?Arbs利用DeFi仅几秒钟赚了90万美元，引出DeFi中的问题

编者按：本文来自头等仓区块链研究院（ID：first_vip1），Odaily星球日报经授权转载。

Arbs利用DeFi仅几秒钟赚了90万美元，事件一出现，发人深省。

上周末，美国发生bZx攻击事件，给去中心化金融（DeFi）带来沉重打击。

DeFi粉丝们，今天的重点是围绕bZx攻击事件，也是DeFi的首个重大攻击事件。为何该次攻击要加上“”双引号？用户为何质疑DeFi是否足够去中心化？价格预言机潜在的漏洞等，有许多问题亟待探讨。

获利90万美元，引出DeFi的“去中心化”问题

DeFi增强了金融系统，但也加剧了金融攻击。

过去四天，有人两次利用了bZx的DeFi交易协议。第一次是在情人节，收益约1,271ETH，而第二次是昨天夜晚，收益约为2,378ETH。两次攻击收益分别价值32万美元和60万美元，当时1ETH等于250美元。

将本次事件简化，交易员使用了闪电贷，没有提供担保，用部分贷款对某种代币开空或开多，另一部分贷款在低流动性市场中买入加密货币，推高加密货币价格，从而获得空头或多头利润。

第一次攻击使用了5个DeFi协议，第二次攻击使用了4个DeFi协议。两次攻击都是在一个15秒的以太坊区块中完成，第一次攻击网络手续费为8.21美元，第二次攻击为110美元，没有其他费用。

两次攻击是这样进行的

（第一次攻击）

（第二次攻击）

拼搭具有两面性

关于这些攻击，有几点值得注意的地方。首先，攻击突显了可组合金融产品（即所谓的“货币拼搭”)的绝对权力。交易员之所以能够成功利用这些漏洞，是因为这个系统是如此无缝地互联在一起。

一笔借贷平台的贷款在另一个交易平台上用来开5倍空。一家交易所从第二交易所那里获得流动性。一个交易所的价格影响第二个交易所的合约。这种紧密联系可以创造出更快、更便宜、更具创新的金融产品。但增加的复杂性也导致了潜在的攻击，使系统变得脆弱。构建者防护系统和阻止攻击将经历一个学习曲线阶段。

推卸责任

用户对此有诸多指责。有人认为，闪电贷和可组合性产品是危险的工具，滥用的时机已经成熟。

第一次攻击中，bZx存在代码漏洞，致使黑客开出了一个5倍的空头仓位，在大额负担保情况下成功交易。系统应该禁止交易，但由于代码中存在漏洞，没有禁止交易。

bZx采用的是去中心化交易所KyberNetwork的市场价格。许多人其中包括Uniswap的创始人HaydenAdams在一次采访中指出，采用当前的市场价格，而不是像时间加权平均价这样的解决方案，是有风险的。

虽然bZx的联合创始人KyleKistner与TomBean在一次采访中表示，在第一次攻击中，系统价格并没有产生什么影响。但bZx账户上的一条推文称，预言机被操控导致第二次攻击。创始人于是决定将ChainLin预言机作为Kyber价格的补充。以太坊创始人VitalikButerin在推特上表示，Uniswap的第2版本将能阻止此类攻击。

虽然责备攻击者无可厚非，但就连责备与否，人们也划分成两派。一种观点是，攻击者只是知道如何正确使用DeFi乐高资金，套利获得丰厚回报。另一种看法是，这实际是一场攻击，交易员利用了bZx系统漏洞，从而滥用协议。

紧急措施

bZx团队找到了一种方法，立马“停用”协议上的某些功能，减轻两次攻击之后造成的伤害。甚至系统设计规定，更改状态只能在12小时的缓冲之后完成，也就是在管理员恶意操纵协议时警醒用户。

但是在第一次攻击之后，bTz删除了预言机代币注册表中的白名单代币，从而停止了交易和借贷，因为白名单不受时间锁的保护。出借业务没有受到影响。

为了防止第一次攻击后出现任何实际损失，bZx会继续使用攻击者在协议中留下的抵押品，为违约贷款提供服务，根据bZx的假设，这些抵押品可以支付200多年的利息。在大多数情况下，由于贷款被超额抵押，抵押品会被清算，系统会识别出损失，从而阻止协议中的贷款人。在本次攻击中，幸亏有防护措施（允许管理人介入‘追加保证金将耗尽整个系统的保险基金’这种特殊情况），抵押品才没有被清算。

bZx团队昨晚在一篇报道中表示:“根据协议的规定，由于攻击者的负债超过了资产，不用考虑道德因素，可以公平地没收攻击者的资金。”

bZx表示，他们还将针对第二次攻击“延迟实现损失”。具体细节尚未披露。

bZx指出，虽然他们找到了暂停交易的方法，并决定没收攻击者的抵押品，但是这是从用户的利益角度着想。团队认为，去中心化治理系统（如DAO)也会做出相同的决策。

有关DeFi中的“De（去中心化）”

批评人士指出，管理团队可以随便停用DeFi平台，根本并非去中心化系统。莱特币的创始人查理·李认为:“大多数DeFi可以被一个中心化管理机构关闭，所以DeFi只是一个去中心化的剧院。”

那么，DeFi今天完全去中心化了吗?

答案是否定的。DeFi团队对自己的平台有不同程度的控制权，比如防护措施中的bZx时间缓冲，要求不止一方批准更改等。少数项目根本没有能力采取单方控制。

第一，与传统金融机构和中心化加密交易所相比，用户对资金和信息的控制程度还是变大许多。bZx可以暂停交易，但他们无法完全控制整个系统。这点与中心化交易所截然不同，中心化交易所的用户完全信任管理层，预防资金流失，然而已经发生资金流失的情况了。

第二，透明度提高了。在DeFi中，由于大多数平台的代码是开放的，用户可以准确地验证自己资金的位置以及使用状况。因此分析人士才能在bZx被黑事件发生仅仅几分钟后就对其进行剖析。

当然，这也是交易员能在第一时间找到漏洞的原因。更具组合性、更透明、更少的第三方干预和控制，将为DeFi体系带来积极效益。这些经历都只是成长中的烦恼，最终会使整个体系变得更加强大。

本文来源：星球日报
原文标题：?Arbs利用DeFi仅几秒钟赚了90万美元，引出DeFi中的问题

—-

编译者/作者：星球日报

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。