大部分选票,几近以零成本花销变更治理规则让自己受益,从而让用户产生间接的经济损失。
闪电贷和黑客攻击
「闪电贷」这种诞生在 DeFi 世界的新物种,无需任何抵押物,只要借贷和还款在一个区块时间完成即可。这会让聪明的开发者脑洞大开,开发出全新的 DeFi 应用,然而,在带给我们惊喜的同时,闪电贷也在慢慢在打开一个 DeFi 的潘多拉魔盒。自去年以来,已有多起闪电贷黑客攻击事件发生,DeFi 协议中的大量资金被盗。
DeFi 贷款协议 bZx 曾先后两次因闪电贷攻击被套利超百万美金,知名 DeFi 平台 Balancer 流动性池也曾遭黑客闪电贷攻击,损失 50 万美金。
而就在三天前的 10 月 26 日,黑客又一次使用闪电贷(Flashloan)套利成功从 DeFi 协议 Harvest.Finance 盗走 2400 万美金。
闪电贷和治理攻击
闪电贷攻击的存在引人不安,尤其是在处于混沌状态的加密早期阶段,DeFi 协议可组合性的加持,DeFi 中的用户犹如在危机四伏的黑暗森林中探险,如履薄冰,在高回报和高收益的表象下,闪电贷攻击隐藏着杀机四伏的安全风险。
然而,这还不是全部。最近,闪电贷又被发现有了新的「用武之地」,即可被用来操作选票进行去中心化社区治理攻击。
本周早些时候 MakerDAO 通过的一起治理投票,事后被发现该治理流程中有利用闪电贷操纵进行投票。虽然事后调查显示,此次事件并非出于恶意,但这起事故让 MakerDAO 社区意识到,闪电贷在治理结构中存在着隐形操作风险,且具有可操作性。
具体来说,10 月 26 日,Maker 基金会智能合约开发团队检测到一起发生在 MakerDAO 治理提案中的投票违规行为,该提案由 DeFi 流动性协议 B Protocol 开发团队发起,主要目标是提议将 B Protocol 列入到 MakerDAO 预言机的白名单中,以获得访问 MakerDAO 价格预言机的权限,此次检测发现该提案使用了闪电贷功能操纵投票以通过提案。
事后监测发现,此次提案投票过程中,有多个步骤的操纵被创建和执行,具体来说,首先从 dYdX 通过闪电贷借出 WETH,接着将其用作抵押资产从借贷平台 AAVE 中借出价值 700 万美元的 MKR 代币,之后借出的大约 1.3 万 MKR 代币被用于进行该提案投票,投票完毕后将其返还。
此次投票操纵的具体流程
该帖子指出,投票违规行为被确认后, Maker 基金会与 BProtocol 团队取得联系,BProtocol 团队也一直就此事和 Maker 基金会保持良好透明的沟通,并愿意为这起闪电贷负责。
诚然,此次治理操纵事件的发生并未带来巨大损失,但是这起治理事故仍然意义重大,它提醒我们,闪电贷不仅可以产生直接的经济损失,还可通过治理操纵导致间接的经济损失,且具有可操作的空间,而后者显然更加隐秘。
这意味着,DeFi 用户尤其是社区治理者必须意识到闪电贷的潜在风险,即它可能对治理系统产生影响,最终可能引发经济损失,而对于 Maker 社区而言则更加迫在眉睫地急需对社区投票筹码代币 MKR 市场的流动性进行积极地监控。
Maker 社区论坛上,已针对未来如何防范闪电贷治理攻击进行一系列讨论,比如将 GSM 暂停延迟增加至 72 小时,让 MKR 持有者有更长的时间对治理攻击做出反应,禁用治理参与者的某些功能。
随着 DeFi 逐渐变得成熟,可组合性会使整个系统风险呈指数级增长,在各个协议通过组合带来机会的同时,也面临兼容性风险。处于蛮荒早期的 DeFi 生态安全问题仍然任重而道远。
来源:链闻
比推快讯
更多 >>- Syncracy Capital 联创:SOL 到月底可能会达到 200 美元
- 分析师:FET代币可能会突破 4 美元
- 截至第一季度末,Point72持有价值7750万美元的富达现货比特币ETF
