有人用閃電貸實現了一次治理操縱。
撰文:LeftOfCenter
閃電貸作為一種套利工具,可被用來實現以極低甚至零成本在各個DeFi協議之間進行高額套利,甚至利用可組合性的漏洞進行黑客攻擊盜取巨額資金。從去年開始,陸續發生的多起閃電攻擊事故已證明了其可行性,可以說,閃電貸攻擊就像一顆定時炸彈,已成為DeFi的巨大安全隱患。
然而,最近發生在MakerDAO社區的一起治理投票讓我們意識到,閃電貸除了用于黑客攻擊讓用戶產生直接的經濟損失之外,還可以被用于實現惡意治理操縱,即通過閃電貸「憑空」取得大部分選票,幾近以零成本花銷變更治理規則讓自己受益,從而讓用戶產生間接的經濟損失。
美聯儲FOMC聲明刪除了此前暗示未來還會加息的措辭:金色財經報道,美聯儲FOMC聲明稱:委員們一致同意此次的利率決定。(與上次會議一致),通脹升高,我們高度關注通脹風險。(政策)更緊縮的程度程度取決于經濟。美聯儲FOMC聲明刪除了此前暗示未來還會加息的措辭。[2023/5/4 14:41:07]
閃電貸和黑客攻擊
「閃電貸」這種誕生在DeFi世界的新物種,無需任何抵押物,只要借貸和還款在一個區塊時間完成即可。這會讓聰明的開發者腦洞大開,開發出全新的DeFi應用,然而,在帶給我們驚喜的同時,閃電貸也在慢慢在打開一個DeFi的潘多拉魔盒。自去年以來,已有多起閃電貸黑客攻擊事件發生,DeFi協議中的大量資金被盜。
Messari 創始人:除了BTC和ETH之外,其他加密貨幣幾乎沒有可持續的價值創造方式:12月28日,Messari的聯合創始人Ryan Selkis發布推特稱,除了BTC和ETH之外,幾乎沒有可持續的價值創造方式。也許最好的證據是,其余的加密貨幣都是“傻瓜式”土豆,他們的“其他市場份額”約為18%,而去年約為24%。Multicoin Capital聯合創始人Kyle Samani針對此言論表示,這完全是錯誤的。[2020/12/29 15:58:20]
DeFi貸款協議bZx曾先后兩次因閃電貸攻擊被套利超百萬美金,知名DeFi平臺Balancer流動性池也曾遭黑客閃電貸攻擊,損失50萬美金。
現場丨鏈上ChainUP Joy:NFT最近火起來除了本身的應用場景,還接了DeFi的余熱:金色財經現場報道,10月19日,由金色財經主辦,鏈上ChainUP,脈沖科技,達摩院協辦的金色沙龍第56期在深圳舉辦,在圓桌討論環節,關于NFT為何會引爆市場,鏈上ChainUP深圳負責人Joy表示,?NFT早在幾年前就已經火過,之所以在近期引爆市場,可能有兩方面原因,一方面接了DeFi的余熱,另一方面就是它本身的應用場景。但因流動性挖礦高收益而火爆的DeFi+NFT會不會火爆一時,然后銷聲匿跡,Joy認為,去中心化金融是未來一個大方向,DeFi和NFT都有它的應用場景,因此短期內不會成為泡沫。但未來會怎樣,有待驗證。[2020/10/19]
而就在三天前的10月26日,黑客又一次使用閃電貸套利成功從DeFi協議Harvest.Finance盜走2400萬美金。
動態 | 日本金融廳已解除了對虛擬貨幣交易所GMO Coin的業務改善命令:據路透消息,多位消息人士今日表示,日本金融廳已解除了對虛擬貨幣交易所GMO Coin的業務改善命令。部分虛擬貨幣業界人士指出,(日本金融廳)或將陸續解除其他交易所的行政處分。根據金融廳的《資金結算法》,GMO Coin 在2018年3月收到了業務改善命令。[2019/2/13]
閃電貸和治理攻擊
閃電貸攻擊的存在引人不安,尤其是在處于混沌狀態的加密早期階段,DeFi協議可組合性的加持,DeFi中的用戶猶如在危機四伏的黑暗森林中探險,如履薄冰,在高回報和高收益的表象下,閃電貸攻擊隱藏著殺機四伏的安全風險。
