您想要了解的有关DeFi“快速贷款”攻击的所有信息

现在，有一个有关DeFi如何出错的案例研究。

根据DeFi Pulse的数据，第八大分散金融项目bZx在上周末遭受两次袭击，原因是引入了“快速贷款”（DeFi的一项新功能），该功能限制了交易者的风险并改善了上行空间。

bZx团队由首席执行官汤姆·比恩（Tom Bean）领导，上周五参加了在科罗拉多州首都举行的一次重要的以太坊会议ETHDenver，当时一位不知名的攻击者从初创公司的贷款平台Fulcrum抽出了价值约35万美元的以太币。正如该公司的验尸报告所述，攻击者利用了定价数据和bZx协议代码中的错误来保护支出。

bZx使用绝对不分散的主密钥快速关闭了Fulcrum。用户和分析师看到了代码库GitHub上的更新，据说该更新锁定了濒临灭绝的资金。

周末恢复交易，该公司宣布打算以多种方式控制损失，包括清算抵押品以支付现在未偿还的贷款，建立保险基金以及在平台用户之间分散损失。尽管发生了令人震惊的事件，但将资金存入bZx的交易员几乎不会感受到攻击的影响。

根据区块链安全公司Peckshield的说法，bZx的第一次攻击的代码补丁

但这还没有结束。 2月18日，星期二，攻击者再次击中bZx，净赚633,000美元。

尽管对于加密货币世界而言，损失的钱仍然相对较小，但这些攻击表明DeFi进入了大型联盟，并且现在将受到操纵者和小偷的注意。

如果所有这些都使您的头旋转，则说明您相处融洽。在人们开始在其之上构建借贷和交易服务之前，区块链技术已经足够复杂和抽象。

对于困惑的人，CoinDesk提供了以下bZx hack的解释器及其更广泛的课程。

新前沿

顾名思义，DeFi或去中心化金融有朝一日能够提供一种替代传统金融系统的民主化方案，在该体系中，个人可以在不依赖银行或其他中间商的情况下以点对点的方式获得信贷。不过，就目前而言，这里是交易者的游乐场-那里是一个粗糙的地方。

由于参与者之间彼此不认识，因此DeFi借贷全部基于抵押品。众所周知，比特币和以太坊（以太坊网络的本地加密货币）等数字资产易变。为了解决这个问题，像MakerDAO这样的DeFi贷款应用程序仅允许您借入可用抵押品的75％。

如果您的资产价格开始相对于市场下跌，则作为DeFi应用程序基础的智能合约将以一定的现货价格出售您的资产，以保护借给您资金的各方抵御您的资产。想想一个典当行，他只会以225美元的价格向您预购价值300美元的电吉他。

DeFi生态系统还包括分散式交易所（DEX），交易者在未经中央机构许可的情况下交换加密资产，其订单在以太坊区块链上通过算法执行。

链上交易将涉及的资产范围限制为使用以太坊运行的资产（本币货币和各种ERC代币）。但这将使经验丰富的用户可以做一些有趣的技巧，我们很快就会看到。

为了使DeFi信贷市场正常运行，贷方必须知道抵押品的价值，因此他们需要定价信息。这是通常从加密货币交易所收集的数据。就bZx而言，来源是DEX Kyber。

问题在于，加密交易所的价格信息无处不在。

举例来说，流动性最高的数字资产比特币按24小时交易量排名前五位的交易所之间的现货价格差异：

24小时交易量水平排名前五的交易所之间的比特币价格样本。 （图片来自梅萨里）

加密价格数据公司Chainlink的首席执行官谢尔盖·纳扎罗夫（Sergey Nazarov）说，现货价格通常彼此之间有很大差异，因为没有一个场所拥有加密交易配对产品。与传统市场不同，在传统市场中，苹果股票仅在纳斯达克交易，采用加密货币，大多数具有技术知识的人都可以在笔记本电脑上进行交易所交易-实际上，这就是第一次交易所的开始。纳扎罗夫说，在这样一个分散的市场上汇总价格是一项艰巨的任务。

与其他金融市场一样，价格的巨大差异也为交易者创造了赚钱的机会。输入紧急贷款。

太多的信息？有关更简单的说明，请收听我们的《市场日报》播客。

短期贷款

闪速贷款是DeFi和以太坊（这是最常与“可编程货币”概念相关的区块链）之上的进一步创新。该产品首先由DeFi协议Aave于今年1月发布，然后由bZx于2月10日发布。

简而言之，快速贷款使交易者可以提取无抵押贷款以增加单一交易的支出。回到当铺类比，您可以借现金而无需交出吉他。

为什么任何贷方都同意这一点，尤其是在参与者不公开的市场中？因为顾名思义，快速贷款在收回贷款的同一笔交易中迅速还清。

谁会借钱只是立即还钱？聪明的套利者就是那个。

如我们所见，不同的加密市场对于给定的数字资产有不同的价格。用户可以通过借钱快速获利。在一个市场上低买入；在另一个市场上卖高；偿还贷款；并赚取利润。同样，这都是在同一链上交易中完成的，因为市场是经常在以太坊上运行的DEX。套利者只需将所有步骤编码到同一计算机程序中，即智能合约。

首先，至少对于借款人而言，快速贷款几乎是无风险的。由于以太坊网络以原子方式结算交易，这意味着一本书上的所有交易都执行或不执行，因此无法用交易偿还贷款的交易者不会损失任何损失。

