EFI:刀尖上的創新：閃電貸做錯了什么嗎？

編者按：本文來自WebX實驗室Daily，Odaily星球日報經授權轉載。從已知的信息來看，過去一周，已經發生了4起閃電貸攻擊，包括ValueDeFi、CheeseBank、Akropolis以及今天的OUSD。我們特意查看了一下記錄，發現自今年年初以來基本每個月都要發生幾起閃電貸攻擊。說明閃電貸攻擊已經不是一種偶然事件了。

此前的一次閃電貸攻擊最近的一次是OUSD，攻擊方案的核心就是閃電貸+重入攻擊。大概的流程是：1.攻擊者先用閃電貸借了一大筆ETH這樣的主流資產，然后注入到各類DeFi協議中，進行類似鑄幣、流動性挖礦這樣的操作。2.然后由于攻擊者手上有一大筆資金，它們可以操控價格并利用某些設計上的漏洞操控系統的判斷。3.最后的結果就是由于這樣的操作會導致系統會付給攻擊者遠高于初始資產的收益，最后攻擊者會重復這些操作，最后在合約中取回或者在DEX賣掉獲得的超額資產。4.然后攻擊者再拿著一部分錢去還之前在閃電貸中借到的錢，就結束了整個攻擊過程。本質上這些攻擊的核心邏輯就是借助巨額資金來進行非正常的套利操作。閃電貸不是漏洞，但是擴大了漏洞的風險

PayPal為美國超過6000萬Venmo客戶推出加密貨幣轉賬功能:金色財經報道，在 PayPal 允許用戶在其平臺和其他錢包之間轉移加密貨幣近一年后，該公司現在正在為其位于美國的超過 6000 萬 Venmo 客戶推出類似的功能，該公司在一份聲明中表示，客戶還可以轉賬到 PayPal 賬戶以及外部錢包和交易所，新功能將于5月推出。

此前報道，去年6 月，PayPal 開始允許用戶將比特幣、以太坊、比特幣現金和萊特幣等受支持的代幣發送到外部錢包。PayPal 于 2013 年收購了 Venmo，根據 PayPal 最近的一份收益報表，Venmo 在 2022 年處理了 2453 億美元的法定貨幣交易。[2023/4/29 14:33:49]

在這其中我們發現，雖然近期的幾次事件都把“閃電貸”這個概念作為關鍵詞，但是閃電貸本身和攻擊事件本身并沒有直接的關聯。

《財富》雜志發布首個“Crypto 40”榜單，包括NFT、DeFi等8個類別:4月11日消息，《財富》雜志近日發布首個“Fortune Crypto 40”榜單，以對“最重要的加密公司”進行排名。Crypto 40由八個類別組成，即TradFi、CeFi、NFT、風險投資（VC）、數據、基礎設施、協議和DeFi，每個類別都有五家公司，其中：

- 入圍TradFi類別的公司有PayPal、Robinhood、JPMorgan Chase（摩根大通）、Fidelity（富達）和Visa；

- 入圍CeFi類別的公司有Coinbase、幣安、Kraken、Galaxy Digital和Circle；

- 入圍VC類別的公司有Polychain Capital、Animoca Brand、Andreessen Horowitz（a16z）、Pantera Capital和Blockchain Capital；

- 入圍NFT類別的公司有OpenSea、Yuga Labs、Sky Mavis、Art Blocks和RTFKT（Nike）；

- 入圍Data類別的公司有Chainalysis、Coin Metrics、The Graph、Dune和Messari；

- 入圍基礎設施類別的公司有Ledger、Genesis Digital Assets、Bitmain、Alchemy和Moonpay；

- 入圍DeFi類別的公司有Uniswap Labs、Lido、MakerDAO、Aave和Curve；

- 入圍協議類別的項目有Ethereum Foundation、Bitcoin、Polygon Labs、Solana Foundation、Offchain Labs（Arbitrum）。[2023/4/11 13:56:18]

韓國法院：個人破產者損失金額確定后，即使加密貨幣價格上漲轉虧為盈仍可獲債務減免:7月5日消息，韓國首爾破產法院表示，在確定了個人破產者的損失金額后，即使所持有的股票或代幣價格上漲轉虧為盈，也不將此反映在還債金中，而將繼續提供債務減免。（韓國國民日報）[2022/7/5 1:51:56]

