NFT:DeFi安全風險解析：閃電貸、價格操縱攻擊和降低風險的協議設計思路

在加密貨幣領域，DeFi成為了一個重要的發展方向。然而，隨著其市場份額的增長，DeFi平臺也面臨著越來越多的安全威脅。

最近，Moremoney的聯合創始人兼產品負責人?Sirmoremoney在TwitterSpaces上討論了一些關于DeFi安全的話題，特別是針對抵押品價格操縱和閃電貸攻擊等方面的風險。ReveloIntel總結了此次Spaces的發言，并討論如何采取措施來緩解這些風險。

涉及合約漏洞的攻擊/閃電貸攻擊

閃電貸攻擊涉及利用短時間內無需抵押即可借款的能力來操縱價格或竊取資金。以Platypus攻擊為例來說明涉及合約漏洞的攻擊。??

Linea：Omega NFT鑄造窗口正式開放，限時一個月:8月1日消息，Linea官方發推稱，第五檔Omega NFT鑄造窗口正式開放，用戶可以前往Consensys NFT平臺領取；鑄造NFT需要gas費用，鑄造窗口將開放一個月，務必避開gas高峰期。此前消息，Linea將向所有參與Voyage活動的用戶提供NFT獎勵。NFT共分為5檔，其中積分低于2500分將會獲得OmegaNFT，總量為470萬個；除了Omega NFT需要手動鑄造之外，其他四個檔位的NFT均會直接空投至用戶錢包。[2023/8/1 16:09:58]

攻擊者從Aave借出了4400萬美元的閃電節點，將其存入Platypus，并借出4200萬美元。然后，他們利用合約中的漏洞進行了緊急提款，提取了初始存款并保留了貸款。這次攻擊導致了?PlatypusFinance2億美元的資金損失。

Beamery 聯合創始人：受到 AI 沖擊的上班族更多將是改變工作崗位而不是丟失飯碗:金色財經報道，美國高盛集團的一個報告指出，人工智能和其他自動化技術將會在全球范圍內沖擊 3 億個就業崗位。美國人力資源在線軟件服務公司 Beamery 聯合創始人兼總裁 Sultan Saidov 對此表示，對于上班族來說，ChatGPT 和人工智能實際上沒有必要完全被認為“狼來了”，因為這些工具可以提高員工和企業的工作效率。據悉，Beamery 公司也根據語言模型開發了行業內 GPT 工具，被稱為“TalentGPT”（意思是人才 GPT）。

Saidov 表示，據估計，全世界將會有 3 億個就業崗位受到人工智能和自動化的沖擊，但是關鍵問題是，這 3 億人到底會改變工作或是永遠失去工作？他認為在更多的情況下，將是改變工作崗位而不是丟失飯碗。（新浪財經）[2023/4/17 14:07:45]

然而，他們只能以大約850萬美元的價格交換剩余的4200萬美元的?USB。Platypus的安全顧問和內部團隊能夠收回240萬美元，而Feather和Circle則凍結了卡在合約中的資金。攻擊者后來也在法國被逮捕。

迄今為止18個區塊鏈上的NFT總銷售額超過360億美元:金色財經消息，CryptoSlam本周記錄的統計數據顯示，迄今為止NFT總銷售額已經超過360億美元。這些NFT來自18個區塊鏈，包括以太坊、Ronin、Solana、Avalanche、Wax、Polygon和Flow等。

其中，基于以太坊的NFT銷售額占比達75%以上，位居首位，其他躋身前十的區塊鏈分別是Ronin（40億美元）、Solana（22億美元）、Flow（10億美元）、Polygon（5.91億美元）、Wax（4.3億美元）、Avalanche（2.77億美元）、Immutablex（9870萬美元）、Palm（5050萬美元）和Tezos（4040萬美元）。這九個區塊鏈的NFT銷售額總計約占非以太坊NFT銷售額的24.61%。（news.bitcoin）[2022/5/21 3:31:34]

這次攻擊是由低級黑客發起的，到目前為止已經有70%的被盜資金已經被追回。

從這次攻擊中得到的教訓是，協議需要有適當的安全措施，例如限制誰可以調用緊急提款功能，并實施債務上限以限制可能造成的損失。

緊急提款功能

例如，Moremoney有一個只能由協議本身或治理調用的救援功能。

他們強調了限制誰可以調用此功能的重要性，就像在Platypus的此次情況中并沒有這樣做。

抵押品價格操縱攻擊

價格操縱攻擊涉及操縱去中心化交易所上代幣的價格，以借出比抵押品實際價值更多的資金。

以Mango和Loadstar的攻擊為例子。這些攻擊導致用戶遭受了重大損失，并顯示了監控抵押品價格和實施措施以防止價格操縱的重要性。

在這兩種情況下，攻擊者操縱了DEX上代幣的價格，以借出比抵押品實際價值更多的資金。選擇價格預言機對于協議的安全性至關重要，使用現貨價格預言機總是一個糟糕的主意，因為閃崩或其他價格波動可能導致重大損失。

減輕風險的措施

這些措施包括對智能合約進行徹底審計，實施多因素認證和其他安全措施，以及隔離與不同資產和借貸池相關的風險。

隔離的CDP池

隔離的CDP池對于幫助減輕與多因素池相關的風險非常重要。

他們指出，每個抵押資產都是隔離的，這意味著如果攻擊者能夠利用其中一個資產，他們將無法從整個池中提取資金。

隔離的負債上限

隔離的負債上限可以限制針對每個抵押資產可以借入的金額。

他們認為，這有助于防止攻擊者借入大量資金，并減輕與多因素池相關的風險。

全局負債上限

協議可以實施全局負債上限，限制平臺上所有資產的借入總額。

這有助于防止平臺過度杠桿化，并減少任何單個攻擊的潛在影響。

Tags：NFTPLATTYPLATSNFTEthereum PlatinumTYP價格platon幣總供應量

波場