为什么？因为交易永远不会发生。

正如Aave所写，从贷款到交易的所有交易都一次在网络上进行。如果网络发现无法立即偿还速汇贷款，它将拒绝与之相关的每笔交易，实际上取消了整个交易。没有伤害，没有犯规。

但是，如果通过，则所有操作都将同时执行，从而成功进行交易。贷方收取少量费用，交易员则较富有。每个人都赢。

如果只是那么简单。

攻击

正如bZx周末的困境所显示的那样，如果将快速借贷与错误的代码，简陋的价格信息或两者结合使用，可能会很危险。

一个或多个攻击者不仅利用低价买入和高价出售，还利用借入的资金操纵了异常脆弱的市场。在这两次攻击中，bZx都处于劣势。

例如，在第一次攻击中，通过复杂的交易网络，攻击者在称为Uniswap的DEX上拉盘送WBTC，然后将WBTC（“包裹的比特币”，由实际比特币支持的以太坊令牌）倾倒掉。在以太币中获利；偿还了紧急贷款-并在与WBTC抽奖有关的另一笔贷款上增加了bzX的金额。

区块链安全公司PeckShield的一项分析显示：“引擎盖下的魔力是Uniswap WBTC / ETH如何操纵高达61.4的利润。” “当正常市场价格仅为38左右时，WBTC / ETH的价格甚至被抽至109.8。换句话说，有意触发的巨大价格滑坡被剥削。”

PeckShield首席执行官姜旭贤告诉CoinDesk，在这次攻击中，错误地设置价格饲料当然无济于事，但责任归咎于代码。徐县说，由于价格上涨，安全线本应被绊倒，但未能成功。

bZx联合创始人Kyle Kistner告诉CoinDesk，第二次攻击归因于不良价格数据，特别是来自DeFi网络Kyber的价格数据。这次，攻击者的重点是Synthetix USD（SUSD），即Synthetix网络上与美元挂钩的稳定币。

攻击者在bZx上借入了7,500个以太币，然后通过将以太币交换为SUSD来将SUSD的价值注入Kyber。 PeckShield写道，购买如此多的SUSD导致价格上涨了2.5倍，当时的市场汇率为1美元。

然后，攻击者利用bZx对Kyber的依赖来获取价格数据，将SUSD作为bZx上大量以太币的抵押；实际上，在公开市场上购买的以太币比通常数量的同等数量的SUSD多。

在偿还了快速贷款后，攻击者便没有偿还刚在bZx上抵押的SUSD / ETH抵押贷款，从而获得了可观的2,378 ETH利润和bZx持有按钮。

DeFi的教训

Chainlink的Nazarov表示，对于bZx和DeFi这样的小型交易所而言，快速贷款之类的创新金融功能与系统地依赖不良定价数据的组合，使交易所面临新的攻击。

“不使用 [a] 纳扎罗夫说，“如果交易稀少，人们就会看，然后他们会说，‘好的，这就是我针对这个市场或那个数据构建产品的方式。”

实际上，白帽黑客Samczsun在对bZx的特定攻击发生之前数月就已在详细的博客文章中对其进行了描述。正如Samczun当时所写的那样，假设涉及bZx，以太坊令牌DAI和另一个去中心化交易所DDEX的漏洞：

“通过依赖链上分散的价格预言而不验证返回的价格，DDEX和bZx容易受到原子价格操纵的影响。这将导致DDEX的ETH / DAI市场中的流动性ETH损失，以及bZx中所有流动性资金的损失。”

纳扎罗夫说，这个问题并非特定于bZx，而是DeFi内部的许多交易所，它们依赖于一些链上定价API。他补充说，他的公司现在正在与bZx合作解决该问题。

奇斯特纳（Kistner）承认，bZx团队认为在Samczsun披露之后，甲骨文的问题已被解决，甚至对该代码进行了独立审核。正如星期二的袭击所表明的那样，问题尚未解决。

奇斯特纳说：“与安全专家进行协商很糟糕，但是当您遵循他们的建议时却被当成笑柄。”

正如Nazarov所指出的那样，您可以让世界上所有的审核员都为您的代码开绿灯，但是如果它基于链上定价之类的不良数据，那么失败是不可避免的。

“这里的技术风险不仅涉及合同法规。该代码非常棒，可以根据需要进行审核。但是发生的事情是您正在创建新功能，该功能创建了需要保护的新表面区域。” Nazarov说。

纳扎罗夫说，这次袭击虽然不幸，但却是DeFi的一个教训。他说，定价数据是“一个众所周知的体系结构问题”，需要解决。 “如果您要构建一个将持有客户资金的应用程序，那么它是自动化的事实就很好了，但这并不意味着您从安全角度出发就已经完成工作，因为合同是以太坊进行的。”

在bZx，团队将注意力转向保护网络。 Kistner说，很快将使用Chainlink oracles重新进行交易，尽管不会有新用户加入。 Kistner表示，对于未来，bZx将考虑复制最大的DeFi提供商MakerDAO的基础架构。

他说：“当我们完成内部流程的改进后，我们希望为安全性和透明度设定一个标准。”

—-

原文链接：https://www.coindesk.com/everything-you-ever-wanted-to-know-about-the-defi-flash-loan-attack

原文作者：William Foxley

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。