一个“聪明的”交易者通过去中心化金融领域的各种协议,净赚了35万美元的巨额收益。
一套聪明的指令——所有指令都在一笔大额交易中执行——使某些人能够利用DeFi生态系统当前的弱点来获利。通过使用一些去中心化的金融工具和少量的价格操纵,他们能够获得大量的以太坊。
DeFi投资公司StakeCapital的创始人JulienBouteloup说明了这个多层次的交易是多么复杂。他大致描述了所发生的事情。
Mango攻击者在Aave借入价值2000万美元的Curve代币后被清算:金色财经报道,Mango攻击者Avraham Eisenberg使用去中心化借贷平台Aave借入了4000万个Curve(CRV)代币(当时价值2000万美元),然后将它们转移到OKEx加密货币交易所。据区块链分析公司Akrham称,Eisenberg以4000万美元的USDC稳定币作为抵押品,在Aave上借入了大部分CRV代币。根据区块链数据,他随后在两笔交易中将4000万个CRV发送到加密货币交易所OKEx。
根据Blockanalitica的区块链数据,Eisenberg所有的CRV贷款都被清算,并在Aave留下了160万美元的坏账。Eisenberg因在10月份利用漏洞从基于Solana的DeFi协议MangoMarkets流失1.14亿美元而在加密圈声名狼藉。随后,他向Mango退还了6700万美元,并为自己的尝试进行了辩护。[2022/11/23 7:58:27]
他指出,1万以太坊的闪电贷可能是问题所在。其中一半资金进入了借贷平台Compound,用于wrappedBTC(以太坊上的比特币)。剩下的是做空的抵押品——认为价格会下跌——即wBTC在保证金交易平台Fulcrum上的交易。该账户随后将wBTC出售给了去中心化交易所Uniswap。价格下跌了,于是黑客套现获利,偿还了最初的贷款。
分析:Warp Finance攻击者通过闪电贷铸造LP代币清算其USDC和DAI金库:针对DeFi协议Warp Finance遭遇闪电贷攻击事件,白帽黑客、Marqet交易所联合创始人Emiliano Bonassi表示:“这是第二次利用多重闪电流动性的攻击,通过Uniswap进行闪电互换,通过dYdX进行闪电贷款。”他补充说,攻击者通过闪电交换向Uniswap上的三个不同池提供三笔打包ETH贷款,并向dYdX交易平台提供另外两笔打包ETH贷款。这些资金随后被用来铸造WETH/DAI流动性池(LP)代币,这些代币被用作Warp Finance的抵押品,以清算其USDC和DAI金库。(Cointelegraph)[2020/12/18 15:38:37]
但是,这个黑客告诉了人们各种DeFi工具如何一起使用,以获得不道德的利润,他或她还强调了这些DeFi工具的中心化程度。
比特黄金官网公告:对典型的用户和基金没有风险 部分交易所已经阻止了攻击者:对于今日的双花攻击消息,比特黄金官网刚刚发布公告称:
“一个拥有大量算力的未知方面正试图使用51%的攻击来执行双花攻击并从交易所窃取资金,我们建议所有的交易所增加确认和仔细审查大额存款。这对典型用户或现有基金没有风险,唯一有风险的是那些目前直接从攻击者那里接受大额付款的一方。交易所是主要的目标。”
公告中称,像交易所这样的一方可以自动接受大额存款,允许用户快速交易不同的代币然后自动退出,这就是为什么他们把目标锁定在交易所。
“更多的确认会大大增加安全性。到目前为止,一些交易所的运作还不到5个确认点。我们一直在敦促更高确认以防止此类攻击,并敦促对BTG的充值进行人工审查,然后为交易结算资金。目前看来,部分交易所采取的行动已经阻止了攻击者。”[2018/5/24]
Fulcrum使用“管理密钥”
昨天,维护Fulcrum协议的bZx发布了最新情况。该公司声称,其平台上的用户无一损失。
“用户损失的资金为零。针对我们协议的攻击昨晚出现了大量的报道。从协议的角度来看,有人只是借了一笔钱。从贷款人的角度来看,这笔贷款和其他贷款一样。”
该平台还表示,攻击者在交易所留下了60万美元的wBTC。他们计划把这些钱分发给交易所的其他用户。
但是,要做到这一点,平台需要使用它的“管理密钥”。
“目前攻击者留下了60万wBTC抵押品。我们将利用这些资金向现有的iETH持有者提供利息和流动性。这将通过我们的管理密钥完成。这对我们来说是一个非常困难的决定,我们不能掉以轻心。”
从本质上讲,这个管理密钥很难嵌入到协议中,其允许bZx在不得已的情况下控制任何智能合约。管理密钥的目的正是为了某些情况,即系统出现了问题,同时其中包含了大量的资金。
但是,管理密钥证明了中心故障点的存在,用户必须信任交易背后的团队,相信他们不会偷走所有人的钱。考虑到DeFi的目标就是消除这种信任,这似乎是一个相当大的弱点。
DeFi协议希望有一个安全保障机制,这并不奇怪。以太坊最大的实验项目——TheDAO——曾经持有14%的以太坊——由于代码错误而失败了。结果,整个以太坊区块链被重写,这样每个人都能拿回他们的钱。但此举破坏了网络,招致了很多批评。
这一次,Fulcrum将使用它的管理密钥来节省时间,但是,此举彻底暴露了其中心化的本质,它产生的问题比答案更多。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。