- 分析师:5 月份现货比特币 ETF 的资金流入已弥补 4 月份净流出
- Coinbase:宏观环境仍然是加密货币表现的关键驱动因素
- 美国9只现货比特币ETF 今日净增持3,743枚BTC,约合2.51亿美元
- 经 FBI 调查,加密名人 Thomas Sfraga 承认电汇欺诈罪
- 美联储理事Bowman:若通胀停滞或反弹,愿意支持美联储重启加息
- Kraken正在权衡是否在欧盟新规下取消对USDT的支持
- 以太坊二层网络ZkSync暗示将于6月底进行空投
- Web3 focus应用程序Focus Tree完成200万美元种子轮融资,Sfermion 领投
- Coinbase 将在 Solana 网络上添加对Drift Protocol(DRIFT)的支持
- Vitalik Buterin:近期和中期将着重提升以太坊网络的无许可性和去中心化特性
- Blast创始人:推迟空投计划只是因为需要更多时间进行开发
- ETH突破3100美元,日内涨幅达到5.17%
- 比特币突破67000美元,日内涨2.76%
- 美SEC 政策总监 Heather Slavkin Corzo 离职, Corey Klemmer 接任
- 两名中国籍人士因通过加密投资诈骗至少7300万美元在美被捕
- 超 50 家加密行业参与者致信美众议院议长,以支持 FIT21法案
- 截至5月16日贝莱德IBIT持仓超过27.6万枚比特币
- ETH突破3000美元,日内涨幅扩大至5%
- 一巨鲸将3400枚ETH存入Compound,并借出700万枚USDT
- Arbitrum DAO批准一项为期八周的并购试点计划,考虑与大型科技公司合作
- 美股开盘GameStop跌超20%
- 尼日利亚法院称币安可接受逃税指控并拟于5月22日再次提审
- 美国银行提高Coinbase股票评级
- 土耳其议会提交加密货币法案,旨在将加密货币许可证引入该国
- 尼日利亚信息部:拟针对币安CEO声称1.5亿美元索贿指控展开调查
- 香港金管局:目前数字人民币试点不实名登记、不可作个人转帐
- 华夏基金比特币和以太币ETF已被纳入香港新资本投资者入境计划
- CoreWeave筹集75亿美元以推动人工智能计算
- CryptoQuant CEO:比特币正处于牛市中期
- 尼日利亚法院驳回Binance高管的保释请求
- 币安与台湾执法部门联合侦破一起涉案金额620万美元诈骗案
- Spartan Group从Aave转出14万枚LINK并存入币安
- 派盾:以太坊基金会关联地址向Kraken转入200枚ETH
- Sonne Finance向攻击者提出解决方案:可保留10%攻击资金
比推专栏
更多 >>观点
项目
比推热门文章
- 加密空投「常态化」,是泡沫还是价值发现
- 【比推每日新闻精选】截至第一季度末,Point72持有价值7750万美元的富达现货比特币ETF;以太坊二层网络ZkSync暗示将于6月底进行空投;Vitalik Buterin:近期和中期将着重提升以太坊网络的无许可性和去中心化特性
- 【比推每日市场动态】比特币准备“黄金交叉”,加密总市值上涨 3%
- Syncracy Capital 联创:SOL 到月底可能会达到 200 美元
- 分析师:FET代币可能会突破 4 美元
- 截至第一季度末,Point72持有价值7750万美元的富达现货比特币ETF
- 分析师:5 月份现货比特币 ETF 的资金流入已弥补 4 月份净流出
- Coinbase:宏观环境仍然是加密货币表现的关键驱动因素
- 美国9只现货比特币ETF 今日净增持3,743枚BTC,约合2.51亿美元
- 经 FBI 调查,加密名人 Thomas Sfraga 承认电汇欺诈罪