DAI:閃電貸：一筆以太坊交易能做什么？

編者按：本文來自：以太坊愛好者，譯者&撰文：阿劍，Odaily星球日報經授權轉載。標題：Flashloans，魔法互聯網貨幣的新發明鏈圈一直聲稱要變革金融業，最近終于開始有點跡象了，因為年輕的銀行家跟技術人員開始結盟了。最新的一種玩法叫做“閃電貸”，就是說，你可以用代碼來指定一系列的操作，只要你的操作能保證在一筆交易內完成還款，你就可以無條件地貸款。區塊鏈上的一筆“交易”里可以做很多事情；你不僅可以轉一次賬，你甚至可以在一筆交易中完成50筆資金轉移。因為智能合約就跟計算機程序一樣，你發交易，就等同于“調用某個智能合約里的某個函數”；一筆交易中可以調用很多個函數，自然也就能完成很多操作。“閃電貸”所要求的是，所有的操作都必須在一筆交易內完成。所以你必須把所有步驟都編程到一筆發往智能合約的交易里，把“借款、轉移、還款”都包括進去。如果交易結束時你不能還款，則交易就會失敗，就像所有事情都沒有發生過一樣。假設，一開始閃電貸合約給了你1萬ETH，如果交易結束時沒有還上1萬ETH，那就相當于你從來沒借出過1萬ETH，因為當節點在執行交易時，只要交易失敗，則這筆交易中的所有操作都會全部回滾，就像沒事發生過。很反直覺對吧？要是沒有執行所有操作并成功返回足夠的資金，那些ETH就跟沒有動過一樣。好吧，我們也覺得這就是魔法。這種魔法是一個圖靈完備的網絡上的最新發明。所有運行以太坊軟件的計算機節點都運行著這個閃電貸智能合約，當這個程序被上鏈的的交易激活之后，就相當于合約在執行這筆交易指定的操作，如果最后能完成還款，則合約傳出“執行成功”，整個網絡的狀態完成更改；而如果不能完成還款，合約傳出“失敗”，交易影響到的其它合約狀態更改失敗，被改變的只有閃電貸合約的狀態。你要是聽得云里霧里，那也正常，因為這是一個全新的領域。你得懂編程才能使用這種合約，因為你需要連貫地指定每一個步驟。不過，如果你愿意花幾周學習Solidity教程，你也可以拿到免費的資金用于套利，用于捕捉一切可以用連貫的一系列步驟來完成的獲利機會。舉個例子，有個家伙一把賺了36萬美元，就一筆交易！這一事件也讓閃電貸抓住了所有人的眼球。但這并不是去中心化領域的唯一發明。比如，Fulcrum具有超強的流動性；dYdX智能合約支持免費的閃電借貸，跟flashloan是一樣的。一個新的DeFi項目，Aave，也在用flashloan的名義提供這樣的功能。還有一種觀點認為，可以把CDP這樣有點近似于永久貸款的債，變成一種像期票的token。以前，只要你提供質押品，你就可以貸出DAI，利息不會實時償還，只在你還款時償還，所以只要你的質押品足夠多，你可以借錢借到永久，因此近似于永續債務。）……標題：閃電男孩所謂套利，就是利用不同市場上的價格差來賺錢。套利的機會在所有金融市場上都存在，數字資產也不例外。套利活動可以幫助減小一種資產在不同市場上的價格差，因為套利活動也可以增加流動性……閃電貸的設計本意是讓開發者可以任意借貸而無需提供質押物。整個借貸、償還的過程都會在一筆交易內完成！開發者可以從Aave協議的儲蓄資金池中貸出資金，條件是交易結束后，從資金池中借出的流動性會原樣返回到池中去。如果不能返回那么多流動性，交易就會失敗、回滾，保證儲蓄資金池中的資金不受損失。閃電貸有很多有趣的用途，包括：在去中心化交易所之間套利在多種借貸平臺上平倉再平衡，例如：從Aave協議中借出DAI、關閉你的MakerDAO質押債倉并取回你的質押品，把這些質押品存入Compound，借出DAI，然后把DAI及一些手續費歸還給Aave如此一來，就有更多人可以參與套利和清算，因為沒有初始資本要求。套利一般來說沒有什么資本要求，但清算則要求大量資本來平掉債務人的倉位。Compoud和單質押品DAI中的平倉常常要投入價值超過100萬美元的ETH或者DAI。……為展示閃電貸無可限量的潛力，我們做了一次套利，但實際上它可以用在很多別的地方。你可以查查我們發出的這筆交易：<https://etherscan.io/tx/0x4555a69b40fa465b60406c4d23e2eb98d8aee51def21faa28bb7d2b4a73ab1a9>

