Compound被攻擊1億美元遭清算,又是預言機的鍋!

2021-01-19 區塊鏈小白研究

11月26號 多個DeFi抵押借貸類平臺發生大規模清算,其中最大的清算來自於Compound 。

根據loanscan的數據統計顯示11月26號當天一共有1.1億美元發生了清算其中Compound 協議一共清算了1億美元,其中最大的一筆清算價值4700萬美元,詳情可查詢鏈上信息:https://etherscan.io/tx/0x53e09adb77d1e3ea593c933a85bd4472371e03da12e3fec853b5bc7fac50f3e4

loanscan數據源:https://loanscan.io/supplied-liquidity?interval=7d

最大清算鏈上信息截圖

關於為什麼突然發生大規模清算,Compound創始人Leshner發文進行了回復。由於Coinbase Pro上的DAI價格從穩定幣的1美元附近迅速攀升到1.34美元,而Coinbase Pro作為Compound的價格預言機它的價格波動導致了相關DAI的借貸抵押資產價值不足,觸發了清算。

Leshner 的官網回復

Coinbase Pro的DAI—USDT數據

雖然Leshner表示並不能確實此次Coinbase Pro的DAI價格波動是否是攻擊行為,但是StakeCapital創始人Julien Bouteloup以及專業的套利交易員Sam Priestley都對此事件做了分析,他們認為是有人進行了預言機操縱攻擊,通過DAI的預言機的價格快速波動套利了355萬美元。

根據他們的猜測以及鏈上可追溯的數據,筆者推測大致的攻擊操作如下:

1, 攻擊者通過Uniswap的WETH-DAI的閃電貸 借出了4600萬個DAI;

2,在Compound 中Supply 借款的 DAI,操縱Coinbase Pro的預言機價格(手段未知),觸發清算。

3,由於DAI的價格飆升導致借方抵押物不足觸發了清算,攻擊者選擇了抵押資產中的DAI作為了清算物品。獲取了24億的cDAI。

4,將獲取的cDAI中的換了4630萬的DAI,用來償還Uniswap中的閃電貸。

5,攻擊者套利了1.7億個cDAI大致價值355萬美元。

這裡詳細解讀一下為什麼預言機操縱穩定幣價格就會發生大規模的清算那?

用戶在DAI的價格是1美元的時候在Compound上借了1萬美元的DAI,根據Compound的借貸協議抵押物的價值要求大於借貸物價值,假如抵押了1.05萬美元的抵押物。由於價格預言機中的價格飆升到1.3美元,所以借貸物的價值變成了1.3萬美元,而抵押物價值小於了借貸物品則觸發了清算,清算者可以選擇用戶的抵押物進行清算。

其實這不是第一次發生預言機操縱攻擊被清算,MakerDAO和Aave都因此發生過大規模清算,bZX遭遇攻擊損失百萬美元,Harvest Finance遭黑客閃電貸與預言機操縱損失超過2400萬美元。既然預言機操縱現在是一個不可忽略的問題,那麼為什麼DeFi項目中為什麼需要預言機?什麼是預言機?下面我們進行簡短的科普。

預言機(Oracle):是一個將數據從區塊鏈外傳輸到區塊鏈內的機制。由於區塊鏈是一個確定性的封閉的系統,運行在區塊鏈上的智能合約是無法直接從鏈外獲取數據的,只能在一個封閉孤立的環境中運行。但是從應用角度出發某些功能是需要外部的信息參與的,例如DeFi中的借貸應用,他們需要外部的Token的價格參與價值計算,抵押清算等行為,所以基於鏈上獲取鏈下信息的需求產生了預言機。而DeFi中最需要的就是價格預言機。

預言機示意圖

DeFi協議需要一個能夠提供「高度確定性市場信息源」的價格預言機,來為該協議提供市場價格信息、波動率等核心數據,才能實現系統的閉環,高效實用的解決鏈上金融問題。由於信息是由線下傳到線上,那麼信息源頭的安全性和及時性就成為了必要的重點,這也是為什麼預言機的攻擊往往導致DeFi協議的資產損失。關於預言機的類型、如何實現去去中心化、預言機的應用場景、明星項目等話題我們後續文章進行詳細解讀。

關於Compound此次的攻擊清算,創始人Leshner對於事情也做了回復以及以後的一些預防措施。幾項提案討論如下:

1.修改DAI市場參數(包括借款上限)以減小DAI市場相對於交易場所的規模;

2.通過收緊錨定範圍,將價格上限(例如上限為1.05)或利用其他報告者來修改DAI價格;

