DEF:閃電貸與預言機防篡改性的重要意義

閃電貸與流動性挖礦一樣，都是創新的流動性機制，這兩個概念是近期DeFi生態的熱門話題，引來了廣泛關注。閃電貸用戶可以向鏈上流動性池進行無抵押貸款，條件是在同一筆交易內向流動性池返還借入的資金再加上一小筆交易費。這個創新模式極大豐富了資金的應用場景，將資金面向所有用戶開放，并同時保障流動性池的償付能力。

閃電貸可以讓任何人在單筆交易的時間期限內充分募集到資金，盤活了價值幾億美元的流動性。這為套利交易、抵押品互換和杠桿交易打開了大門，但同時也產生了一定風險，特別由于是DeFi生態仍在發展初期，因此各個DeFi協議的去中心化程度和安全性都有所不同。智能合約開發者應該充分了解這些風險，這樣才能為用戶開發出更加穩健的應用。

閃電貸以及價格預言機攻擊

摩根大通與印度6家銀行合作，在區塊鏈上結算銀行間美元交易:6月5日消息，摩根大通公司已與6家印度銀行合作，推出基于區塊鏈的平臺，以在該國最新的國際金融中心結算銀行間美元交易。摩根大通負責印度的高級官員兼亞太區副董事長Kaustubh Kulkarni表示，我們將在未來幾個月開展試點項目，因為我們需要分析銀行的經驗。這些銀行包括 HDFC Bank Ltd.、ICICI Bank Ltd.、Axis Bank Ltd.、Yes Bank Ltd. 和 IndusInd Bank Ltd.等私人銀行，此外還有摩根大通在GIFT City的銀行部門。”在獲得國際金融服務中心管理局的批準后，該試點項目將于周一啟動，使用摩根大通的區塊鏈平臺Onyx。

在現有的結算系統下，結算可能需要幾個小時才能完成。此外，交易不會在星期六、星期日或公眾假期結算。實時區塊鏈支持的系統將消除這一障礙，使交易可24小時可用。[2023/6/5 21:16:34]

正如上篇關于DeFi智能合約數據安全的文章所述，協議如果從單一數據源獲取價格數據，就容易受到惡意攻擊，攻擊者可以利用大筆資金交易操縱市場。由于閃電貸可以在任何時間為世界上任何一個角落的人即時提供大筆資金，因此越來越多人利用閃電貸的資金對DeFi協議發起攻擊。不過在這里我們需要闡明一點，閃電貸只是為攻擊提供資金，真正的問題還是中心化的價格預言機無法充分覆蓋各個價格市場。

Aptos Grant DAO第二輪資助在DoraHacks.io正式啟動:1月13日消息，據官方消息，Aptos生態早期項目長期資助計劃Aptos Grant DAO第二輪資助已在開發者激勵平臺DoraHacks.io正式啟動。在2月17日前提交的項目都將進入本輪評選，共同角逐4000 APT BUIDLer固定資助和4000 APT社區二次方投票資助。開發者可以在DoraHacks.io向七個賽道（BUIDL- Defi、穩定幣、NFT/游戲、基礎設施/ 開發者工具、Move原生、社區/DAO、 社交）提交。相比第一輪資助，Aptos Grant DAO新增了穩定幣和社交賽道。

Aptos Grant DAO旨在資助早期 Aptos 初創團隊與開發者的優質項目，以進一步豐富Aptos生態體系。活動申請通道長期對外開放，項目評審和獎勵發放將會定期進行。[2023/1/13 11:10:39]

雖然閃電貸攻擊的方法和范圍不盡相同，但它們所攻擊的協議都有一個共同點，那就是只從某一個去中心化交易所獲取價格數據。比如閃電貸攻擊的受害者是某個DeFi借貸協議，該協議從某一個去中心化交易所獲取喂價數據。操作步驟如下：

V神：ETH在2018年就應該進行類似NXT的基于鏈的PoS:金色財經報道，以太坊開發者Evan Van Ness在社交媒體上稱，Merge應該更早就開始，過去的十天就是我們應該更早合并的證據。

對此，以太坊聯合創始人Vitalik Buterin回復稱，我同意，盡管存在短程重組問題和缺乏異步保證，但我們應該實現類似NXT的基于鏈的PoS，并在2018年完成。[2022/9/26 7:20:33]

從一個支持閃電貸的協議中借入大量通證A。

在某個去中心化交易所上將通證A換成通證B。

將兌換的通證B放在另一個DeFi協議中作抵押，而上一步操作中的去中心化交易所是這個DeFi協議唯一的價格數據源；由于價格數據被操縱，因此可以借到高于正常量的通證A。

