“快速借贷”攻击DeFi改变了一切

紧急贷款（flash loan）已经成为近期关注的焦点。两名黑客利用快速贷款攻击bZx保证金交易协议。第一笔交易发生在350,000美元的突袭行动和60万美元的类似副本期间。

无论好坏，都必须以某种“非常神奇”的方式承认这些攻击。在每次事件中，毫无身无分的攻击者都会立即借用数十万美元的ETH，然后建立了一系列易受攻击的链上协议，从而提取了数十万美元。财产被盗，然后归还了巨额的ETH贷款。所有这些都是在一次ETH交易中立即发生的。

没有人知道这些攻击者的身份或来源。两者都是从零开始，偷走了数十万美元，一无所有。

在这些攻击发生之前，Dragonfly Capital跨境风险投资基金的执行合伙人Haseeb Qureshi对速记贷款及其对DeFi安全的含义进行了很多思考。

简而言之，他认为快速贷款是主要的安全威胁。但是，快速贷款不会消失，我们需要在未来仔细考虑它们对DeFi安全性的影响。

什么是紧急贷款？

快速贷款的概念由Marble Protocol在2018年首次提出。Marble宣传自己是“智能合约银行”，其产品是一种简单而出色的DeFi创新：无风险贷款通过智能合约

贷款如何无风险？

传统的贷方有两种形式的风险。首先是违约风险：如果借款人的钱用光了，那显然是非常糟糕的。但是，贷方面临的第二个风险是流动性不足的风险：如果贷方按时借出过多财产或未及时收到还款，则贷方可能会被清算，无论怀疑并无法履行他的义务。

快速贷款使这两种风险最小化。一笔快速贷款基本上是这样的：我将为您提供单笔交易所需的尽可能多的钱。但是在交易结束时，您至少要付给我我借给您的金额。如果您无法执行此操作，我将自动恢复您的交易！ （是的，智能合约可以做到这一点。）

简而言之，您的快速贷款是原子性的。如果您不偿还贷款，整个事情将被还原，就好像贷款从未发生过一样。

这样的事情只能存在于区块链上。您无法在BitMEX上进行快速借贷，因为智能合约平台会处理每笔交易，因此交易中发生的所有事情都是按观看次数付费的方式完成的。因此，您的交易在进行中有一个“冻结时间”。另一方面，集中交易可能会导致无法执行您的订单的条件。在区块链上，可以确保所有代码在流后逐行运行。

通过Remco Bloemen进行Flash借贷利用代码

从经济上讲，传统的贷方有两种补偿方式：他们面临的风险（违约风险和流动性风险）和他们借出的资本的机会成本（例如，如果我可以在其他地方获得2％的利息，则借款人必须向我支付超过2％的利息而没有风险）。

短期贷款不是那样的。它没有风险，也没有机会成本！这是因为借款人在紧急贷款期间“冻结时间”，因此在其他任何人的眼中，系统的资金永远不会受到威胁，也不会冻结，因此无法赚钱。在其他地方获得利息（没有利息成本机会）。

这意味着成为快速贷款人没有任何成本。这是非常违反直觉的。那么，处于均衡状态（即当供需均衡时）的快速贷款的成本是多少？

基本上，快速贷款应该是免费的。或者，应该收取足够小的费用，以降低包括3条额外代码行以快速生成可贷资产的成本。

从传统意义上讲，不能从速付贷款中收取利息，因为它的值为零（每APR * 0 = 0）。当然，如果快速贷款人收取更高的利率，他们将很快被其他快速贷款人团体击败。

瞬间贷款使资本成为一种真正的商品。这场底线赛跑肯定会导致零费用或非常少的费用，只是象征性的。 dYdX交易所现在收取零借贷费用。另一方面，AAVE收取贷款本金的0.09％。作者怀疑这是不可持续的，并且怀疑他们的社区要求零折扣（请注意，以上两种攻击都使用AAVE作为快速贷款池）。

Flash攻击具有重大的安全隐患

快速贷款真正带给我们的可能是快速攻击，换句话说，就是由快速贷款资助的密集型攻击。作者在最近的bZx黑客中得出了这个结论，他怀疑这只是前戏。

速记贷款对攻击者特别有吸引力的主要原因有两个：

在当今的区块链安全模型上，交易所绝不会被列入黑名单，因为这样做非常重要。但是，这些攻击背后的计算类型将得到广泛报道。

在比特币白皮书中，中俊曾著名地指出，比特币受到保护不受攻击，原因是：

“攻击者在遵守规则时必须获得更高的利润……而不是削弱系统和资产有效性。”