3.在某些情況下或全部情況下刪除報告程序,僅依靠Uniswap,或採取完全不同的方法。

4.受影響的地址一直在要求賠償清算費用,如分配協議治理代幣COMP,該訴求需要考慮是否合理。

面對極端行情、閃電貸、預言機攻擊的綜合事件,責任是不好去定性和進行批判,需要社區內負責人找源頭,查問題,最後定責然後有修補措施或者有補償的提案。這也是所有加密貨幣社區應該做到的治理方案的完善方法。發現問題,修補漏洞,杜絕問題再次發生。

後續筆者會針對於預言機、閃電貸、預言機操縱攻擊、預言機去中心化等話題進行系列文章的撰寫。

歡迎大家留言交流、關注本號。不同角度分析揭開區塊鏈世界的迷霧。

相關焦點

  • Compound突現9000萬美元巨額清算 預言機安全應受重視
    11 月 26 日又是不平凡的一天,高歌猛進多日之後,加密貨幣市場今日突遭大幅回撤,各大交易所的報價頁面內猩紅一片,BTC、ETH、XRP 等主流幣種均出現了兩位數以上的百分比跌幅,24 小時合約爆倉高達 13.73 億美元。然而,故事並未就此結束。屋漏偏逢連夜雨韭菜們上一把淚還沒擦乾,新的噩耗再次傳來。
  • Compound挖礦巨鯨被清算4600萬美元 DeFi預言機操縱攻擊不講武德
    北京時間11月26日下午,由於Coinbase Pro平臺上的穩定幣DAI價格一度被拉升至1.3美元,這導致使用該平臺預言機餵價信息的DeFi協議Compound出現了大規模清算,據數據服務商Debank的數據顯示,這次Compound協議清算的抵押品價值接近了9000萬美元。
  • Compound上1.1億美元資產被清算,有人卻輕鬆獲利370萬
    在最近的一系列攻擊中,黑客最終向受害者返還了數百萬被盜美元,或者在他們攻擊的時候直接少盜走一些,而原本他們可以拿走更多的錢。在最近的黑客流行病中,黑客已經使用了各種方法來竊取資金,但是在整個過程中都有一個角色扮演著作用...
  • 解讀| Compound 遭受價格預言機操縱攻擊事件始末
    美元(圖1),後又快速回落,這導致使用 Coinbase 作為預言機餵價信息的去中心化借貸平臺 Compound 的抵押資產出現了大規模清算。Debank 數據顯示,截止 2020 年 11 月 30 日 11 點,平臺總鎖倉的加密資產高達 16 億美元。借款總量 16.26 億美元,在抵押借貸平臺中排名第一(圖3)。抵押借貸平臺借款總量排名
  • 解讀|Compound 遭受價格預言機操縱攻擊事件始末
    美元(圖1),後又快速回落,這導致使用 Coinbase 作為預言機餵價信息的去中心化借貸平臺 Compound 的抵押資產出現了大規模清算。 Debank 數據顯示,截止 2020 年 11 月 30 日 11 點,平臺總鎖倉的加密資產高達 16 億美元。借款總量 16.26 億美元,在抵押借貸平臺中排名第一(圖3)。 抵押借貸平臺借款總量排名
  • Compound清算的分析和建議;最成功的DeFi項目YFI有哪些秘訣?
    用戶資金中約9000萬美元的虛假清算是一個嚴重的問題,直接是由Compound的中心化預言機解決方案造成的,該解決方案僅從Uniswap TWAP作為支持者,從單個交易所Coinbase提取市場數據。 Compound的價格供給提供的數據僅反映了整個加密交易市場的一小部分,並且根本無法為其獲得的價值提供足夠的市場覆蓋率。
  • 預言機是什麼?讀懂百倍幣chainlink
    為什麼需要預言機(Oracle)? Defi世界存在大量的借貸平臺,例如Compound、AAVE等等,這些平臺質押了數十億美元的加密資產,一旦這些資產價格下跌,抵押物可能遭遇清算。
  • Compound、MakerDao、AmpleForth 和 Synthetix 的預言機設計比較...
    截至 2020 年 3 月,DeFi Pulse 報告稱,四種公開借貸協議(Fulcrum[5],dYdX[6],MakerDAO 和 Compound)的未償還貸款超過 2 億美元[7]。另一個致力於價格穩定的項目案例是 AmpleForth[8],這是第一個具有彈性供應量的 DeFi 協議。
  • 從Compound清算賠償投票看DeFi治理
    現在,Compound正面臨著其首次重大治理測試,持幣者需要關於「遭受清算的Compound存款人是否應得到賠償」而進行投票。(註:此前由於Coinbase Pro平臺的DAI價格出現暴漲,而Compound使用了Coinbase價格預言機,因此導致部分貸款人抵押不足而遭到清算)。
