閃電貸與預言機防篡改性的重要意義

2020-12-05 金色財經區塊鏈

閃電貸與流動性挖礦一樣,都是創新的流動性機制,這兩個概念是近期DeFi生態的熱門話題,引來了廣泛關注。閃電貸用戶可以向鏈上流動性池進行無抵押貸款,條件是在同一筆交易內向流動性池返還借入的資金再加上一小筆交易費。這個創新模式極大豐富了資金的應用場景,將資金面向所有用戶開放,並同時保障流動性池的償付能力。

閃電貸可以讓任何人在單筆交易的時間期限內充分募集到資金,盤活了價值幾億美元的流動性。這為套利交易、抵押品互換和槓桿交易打開了大門,但同時也產生了一定風險,特別由於是DeFi生態仍在發展初期,因此各個DeFi協議的去中心化程度和安全性都有所不同。智能合約開發者應該充分了解這些風險,這樣才能為用戶開發出更加穩健的應用。

閃電貸以及價格預言機攻擊

正如上篇關於DeFi智能合約數據安全的文章所述,協議如果從單一數據源獲取價格數據,就容易受到惡意攻擊,攻擊者可以利用大筆資金交易操縱市場。由於閃電貸可以在任何時間為世界上任何一個角落的人即時提供大筆資金,因此越來越多人利用閃電貸的資金對DeFi協議發起攻擊。不過在這裡我們需要闡明一點,閃電貸只是為攻擊提供資金,真正的問題還是中心化的價格預言機無法充分覆蓋各個價格市場。

雖然閃電貸攻擊的方法和範圍不盡相同,但它們所攻擊的協議都有一個共同點,那就是只從某一個去中心化交易所獲取價格數據。比如閃電貸攻擊的受害者是某個DeFi借貸協議,該協議從某一個去中心化交易所獲取餵價數據。操作步驟如下:

從一個支持閃電貸的協議中借入大量通證A。在某個去中心化交易所上將通證A換成通證B。將兌換的通證B放在另一個DeFi協議中作抵押,而上一步操作中的去中心化交易所是這個DeFi協議唯一的價格數據源;由於價格數據被操縱,因此可以借到高於正常量的通證A。用其中一部分通證A還之前閃電貸的貸款,然後剩餘的通證放進自己的口袋,以此不當獲利。隨著去中心化交易所中通證A和通證B的價格通過套利交易逐漸回到真實水平,DeFi協議會出現債務價值超過抵押品價值的情況,這將直接損害其他正常用戶的利益。

閃電貸攻擊中通過操縱價格預言機發起攻擊的具體步驟

由於攻擊者能夠發起閃電貸並操縱鏈上交易所,而交易所又是某個DeFi協議唯一的價格預言機,因此他們有能力人為提升抵押通證的價格,並降低債務通證的價格。這樣一來,攻擊者就可以借入高於正常量的通證,而由於抵押品價值變得低於債務價值,因此導致無法完全清算。這種攻擊雖然是在單筆交易中發生的,但是發起交易的次數越多,攻擊次數也就越多,最終造會成嚴重損失。

僅從一家鏈上交易所獲取價格數據會導致市場覆蓋嚴重不足,因為價格只反映了一家交易所的交易活動。如果交易量突然轉移到其他交易所,或某一巨鯨暫時操縱了交易所的交易活動,協議將很容易獲取錯誤的餵價。對於流動性較低的加密貨幣資產來說這個問題尤為嚴重,而這類資產被越來越多地用在DeFi協議中作為抵押品。

所幸,這種類型的攻擊是完全可以避免的,方法就是使用去中心化的預言機,充分保障市場覆蓋。

Chainlink去中心化預言機如何避免對餵價發起攻擊

Chainlink餵價基於去中心化的預言機節點網絡,充分保障市場覆蓋。網絡從多個獨立的數據提供商獲取並聚合價格數據,其中包括CoinGecko、Amberdata以及BraveNewCoin等專業的數據聚合商。這些數據聚合商會追蹤所有交易環境,並運用成熟的算法綜合考慮各個交易所的交易量、流動性和時間差等各種因素。

閃電貸攻擊必須在單筆交易中完成,而且只能操縱鏈上去中心化交易所,因此對Chainlink餵價完全無效,因為餵價是以異步的方式通過多次交易更新的。另外,Chainlink還會從鏈上去中心化交易所和傳統的中心化交易所同時獲取並聚合數據,因此可以防止攻擊者通過操縱某一交易所的交易來影響餵價。

我們強烈建議智能合約開發者避免使用容易被操縱的DEX價格數據,而是接入Chainlink餵價為其智能合約輸入市場價格數據,以防止在未來遭遇閃電貸攻擊。這可以保障DeFi協議收到的聚合價格一直能準確反映市場交易行為,並且可以抵禦閃電貸攻擊以及所有類型的價格預言機攻擊風險。