有了快速贷款，攻击者无需花费金钱就能获得利益。闪购贷款显着改变了攻击者的风险。

哈西卜·库雷希（Haseeb Qureshi）

请记住，快速贷款可能会重叠！根据天然气限制，您可以对所有可以在一次交易中借用快速交易的组进行汇总（最高为5000万美元），并将所有这些资本纳入脆弱的合同中。是的，只要钱自掏腰包，这就是任何人想要进入的一个价值5000万美元的链上矿场。真可怕

从长远来看，这一切意味着什么？

Haseeb Qureshi相信bZx攻击已改变了一切。

这将不是最后的闪存攻击。第二次bZx攻击是第一次bZx的复制品，他怀疑它会在未来几个月内掀起一波攻击。现在，来自世界上最偏远地区的成千上万的聪明少年正潜入DeFi，试图找出是否有任何办法可以发起Flash攻击。仅仅通过挖一个洞，他们就可以赚到几十万美元，这在世界上大部分地区都是改变生活的钱。

对于协议，闪存攻击意味着威胁模式正在缓慢变化。在bZx黑客攻击之后进行一次Flash攻击与在DAO黑客攻击之后进行一次重新进入攻击一样令人困惑：您将成为加密货币世界的笑柄。您应该对此保持警惕。

最后，这些情况使作者想起了加密货币领域的一个古老概念：矿商可提取价值（MEV）。 MEV是矿工可以从区块链系统获得的总价值，包括区块奖励和费用。此外，还可以通过技巧来挖掘价值，例如重新安排交易或将假交易插入区块。

简而言之，您应该记住所有这些闪存攻击都是内存池中的单笔交易，这些交易会产生大量资金。例如，第二次bZx攻击仅一次交易就产生了645. ETH美元的利润。如果您是矿工，并且可以在观察以前的区块交易并告诉自己之后开始挖掘新区块，那么：“我为什么要尝试以价格开采新区块? 500美元，而最后一块包含645K利润美元？”

许多人希望他们能回到过去，并尝试重写历史记录以成为Flash攻击者。老实说，因为仅交易一项就价值超过4个小时的ETH区块挖矿！

正如您所期望的，这类似于拥有一个特殊的巨型区块，其中包含的区块是常规区块奖励的1,000倍。如此巨大的区块的合乎逻辑的结果是使矿工竞争以孤立链条并自己窃取区块。

在平衡状态下，所有闪电攻击都应由矿工提取。 （请注意，他们最终将窃取所有链上价格差异和清算交易。）具有讽刺意味的是，这将在防止闪存攻击中发挥作用，因为它将阻止攻击者从这些漏洞中获利。也许矿工最终将开始通过私人渠道吸引攻击代码，并向攻击者支付搜索费用。从技术上讲，这可以使用零知识证明在不信任的基础上完成。 （这很奇怪不是吗？）

但是现在，科幻小说还不错。矿工显然今天不这样做。

他们为什么不这样做呢？

原因无数。例如在以太坊虚拟机上。这是非常危险的，因为错误可能导致金钱损失或孤儿，从而引起骚动。从那里，网络钓鱼采矿池可能面临PR危机，并被视为“以太坊的敌人”。因此，矿工可能会因此而损失更多的收入和孤立的区块。

今天是正确的，但将来不一定正确。

从那里，以太坊有更多的动力迅速转向以太坊2.0。以太坊上的DeFi虽然很棒而且很吸引人，但它可能会被完全破坏并且无法恢复。 DeFi在PoW链上不稳定，因为所有高价值交易都需要再融资的矿工（也称为时间匪徒攻击）。

为了使这些系统大规模运行，矿工必须不能重写验证块。这将在不重新投入资金的情况下预先保护区块。此外，如果DeFi协议存在于单独的以太坊2.0分片上，则它们将不会受到闪存攻击。

据估计，闪存攻击给我们提供了一个小而有用的提醒，即它仍然只是“萌芽”。我们离建立可持续的体系结构来构建未来的金融系统还很遥远。

到目前为止，快速贷款还很新。但是从长远来看，以太坊上的所有资产都将有短期贷款。诸如Uniswap之类的交易所持有的所有抵押品都可能是ERC-20。

谁知道，它只有几行代码。

明安

比特币杂志| Coindesk

跟随Twitter页面|订阅电报频道|跟随Facebook页面

加密贷款仅是年利率的5.9％-您可以有效地使用这笔钱而无需出售硬币。拥有稳定币，美元，欧元和英镑的保险，每年最多可获得8％的利息，保险额高达1亿美元。来吧，马上开始！ →

—-

原文链接：https://www.tapchibitcoin.vn/tan-cong-flash-loan-defi-da-thay-doi-moi-thu.html

原文作者：Minh Anh

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。