在攻擊發生的前一天，ValueDeFi項目方還在宣稱自己是最安全的協議但不可否認的是，閃電貸成為了其中極其重要的攻擊工具。用一句話來形容它的作用：“它允許你在交易期間像巨鯨一樣的行動”，最可怕的是，如果說那些資金雄厚的人更容易成為攻擊的來源，閃電貸可以讓一個一無所有，甚至沒有基本信用的人在短時間內變成一個手握重金的巨鯨，最重要的是這些人不需要任何許可、不需要良好的信用憑證也不需要付出等額或者超額的抵押品作為代價，完全是空手套白狼。閃電貸本身不是一種漏洞，但它無形之中擴大了那些漏洞被攻擊的風險，因為第一攻擊者不需要任何代價，第二攻擊的來源大大增加，它可能會被任何一個洞悉漏洞的人作為攻擊的工具。危險的創新，閃電貸錯在哪里？

Binance US為7種不同的加密貨幣資產添加綁定服務:金色財經報道，Binance US目前正在提供加密貨幣押注服務，該公司詳細介紹稱，目前有7種數字貨幣的年收益率(APYs)高達18%。客戶可以通過包括binance coin、solana、avalanche、livepeer、graph、cosmos和audius在內的權益證明(PoS)加密貨幣賺取收益。

目前，幣安美國正在為BNB、AUDIO、AVAX、SOL、ATOM、LPT和GRT等7種不同的加密資產提供押注服務。

據知情人士透露，據彭博社報道，母公司幣安正面臨美國證券交易委員會(SEC)的審查。據稱，此次調查與加密資產幣(BNB)是否是一種未注冊證券有關。（news.bitcoin）[2022/6/9 4:12:03]

事實上閃電貸在遭受非議之前被認為是DeFi最偉大的創新之一。閃電貸概念最早由Marble協議于2018年提出，當時開發者的想法是通過智能化合約完成的零風險貸款。智能合約平臺一次性處理交易，如果借款人不能償還貸款，整個交易就會回滾，就像貸款根本沒發生一樣。重點是區塊鏈交易回滾這個特性，用戶和合約發起一筆交易，合約借給用戶一筆錢，然后同樣的用戶在這個交易里還回借出的金額和相應的利息就可以了。如果沒還那么這個交易就會被判定不生效，然后被回滾，也就不存在借款轉移的事情了。這在傳統觀念來說是完全不可思議的事情，因為借貸既不需要信用也不需要抵押品。其實一開始閃電貸的用途是給那些套利者提供便捷的套利資金工具，例如分散交易所之間的額套利、清算多個借貸平臺的貸款或者進行再融資等這些操作，最簡單的就是，閃電貸可以幫助交易者從Marble銀行貸款，在一家去中心化交易所DEX中買幣，然后在另一家DEX以較高價格賣出代幣，然后獲得差價收益。這樣的目的是正常的，傳統金融中也會出現這樣的場景。唯一的區別就是閃電貸的零門檻零代價。很不幸的是，我們能夠封堵漏洞，但永遠防不住人心。黑客或者潛在的攻擊者會發現閃電貸完全可以為攻擊提供充足的啟動資金，這其中產生的另外一個后果就是，由于黑客的錢是借來的，所以錢和黑客本身并沒有直接的關聯，他們的身份也更加地難以追蹤。因此一句話總結：閃電貸減小了攻擊者的風險，攻擊會更加隨意。閃電貸+另一種潛在攻擊用途

作為工具，閃電貸的用途是我們永遠不能想象和預測的。我們完全不能低估“科學家”的智慧，除了經濟上的攻擊，閃電貸又被發現可以應用到別的領域的攻擊上，例如操縱去中心化社區的治理。近期，Maker基金會智能合約開發團隊檢測到一起發生在MakerDAO治理提案中的投票違規行為，大體意思是，社區的一次提案需要持有治理代幣的用戶投票，然后有一個人就利用閃電貸借出總資產，然后用來作為抵押品在借貸平臺拿到大量的治理代幣，去參與投票，投完票然后再還回去。聽到這里可能很多人會驚出一身冷汗，因為如果這次通過的是一項有利于攻擊者的戰略性提案，那造成的后果遠比一次套利攻擊要嚴重的多，而且這樣的攻擊顯然更加隱秘。閃電貸本身在這次風波中并沒有任何過錯，它反而是一種讓人眼前一亮的創新，我們通過閃電貸這樣的產物看到了DeFi的想象空間是有多大。但基于當前DeFi正處在一個實驗性階段，因此大量的漏洞和攻擊者會將閃電貸用到各種非法用途上，所以很多人認為閃電貸是一種極為危險的創新，換個角度來說也正式因為閃電貸的存在，使得各項目方更加重視安全，這也是一種價值。

Tags：EFIDEFDEFIPAYYEFIDEFLYEVAL DEFIEPAY

Uniswap