閃電貸攻擊對Chainlink餵價無效

總結

閃電貸是一種創新的DeFi金融產品,極大豐富了DeFi應用場景,並降低了市場準入門檻。雖然近期有人利用閃電貸的資金對DeFi協議發起了攻擊,但閃電貸本身只是一種金融工具,其價值不應被忽視。閃電貸本身不產生風險漏洞,而是暴露了已經存在的風險漏洞,其中最常見的漏洞就是價格預言機只接入一個鏈上交易所。

Chainlink生態及其去中心化預言機網絡能夠大幅提升DeFi協議的防篡改性,特別是提升其獲取實時市場數據的關鍵能力。DeFi協議只有將安全性放在首位,才能應對新的風險,維持用戶對其的信任,並逐步將鎖倉量從十億級增長至萬億級。

如果你是一名開發者,並希望快速將智能合約連接至Chainlink價格參考數據,請查看我們的開發者文檔並加入我們在Discord上的技術討論群。如果你希望透過電話具體討論集成細節,請點擊此處聯繫我們。

本文來源: 金色財經 / 作者:Chainlink

相關焦點

  • 解讀| Compound 遭受價格預言機操縱攻擊事件始末
    舉個例子來計算,如果某用戶使用 300 UDST 貸出了 210 DAI,若 DAI 和 USDT 的價格均能穩定在 1 美元左右,其抵押率是 70%,當 DAI 漲至 1.34 美元,借款價值大增而抵押資產價值不變,此時的抵押率將升至約 93.8%,遠大於抵押率最低要求,導致清算發生。
  • 金色硬核 | 一文讀懂DeFi上的閃電貸(附如何利用閃電貸套利)
    這個「攻擊」利用了DeFi上最新的閃電貸(flashloans)功能。正如bZx所說,這種「攻擊」是所見過的最複雜的攻擊之一,只有對每種DeFi協議及其各種工具有非常深入的了解才有可能,傳統金融體系中沒有類似的東西。什麼是閃電貸(flashloans)?怎麼利用閃電貸(flashloans)來套利?
  • 金色百科丨閃電貸是什麼?
    在這次套利中,「攻擊者」利用了DeFi上最新的閃電貸(flashloans)功能。那麼,閃電貸究竟是什麼?閃電貸(flash loans)是 DeFi 生態的一個新名詞。我們知道 DeFi 有很多優勢,但同時也存在結構性缺陷,DeFi 需要超額質押,這意味著資金利用率十分低下。而「閃電貸」允許借款人無需抵押資產即可實現借貸,從而極大提高資金利用率。
  • DAC多元量子智能合約預言機 虛擬及現實世界的橋梁
    其中,智能合約起到了重要的作用。它是一套數字形式定義的合約,幫助合約參與方執行完成任務的協議,節省了時間和繁瑣的步驟。然而智能合約存在外部數據的交互需求,這就使得區塊鏈無法獲取現實世界的數據!預言機至此進入了人們的視野。 預言機也就是人們常說的「oracle」其實就是一種單向的數字代理,可以查找和驗證真實世界的數據,並以加密的方式將信息提交給智能合約。
  • PPmoney及貸、平安i貸、招行閃電貸…
    接下來,小編就為大家介紹一下PPmoney及貸、平安i貸、招行閃電貸等幾個口碑較好的小額貸款平臺。  招行閃電貸  招行閃電貸,是招商銀行推出的一款移動網際網路貸款產品,用戶可通過招行的手機銀行APP或網銀自助辦理,貸款申請、審批、籤約和放款等流程都是系統自動化處理,非常方便。相對於其它小額貸款產品,招行閃電貸的貸款額度較高,不過其貸款利率相對較高,年利率一般在15%以上,並不是很優惠,而且它是白名單邀請制,就算你是招行客戶也不一定有申請資格。
  • Chainlink中國負責人:預言機的未來絕不僅限於DeFi
    預言機存在的意義其實是滿足了區塊鏈智能合約對鏈下數據的需求,這些海量的數據通過預言機傳輸到區塊鏈網絡上,很大程度上豐富了鏈上生態和應用操作。當然,除了將鏈下的數據傳輸到鏈上,預言機也可以將區塊鏈網絡上的數據反饋到現實世界。目前預言機分為中心化和去中心化。
  • 為什麼DeFi「閃電貸」攻擊者不斷歸還部分利潤?
    為了理解這種行為背後的原因,我們需要先知道閃電貸究竟是怎麼回事。什麼是閃電貸?在閃電貸的案例中,攻擊者從 DeFi 協議中接收貸款,花費貸款資金,並在同一智能合約交易中全部歸還貸款。由於貸款的全部過程發生在同一筆智能合約交易中,因此不需要抵押品。
  • 圖解DeFi 閃電貸攻防:以 bZx 事件為例