Wave Financial計劃收購瑞士投資公司Criptonite:金色財經報道，資產管理公司Wave Financial在周四宣布計劃收購瑞士投資公司Criptonite Asset Management。 據悉，Wave Financial已經獲得了Criptonite的少數股權，這是計劃中全面收購的第一步。該交易須經監管部門批準。交易條款沒有披露，但Wave Financial預計收購將在2022年底前完成。

Wave國際總裁Matteo Dante Perruccio表示：“這次收購是Wave Financial在美國以外地區的第一次收購，但不會是最后一次，因為我們正在積極尋找其他合作伙伴，將我們多樣化的數字資產基金和解決方案帶給世界各地的認可投資者。”（The Block）[2022/9/1 13:02:10]

用其中一部分通證A還之前閃電貸的貸款，然后剩余的通證放進自己的口袋，以此不當獲利。

隨著去中心化交易所中通證A和通證B的價格通過套利交易逐漸回到真實水平，DeFi協議會出現債務價值超過抵押品價值的情況，這將直接損害其他正常用戶的利益。

閃電貸攻擊中通過操縱價格預言機發起攻擊的具體步驟

由于攻擊者能夠發起閃電貸并操縱鏈上交易所，而交易所又是某個DeFi協議唯一的價格預言機，因此他們有能力人為提升抵押通證的價格，并降低債務通證的價格。這樣一來，攻擊者就可以借入高于正常量的通證，而由于抵押品價值變得低于債務價值，因此導致無法完全清算。這種攻擊雖然是在單筆交易中發生的，但是發起交易的次數越多，攻擊次數也就越多，最終造會成嚴重損失。

僅從一家鏈上交易所獲取價格數據會導致市場覆蓋嚴重不足，因為價格只反映了一家交易所的交易活動。如果交易量突然轉移到其他交易所，或某一巨鯨暫時操縱了交易所的交易活動，協議將很容易獲取錯誤的喂價。對于流動性較低的加密貨幣資產來說這個問題尤為嚴重，而這類資產被越來越多地用在DeFi協議中作為抵押品。

所幸，這種類型的攻擊是完全可以避免的，方法就是使用去中心化的預言機，充分保障市場覆蓋。

Chainlink去中心化預言機如何避免對喂價發起攻擊

Chainlink喂價基于去中心化的預言機節點網絡，充分保障市場覆蓋。網絡從多個獨立的數據提供商獲取并聚合價格數據，其中包括CoinGecko、Amberdata以及BraveNewCoin等專業的數據聚合商。這些數據聚合商會追蹤所有交易環境，并運用成熟的算法綜合考慮各個交易所的交易量、流動性和時間差等各種因素。

閃電貸攻擊必須在單筆交易中完成，而且只能操縱鏈上去中心化交易所，因此對Chainlink喂價完全無效，因為喂價是以異步的方式通過多次交易更新的。另外，Chainlink還會從鏈上去中心化交易所和傳統的中心化交易所同時獲取并聚合數據，因此可以防止攻擊者通過操縱某一交易所的交易來影響喂價。

我們強烈建議智能合約開發者避免使用容易被操縱的DEX價格數據，而是接入Chainlink喂價為其智能合約輸入市場價格數據，以防止在未來遭遇閃電貸攻擊。這可以保障DeFi協議收到的聚合價格一直能準確反映市場交易行為，并且可以抵御閃電貸攻擊以及所有類型的價格預言機攻擊風險。

閃電貸攻擊對Chainlink喂價無效

總結

閃電貸是一種創新的DeFi金融產品，極大豐富了DeFi應用場景，并降低了市場準入門檻。雖然近期有人利用閃電貸的資金對DeFi協議發起了攻擊，但閃電貸本身只是一種金融工具，其價值不應被忽視。閃電貸本身不產生風險漏洞，而是暴露了已經存在的風險漏洞，其中最常見的漏洞就是價格預言機只接入一個鏈上交易所。

Chainlink生態及其去中心化預言機網絡能夠大幅提升DeFi協議的防篡改性，特別是提升其獲取實時市場數據的關鍵能力。DeFi協議只有將安全性放在首位，才能應對新的風險，維持用戶對其的信任，并逐步將鎖倉量從十億級增長至萬億級。

如果你是一名開發者，并希望快速將智能合約連接至Chainlink價格參考數據，請查看我們的開發者文檔并加入我們在Discord上的技術討論群。如果你希望透過電話具體討論集成細節，請點擊此處聯系我們。

來源：金色財經

Tags：DEFEFIDEFIAPTChargeDeFiWDEFI幣DeFiStarteraptos幣怎么挖

BNB