安全團隊：WEEB遭受閃電貸攻擊，黑客獲利約16ETH:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，WEEB項目遭受價格操控攻擊(0xcb58fb952914896b35d909136b9f719b71fc8bc60b59853459fc2476d4369c3a),黑客利用WEEB代幣中的performUpkeep函數，將pair中大量WEEB代幣的余額燒毀，從而提高WEEB價格，獲利16ETH。目前資金仍在黑客地址中(0xe9ba23db4cab47621d72b7a51ef166992a025b16),Beosin Trace將持續對資金流向進行監控。[2023/5/10 14:53:59]

……2月15日，有一位黑客動用借貸得來的大筆資金，先后使用Compound協議置換資產、干擾Uniswap市場上的資產價格、影響Kyber的報價，并最終通過bZx提供的杠桿交易功能獲利，這一切，都是在一個區塊內完成的。更準確地說，這是在一筆交易內完成的，所用的正是上文提到的、由dYdX協議提供的閃電貸款功能。具體經過，在此不表，可見由PeckShield和Hydro社區提供的詳盡分析：PeckShield：硬核技術解析，bZx協議遭黑客漏洞攻擊始末DeFi低調分享|如何空手套白狼51個BTC從這些詳盡的分析中我們可以知道，這位黑客獲利的關鍵一環在于，他用借來的資金操縱了Uniswap及Kyber上的資產價格，而bZx協議正是使用Kyber作為其價格信息提供機制，并最終在杠桿功能中給了黑客非常多的token，黑客拿到這些資產后賣出，就能償還一開始閃電貸的貸款。當然，黑客沒有平掉自己在bZx協議的杠桿，也就是沒有還錢。事情出來以后，bZx團隊動用管理密鑰，把黑客的收益凍結了。這件事在整個圈子里引發了很多討論，包括但不限于：bZx的處理方式是否合理？DeFi協議應不應該留有管理員密鑰？去中心化的預言機到底安不安全？閃電貸的出現是好事還是壞事。我們在此不想復盤這些討論，只想討論一個簡單的問題，可能也是大家最感興趣的問題：閃電貸到底意味著什么？計算機科學里面有個術語叫做“原子化”，指的是處理事務時，能否保證相關的操作總是同時成功、同時失敗，而絕不會陷入某些操作成功，某些操作失敗的境地；如果能，那就是保證了“原子性”。如果換一個具體的例子，你會發現這個概念絕不陌生：你想去某個地方旅游，你總是希望交通和住宿能夠同時確定，比如，如果你搶得到高鐵票，你想挑一個離高鐵站近一些的酒店A；但如果你不能搶到高鐵票，你會想要挑另一家酒店B，甚至你會考慮換一個旅游地點。這時候你會發現，如果每個事項都得分別確定，你就只能安裝很多個APP并且在它們之間不斷切換，非常麻煩。比如，如果不預訂A，又怕訂不上酒店；預訂了A，如果票搶不到，你又得退訂。但如果這兩件事情的處理具有原子性，你可以直接做一個操作同時搶票和預定酒店，到了時間如果搶票失敗，也會自動退訂酒店。這可以帶來極大的便利。同理，當你需要換乘才能到達目的地時，你也會希望路程上的多個車票要么一次買齊，要么全部不買，免得還要手動退票。說起來很簡單，也符合大家的愿望，但這種東西在我們的生活中仍然是極為罕見的。我們還是得下載很多個App，關注很多個公眾號和小程序。但以太坊不是這樣。把以太坊當成一臺計算機，把智能合約都當成程序，用戶發起的交易就像你在操作電腦一樣，能夠包含在一筆交易中的操作天然就具有原子性。程度的多寡是一回事，但——你真的可以一次性把這些程序用個遍，而且一旦某個操作沒有得到自己預期的結果就可以撤銷自己所有的操作，像沒事發生過一樣。美好、強大到有點不真實。提起DeFi，很多人會提到可組合性。一開始大家想的是，有了MakerDAO，我們就有了穩定幣DAI；有了DAI就可以做借貸市場啦，還可以做保證金交易。大家的想象有兩種，一種是：這些產品是可以自由結合的，而且互相都沒有準入措施，這樣功能當然會更強大，當然能創造價值；另一種是：這意味著，DeFi具有創造性的潛力，從長期來看它必定會越來越繁榮，因為互相結合總能孕育出更為強大的功能。但這兩種想法都幾乎沒有指明不同協議相結合時的具體樣貌，也沒有指明這種結合發生時候的時間概念。換句話來說，更多是從功能互補的角度來想象及闡述的，不是從計算機的角度來想象的。但是，原子性的概念意味著：任意多的合約可以在一筆交易中要么一起工作，要么一起無動于衷。要么真的在一瞬間組合，要么一起當沒事發生過。我忍不住想說，閃電貸就是“可組合性”最極端的形態，極端到一切只在一瞬發生。人們終于發現，一個協議最真實的樣貌，是要從“交易這一瞬”的維度去思考的，就像dForce項目創世人民道老師舉的例子，用閃電借貸可以瞬間化身為Uniswap的流動性提供者、做完自己想要的交易再閃電撤資，這樣可以把手續費從0.3%降低到0.05%；協議的安全性，也要從“一瞬”的粒度去設計，否則就會出現bZx這種情況，直接被閃電擊穿。現在人們知道了，價值的無縫流動，既是美酒也是藥，DeFi協議，要么在美酒下強身健體，要么肝腸寸斷。還有兩個有趣的事情。一，很多朋友都感受到了閃電貸的破壞力，認為大額的閃電貸就像一把丟在街上的上膛武器。但也有一些朋友認為，這是好事，因為進步的最好方法就是直接淘汰掉不行的東西；因為，早點發現問題可以避免累積出系統性風險。沒錯，現在已經有了一座人人皆可踴躍嘗試的大炮，瞄準了DeFi協議構成的城池，不能組合成鐵壁防御的協議都會被大炮擊穿。搭的不好，奇形怪狀的貨幣積木，你們有難了。但是，可以相信，剩下的都是銅墻鐵壁。二，閃電貸概念最早應該是Marble項目提出的，那是在2018年中。但因為這個項目不賺錢，創始團隊已經被其它項目收編了。一年之后，這個概念才開始發揮威力。所以還是要有點耐心啊。

