flash loan作为一种套利工具,可以在各种DeFi协议之间以极低甚至零成本进行高套利,甚至利用可组合性的漏洞进行黑客攻击,窃取巨额资金。去年以来,多次雷击事故证明了其可行性。可以说,闪电袭击就像一枚定时**,已经成为DEFI巨大的安全隐患。
然而,最近发生在makerdao社区的治理投票让我们意识到,除了黑客攻击造成的直接经济损失外,闪贷还可以用来实现恶意的治理操纵。也就是说,大部分选票是通过闪电贷款“凭空”获得的,治理规则几乎是零成本的改变,为自己谋利,给用户造成间接经济损失。
闪电贷款和黑客攻击
“闪电贷款”是一个诞生于DeFi世界的新物种,只要贷款和还款在限定时间内完成,就不需要任何抵押品。这将为聪明的开发人员开发新的DeFi应用打开思路。然而,在给我们带来惊喜的同时,闪电贷款正在慢慢打开一个潘多拉魔盒。去年以来,发生了多起闪电贷款黑客攻击事件,DeFi协议中的大量资金被盗。
BIFI贷款协议BZX因闪电式贷款攻击两次被套利超过100万美元,**的DFI平台平衡器流动性池也遭到黑客攻击,损失50万美元。
就在三天前,10月26日,黑客再次利用flashloan从DeFi协议中套利;Harvest.Finance公司偷了2400万美元。
闪电贷款与治理攻击
闪电攻击的存在是令人不安的,特别是在混沌状态下加密的早期。得益于DeFi协议的可组合性,DeFi的用户感觉就像在充满危险的黑暗森林中探险,比如在薄冰上行走。在高回报、高收益的表象下,闪电贷款攻击隐藏着杀机的安全风险。
然而,这并不是全部。最近,人们发现,闪电借贷有了一个新的“使用场所”,它可以被用来操纵去中心化的社区治理攻击的选票。
本周早些时候,makerdao通过的一项治理投票后来被发现在治理过程中使用了闪电借贷操纵。虽然事后调查表明,该事件并非恶意,但这起事故让德道社区意识到,闪贷的治理结构存在隐形操作风险,具有可操作性。
具体而言,10月26日,Maker和基金会的智能合同开发团队在由开发团队发起的DEFI流动性协议和NBSP协议建立的MAKKODAO治理提案中检测到了投票违规,主要目的是建议将B协议添加到白名单中。makerdao 预言机将获得makerdao price 预言机的访问权限。本次测试发现,提案利用闪电贷款功能操纵投票通过提案。
事件监测后发现,在提案表决过程中,有几个操纵步骤正在制定和实施。具体来说,wETH是通过快速贷款从dydx借出的,然后作为抵押资产从AAVE借出价值700万美元的MKR代币,然后借出约13000 MKR代币。代币用于对提案进行投票,并在投票后归还。
操纵投票的具体过程
该职位指出,在确认投票违规后,创建者基金会联系了BTrand团队,该小组一直与Maker基金会保持良好透明的沟通,并愿意负责Flash贷款。
诚然,此次治理操纵事件的发生并没有带来巨大损失,但此次治理事故仍具有重大意义。它提醒我们,闪电贷不仅会产生直接经济损失,还会通过治理操纵造成间接经济损失,而且有可操作性的空间,而后者显然更加隐秘。
这意味着DeFi用户,尤其是社区管理员,必须意识到闪贷的潜在风险,即它可能会对治理体系产生影响,最终造成经济损失。对于创客社区而言,更迫切的是积极监控社区投票代币MKR市场的流动性。
在创客社区论坛上,就未来如何防范闪电式贷款治理攻击进行了一系列讨论,比如将G暂停延迟延长至72小时,让MKR持有人有更长的时间应对治理攻击,以及禁用治理参与者的一些功能。
随着DeFi的成熟,可组合性将使整个系统的风险成倍增加。每一种协议在通过组合带来机遇的同时,也面临着兼容性的风险。在荒野的早期,DEFI的生态安全还有很长的路要走。
文章标题:除了套利攻击,闪电借贷还能做什么?
文章链接:https://www.btchangqing.cn/133162.html
更新时间:2020年10月30日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。