然而,這還不是全部。最近,閃電貸又被發現有了新的「用武之地」,即可被用來操作選票進行去中心化社區治理攻擊。
本周早些時候MakerDAO通過的一起治理投票,事后被發現該治理流程中有利用閃電貸操縱進行投票。雖然事后調查顯示,此次事件并非出于惡意,但這起事故讓MakerDAO社區意識到,閃電貸在治理結構中存在著隱形操作風險,且具有可操作性。
具體來說,10月26日,Maker基金會智能合約開發團隊檢測到一起發生在MakerDAO治理提案中的投票違規行為,該提案由DeFi流動性協議BProtocol開發團隊發起,主要目標是提議將BProtocol列入到MakerDAO預言機的白名單中,以獲得訪問MakerDAO價格預言機的權限,此次檢測發現該提案使用了閃電貸功能操縱投票以通過提案。
事后監測發現,此次提案投票過程中,有多個步驟的操縱被創建和執行,具體來說,首先從dYdX通過閃電貸借出WETH,接著將其用作抵押資產從借貸平臺AAVE中借出價值700萬美元的MKR代幣,之后借出的大約1.3萬MKR代幣被用于進行該提案投票,投票完畢后將其返還。
此次投票操縱的具體流程
該帖子指出,投票違規行為被確認后,Maker基金會與BProtocol團隊取得聯系,BProtocol團隊也一直就此事和Maker基金會保持良好透明的溝通,并愿意為這起閃電貸負責。
誠然,此次治理操縱事件的發生并未帶來巨大損失,但是這起治理事故仍然意義重大,它提醒我們,閃電貸不僅可以產生直接的經濟損失,還可通過治理操縱導致間接的經濟損失,且具有可操作的空間,而后者顯然更加隱秘。
這意味著,DeFi用戶尤其是社區治理者必須意識到閃電貸的潛在風險,即它可能對治理系統產生影響,最終可能引發經濟損失,而對于Maker社區而言則更加迫在眉睫地急需對MKR市場的流動性進行積極地監控。
Maker社區論壇上,已針對未來如何防范閃電貸治理攻擊進行一系列討論,比如將GSM暫停延遲增加至72小時,讓MKR持有者有更長的時間對治理攻擊做出反應,禁用治理參與者的某些功能。
隨著DeFi逐漸變得成熟,可組合性會使整個系統風險呈指數級增長,在各個協議通過組合帶來機會的同時,也面臨兼容性風險。處于蠻荒早期的DeFi生態安全問題仍然任重而道遠。
來源鏈接:forum.makerdao.com
Tags:DEFIDEFEFIMAKEdefiner幣幣幣情Defi Tigerkingdefi幣歸零maker幣終極計劃
尊敬的ZT用戶: FIL(Filecoin)?主網已于2020年10月15日22:44正式開啟。ZT現已開啟FIL充值。并將在23:30上線USDT交易對開啟交易.
1900/1/1 0:00:00正式入秋后的這一兩個月里,對DeFi市場有所關注的朋友們,或多或少都聽說了XCN的漲幅新聞,甚至有幾位傳統投資行業朋友,也都抑不住好奇心詢問兩句.
1900/1/1 0:00:00最近發生了一連串看上去與幣圈相關的政策方面的信息。前段時間OK交易所負責人出事,這件事至今仍然沒有下文并且越來越接近出大問題的狀況,大量投資者的數字資產在交易所里提不出來,越來越多投資者焦躁不安.
1900/1/1 0:00:00DeFi合成資產協議LinearFinance宣布與加密資產管理平臺3Commas達成伙伴關系,3Commas將戰略投資LinearFinance,且雙方在未來將開展集成和相關合作.
1900/1/1 0:00:00尊敬的LBank用戶: LBank已完成2020年10月29日12:00啟動的WOO專場售賣活動.
1900/1/1 0:00:00DeFi領域有很多不同的應用,它們提供了可以替代傳統金融的鑄幣、消費及轉賬方式。借貸平臺可以說是去中心化金融中最受歡迎的產品.
1900/1/1 0:00:00