QuickSwap因閃電貸攻擊損失22萬美元，將暫時關閉借貸市場:10月24日消息，據QuickSwap官方推特表示，暫時關閉借貸市場QuickSwap Lend，目前已因閃電貸攻擊損失22萬美元。本次攻擊是通過Curve預言機漏洞實現的，只有Market XYZ借貸市場遭受影響，QuickSwap合約仍是安全的。

此外，QuickSwap表示，由于該市場由QiDAO提供資金，故沒有用戶的資金受到損失。[2022/10/24 16:37:18]

安全團隊：EtnProduct項目遭受閃電貸攻擊:8月5日，來自成都鏈安社區成員情報顯示，EtnProduct項目遭受閃電貸攻擊。成都鏈安安全團隊分析發現：攻擊者先利用閃電貸借入9,400個USDT，隨后攻擊者購買了一個NFT并把NFT掛入EtnProduct項目，由于在掛單時添加的流動性的代幣數量固定，以及把憑證幣發送給了調用者，攻擊者再銷毀憑證幣套出了流動性里606,091.527的U代幣，并調用UMarket項目的saleU函數把11,253.735個U代幣一比一轉換為USDT后歸還閃電貸，總共獲利約3,074美元和一個價值7,380美元的NFT，目前獲利資金仍然存放于攻擊者地址（0xde703797fe9219b0485fb31eda627aa182b1601e）上。后續成都鏈安鏈上資金追蹤平臺“鏈必追”將對此地址進行持續監控和追蹤。[2022/8/5 12:04:20]

xToken閃電貸攻擊事件導致損失450萬美元，將關閉xSNX產品并構建補償計劃:8月30日，DeFi質押平臺xToken遭受攻擊后發布后續調查報告，此次攻擊系xSNX合約漏洞被利用，并稱本次持有人的損失約為450萬美元，將停止提供xSNX產品。xToken稱，能夠調用「callFunction」函數是漏洞的根源，該函數應該只能從dydx的SoloMarginflashloan合約中調用，但錯誤的require語句允許該函數可公開調用。xSNX將在本周進行合約升級，將合約中的所有資產兌換為ETH，更新后用戶可贖回。此外，團隊表示正在努力構建一個基于XTK的補償計劃。律動此前報道，8月29日，PeckShield「派盾」預警，xToken遭到閃電貸攻擊，目前損失金額不詳，請用戶注意風控。[2021/8/30 22:46:13]

慢霧：yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式給大家分享細節，供大家參考：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH；

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC；

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CruveDAI/USDC/USDT的大部分流動性；

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)貶值；

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣；

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復；

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例體現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

Tags：DAIUSDUSDTSDTMIDAIusdt幣交易違法嗎能投入嗎穩定幣USDT行情

中幣下載