    小編:記得關注哦來源:慢霧科技原文標題:圖解 DeFi 閃電貸攻防:以 bZx 事件為例慢霧科技高級安全工程師 yudan 和 Kong 認為,DeFi 安全形勢嚴峻,安全審計是目前保護項目安全最高性價比的方式。
  • NEST 預言機.術語庫
    ➤ 報價礦工參與 NEST 預言機報價挖礦的群體。➤ 報價挖礦NEST 預言機礦工可以通過報價來獲取 QP Token 報價憑證,該過程稱之為報價挖礦。舉例說明:USDT/ETH 價格預言機的報價憑證為 NEST Token;YFI/ETH 價格預言機的報價憑證為 nYFI;HBTC/ETH 價格預言機的報價憑證為 nHBTC;➤ 取回資產報價礦工將雙邊資產打進報價合約,在經過 25 個區塊的驗證周期之後,報價者就可以取回報價資產以及
  • 招商銀行青島分行:閃電貸「快閃」活動重磅來襲
    萬眾矚目的2018足球盛典即將盛大開幕,招商銀行閃電貸主題「快閃」活動重磅來襲。而招行閃電貸,徹底打破了這種模式。招行閃電貸最快60秒就可得知審批結果。而且!申請無需準備任何紙質資料,只需下載招商銀行App或關注招商銀行個人貸款微信公眾號,就可以在線申請。(申請路徑:招商銀行App-借錢-閃電貸)申請只需要個人徵信良好、繳存社保及公積金、正常繳納個人所得稅,或是名下有房產(含按揭房)即可。
  • 去中心化預言機項目Chainlink的工作原理解析
    如果用最短的一句話解釋什麼是Chainlink,可以說Chainlink一個去中心化的預言機項目,所以為了理解Chainlink的工作原理,我們首先要明白什麼是預言機。 預言機 預言機的英文為Oracle,和著名的資料庫服務提供商Oracle(甲骨文)重名,但是兩者除了名字相同以為並沒有任何關係。
  • DeFi 挖礦:Balancer遭閃電貸攻擊與金融模型漏洞
    Balancer: 閃電貸+恆定積損失50萬美金2020年6月29日,Balancer遭受閃電貸攻擊,Balancer是使用恆定積進行的AMM市場,池子中的Assets在遵守恆定積的前提下可按池子當時的利率進行交換,本次閃電貸攻擊利用了該原理,將一種Asset掏空後,用另一種Assets以很低的價格獲取,由此獲利接近50萬美金。
  • 招行閃電貸 三步操作60秒到帳
    在同業的眼光還聚焦在餘額寶這樣的負債產品上之時,招商銀行已經率先在資產端發力,推出國內首款移動網際網路的貸款產品——閃電貸。  「之所以叫閃電貸,是客戶不需要提交任何資料,只要符合申請資格就可以在招行手機銀行客戶端直接操作,60秒資金就可以到帳。」招商銀行零售信貸部副總經理趙曉君對記者稱。
  • 萬向區塊鏈行業研究:詳解去中心化預言機的設計
    為了達成Y結果的準確無誤,X變量的來源非常重要。X變量的數據來源有兩種,鏈上數據及鏈外數據。鏈上可信數據可以直接通過區塊鏈獲取,而鏈外可信數據則需要通過預言機提供。本文主要介紹各種預言機提供可信數據的方式,以及其中的經濟激勵設計。
  • 解讀|NEST 預言機報價原理及QP Token經濟模型
    所以,NEST 是最符合區塊鏈共識機制的預言機方案,其每一個生效的區塊價格數據都是經過全市場共識過的。是先驗證,再生效!這也是 NEST 預言機與其他預言機的本質區別。 4)NEST預言機旨在為鏈上世界的各種智能合約提供所需的區塊價格數據,比如 ETH/USDT 的區塊價格、平均價格、波動率數據等。
  • 借唄、網商貸、微粒貸借錢有何妙招!
    所以,我心目中理想的借款方式必須符合以下特徵:一是閃電放款,立馬到帳;二是隨借隨還,按日計息,借多少天就收多少天的利息。因為是應急或者資金周轉,利息成本不是首先考慮的,只要能隨借隨還,利息稍微高一點也無妨,更何況周轉時間不長,利息本身的絕對值還是能夠接受的。按照這個標準,有幾款產品深得我意,安利一下。螞蟻借唄和網商貸。
  • 聯盟分析-政策法規 | DeFi閃電貸遭攻擊背後——DeFi智能合約安全...
    憑藉區塊鏈不易篡改的技術特點,部署於區塊鏈的智能合約所儲存和運行的方式也是不易修改的。但是這一優點也帶來了一些弊端:一方面,自動執行增加了相較於傳統合同雙方當事人更高的違約成本;另一方面,一旦存在安全漏洞,智能合約的漏洞修補將會非常困難。即使有管轄權的司法機關作出有效的裁決或判決,由於部署在區塊鏈的智能合約由區塊鏈自動運行,法院或其他第三方也無法強制修改。