  • 預言機為何成為當前DeFi高危點?
    而且閃電貸攻擊系列事件給外界塑造了一種愈演愈烈的惡性示範,從一系列事件上來看,基於可重入性的漏洞利用在過去幾年中有所下降,而基於預言機價格操縱的漏洞利用率現在正在上升,預言機成了一個高危地帶。為什麼預言機是DeFi中的重要角色?
  • 精析DeFi協議Warp Finance「預言機」攻擊事件
    北京時間12月18日6時許,DeFi借貸協議Warp Finance遭到黑客攻擊,造成了近800萬美元的資產損失。 成都鏈安團隊在接到區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)報警後,第一時間對本次攻擊事件進行了調查,結果發現: 1、Warp Finance使用的是Uniswap交易對的相對價格作為其預言機的餵價源。
  • 3月12的天鵝湖與Compound的7000萬U,清算方案有多重要?
    在經歷了大規模的業務爆發之後,DeFi迎來了大規模的風險爆發期,接連出現的協議被攻擊事件已經成為了常態,讓我們看到了去中心化世界的另一面——殘酷的博弈。攻擊者已經找到了趁手的兵器,比如操縱預言機價格、閃電貸、內存池插隊。
  • 金色觀察|DeFi平臺也能遭51%攻擊?近日發生一起
    在黑客戲劇性地還回Lendf.ME全部被盜資金的同一天(4月21日),另外一個DeFi平臺遭到了51%攻擊。據PegNet核心開發者「 WhoSoup」在github透露,基於Factom的穩定幣網絡PegNet遭到了51%攻擊,四個礦工控制了PegNet網絡70%的算力,從而操縱錨定日元的穩定幣pJPY的價格。通過提交虛假數據,他們將11美元成功兌換成670萬美元。
  • Defi世界中 到底什麼叫做預言機
    而總鎖定價值(TVL)從2020年初的6.75億美元快速增長到今年第三季度的70億美元這一數據也表明了區塊鏈預言機對DeFi的深刻影響。與比特幣相比,這種影響還可以從預言機的主要去中心化供應商Chainlink(及其LINK代幣)和Band協議(及其BAND代幣)從年初至今治理代幣投資的指數型回報中看出。
  • 閃電貸與預言機防篡改性的重要意義
    不過在這裡我們需要闡明一點,閃電貸只是為攻擊提供資金,真正的問題還是中心化的價格預言機無法充分覆蓋各個價格市場。雖然閃電貸攻擊的方法和範圍不盡相同,但它們所攻擊的協議都有一個共同點,那就是只從某一個去中心化交易所獲取價格數據。比如閃電貸攻擊的受害者是某個DeFi借貸協議,該協議從某一個去中心化交易所獲取餵價數據。
  • 瑞信集團勝訴 追回瑞幸3億債務 陸正耀旗下兩實體遭清算
    原標題:瑞信勝訴將追回瑞幸3億債務 陸正耀旗下兩實體遭清算根據開曼群島法院的文件,瑞信集團牽頭的銀行贏得一項法院命令,解散瑞幸咖啡董事長陸正耀家族控制的實體,以追回3.241億美元的未償債務。法官Raj Parker將下達命令,清算Primus Investments Fund和Mayer Investments Fund。
  • ChainLink、預言機與兩個世界的連接
    中心化預言機並不契合區塊鏈為了滿足區塊鏈智能合約對鏈外數據的需求,有的智能合約採用了或採用過中心化的預言機。中心化的預言機存在什麼問題?它中心化的控制方式,容易出現單點失敗的故障,一旦出現停機,會帶來損失。此外,不管是主觀操作,還是客觀被黑客攻擊,都存在被篡改的可能。即使通過公證、品牌、質押資金等也無法徹底解決潛在安全問題。
  • VDEX的預言機(Oracles)是什麼?連結鏈上鏈下
    以太坊上的BTC代幣,例如wBTC、renBTC、tBTC仍然面臨重大的結算風險,主要因為以下缺點:中心化:部分跨鏈BTC代幣是由中心化組織發行的,例如wBTC和HBTC是由發行機構發行,因此一旦該中心機構破產或遭審查,就會造成這些代幣無法兌換的窘境。
  • DeFi護航員:怎樣才算是一個好的預言機?
    這是通過將加密資產與傳統資產結合來實現的,特別是那些與錨定美元相關的。MakerDao是最為人熟知的例子,它使用混合系統來維持平均1DAI=$1的比率,並要求通過鎖定不穩定資產來挖DAI(價值$1的代幣)。
  • COMPOUND這種理財到底是什麼?
    本文主要包括以下幾個方面對Compound協議進行總結:Compound專業術語、Compound主要內容、Compound核心邏輯、預言機、系統治理、清算邏輯、團隊盈利等幾個方面內容,主要來自官方白皮書、FAQ、Discord內的Resource等官方公告或支持的信息。2.