不是闪贷攻击，而是“幕后黑手”

近期，DeFi市场经历了严峻考验，多起攻击事件接连发生，造成巨额资产损失。在大多数安全事件中，闪电攻击的标题似乎是标准配置。然而，其背后的真相不容忽视的是，预测机被人为操纵，导致内外价差和套利。

所谓闪贷，实际上是一种创新的金融工具，可以实现******，但要求在同一块还款，否则交易将被回滚。闪电贷款的魅力在于，它可以让借款人在几秒钟内变得“富有”，而无需付出任何努力或成本。当然，庞大的资金量也预示着市场操纵的巨大潜力。

在此类安全事件中，攻击者通常属于“空手白狼”。首先，攻击者利用闪电贷款获得大量资金。在掌握了攻击的起始“砝码”之后，他便使用一系列手段获取各种抵押贷款、贷款和交易协议。攻击者在对资产价格数据进行操纵和扭曲后，进行套利，最终返回本金。

数据显示，自2020年以来，基于重入漏洞的黑客攻击次数有所下降，而基于价格操纵漏洞的攻击比例在不断上升，累计造成的损失超过千万美元。

那么，什么是预言机？

区块链对外交流的“桥梁”

预言机不是幻想，而是区块链网络、互联网和其他区块链网络之间维持数据和信息沟通的桥梁。特别是在DeFi-art-contract这样的去中心化应用中，开发者可以通过预言机调用包括市场价格在内的各种外部数据资源，使DAPP能够与外部现实世界的数据环境相连接。

毫无疑问，能够提供不可伪造和可靠数据的预言机将成为DFI发展的重要基石。在DeFi的应用中，无论是自行配置还是依赖第三方供应，每个市场的价格和汇率都可以通过预言机获得。对于去中心化交易所（DEX），获得准确可靠的价格数据更为重要。

与中心化交易不同，DEX市场数据的“孤岛”倾向更为明显。如果不能与外部市场保持实时联动，dex中自动做市商（AMM）的资产池很可能由于交易量和流动性的剧烈变化而造成价差损失。

随着DeFi市场的日益普及，行业对项目的数量、规模和模式的考虑也越来越大。相反，对预言机安全性的关注却处于不温不火的状态。近年来，频繁发生的预言机安全事件可能会敲响警钟，而预言机的安全对于DeFi生态的有序发展至关重要。

典的预言机安全事件

事件一

至于预言机第一次安全事件，时间将追溯到2019年6月25日。DeFi衍生品平台上的synthix 预言机异常，导致skrw/SETH汇率错误。3700多万塞特以低价成交，涉及近10亿美元。

#事件原因

饲料价格来源信息异常，预言机故障发布错误价格给链。机器人很快发现套利交易。

**，synthetix与交易机器人的所有者达成了资本回报协议，巨额损失得以挽回。但值得注意的是，异常的上游价格来源可能会给智能合约带来毁灭性打击，未经有效性验证的预言机在数据正确性和稳定性方面存在较大的安全风险。

事件二

在随后的事件中，令人印象深刻的是“BZX连续攻击事件”。2020年2月，BIFI贷款协议BZX在一周内遭到两次攻击，造成约100万美元的损失。

#事件原因

黑客利用Uniswap算法的价格缺陷，操纵相关资产价格数据，游走于多个DeFi协议中进行套利。

7个月后，BZX再次遭到袭击，事件造成约800万美元的损失。BZX联合创始人凯尔·基斯特纳（Kyle Kistner）在事件发生后表示，这似乎是一次预言机操纵攻击。事件的最终原因是代码中的漏洞。

事件3

近期，预言机攻击事件频发，安全形势严峻。10月26日，DeFi的一个项目harvest finance遭到黑客攻击，造成约2400万美元的损失。

#事件原因

ftoken使用曲线y池作为价格来源。攻击者通过大量的交易操纵价格数据，控制硬币数量，进行多次套利。

据官方披露，黑客通过曲线y池进行攻击，使曲线中稳定币价格异常超过387.9%，并在7分钟内反复套利。受此影响，嘉实代币农场的价格在短时间内下跌了65%。

事件4

11月14日，value DeFi协议遭到黑客攻击，黑客还经历了一系列协议间操作，损失超过700万美元。

#事件原因

攻击者操纵曲线资产池的价格，盗取超额的3crv，用Dai进行套利。

可悲的是，黑客最终还回了200万戴的，并留下了一条嘲讽的信息：“你真的了解闪电借贷吗？”针对该团队此前的微博，声称能够防止闪电袭击。

近年来，仅预言机攻击造成的资产损失就累计超过3000万美元。在这种情况下，黑客操纵预言机机器，制造套利汇率，**利用差价窃取协议资产。

因此，DeFi生态系统中**系统性的风险因素是容易被价格操纵的预测机器，而不是闪贷这种金融工具。

探索解决方案

预言机有着广泛的应用场景，需要与离线数据交互的DAPP可以利用预言机来实现功能和价值。其中，典的应用场景包括DEX、衍生品、稳定币、借贷平台、游戏、保险、预测市场等，面对这座“数据堡垒”，预言机有望通过反复升级和安全测试，提供更好的服务。

因为区块链本身不具备验证数据是否公平合理的功能，在去中心化机制下，那些错误的外部数据会被预言机毫无差别地返回，这种“错就是错”很容易造成各种损失。

预言机 machine的迭代升级应实现链内外可信数据的对接，保证正常、稳定、有序的数据环境。在报价方面，预言机应尽量聚合多个节点的数据，预留价格偏差处理机制，并根据时间同步更新，以保证提供给智能合约的数据可靠、可靠、抗干扰。

在dex中，预言机在提供报价更新的同时维护和调整AMM的权重，确保内部汇率与外部市场价格相匹配，并通过验证机制和异常报警机制有效拦截攻击者对价格和汇率的操纵，防止套利空间。

另一方面，DFI开发者应加强对预言机的针对性测试，特别是在项目上线前，尽可能模拟价格操纵攻击的各种场景，及时发现问题，找到解决方案，提高项目抵御预言机攻击的能力。

项目启动后，开发者应根据情况选择接入第三方预言机服务和安全测试服务；举办相关漏洞奖励活动，及时排查和弥补不足，优化整体结构，**限度降低类似事件再次发生的可能性。

后记

事物的两面性总是可以体现在各个方面。对于闪贷而言，它是一种创新的金融工具，能够有效地提供大量资金，促进价值循环。然而，它已被攻击者利用，并沦为**资产的重武器。

无论是DeFi的发展还是区块链新领域的拓展，链内外的数据交换势在必行，预言机的作用不可小觑。其实，攻击者的控制手段并不复杂，但现阶段，预言机机还不够智能，很难及时做出反应和抵抗。

同样，事物的发展总是曲折的。在经历了许多痛苦的代价之后，预言机的“短板”已经暴露。为了区块链生态安全，在能够完全抵御操纵攻击的预言机诞生之前，加强多方技术的验证和检测，防范攻击已成为当务之急。