误读闪贷：它只是一个工具

peckshield态势感知平台数据显示，近一个月来，整个区块链生态共生共发生突出安全事件46起。其中涉及DeFi的案件25起，涉及交换的案件4起，涉及敲诈的案件3起，涉及欺诈的案件10起，涉及钱包的案件2起，涉及智能合约的案件2起。

据peckshield统计，2021年5月，与DeFi有关的安全事件有23起，损失约2.8亿美元。其中，闪电贷款攻击约11起，BSC链上与DeFi相关的安全事件15起，以太坊链上发生3起，EOS链上发生1起。

闪电贷款攻击频繁。它已经从去年的以太坊转为今年的热门BSC。很多人把“闪电贷款”解读为“邪恶的源头”、“基于DeFi的核弹”、“攻击者空手使用白狼的本金”。

事实上，这些言论是对闪贷的误读。闪贷只是利用区块链技术给传统借贷市场无法实现的事情带来新的可能性。理论上，闪贷允许用户在没有抵押品的情况下借入流动性池中的所有代币，并要求用户在一系列掉期抵押清算操作之后和交易结束之前归还借入的代币和固定借款成本。

5月2日，第一次针对BSC的flash-loan攻击，peckshield通过跟踪分析发现DeFi协议Spartan-potocol受到flash-loan攻击。之后，BSC公链遭闪电贷款攻击的频率呈上升趋势，包括pancake bunny、bogged finance、autoshark、burgerswap和julswap。

根据peckshield的观察，这些闪电贷款攻击类似于以太坊上的闪电贷款攻击，只是从以太坊转移到BSC。今年年初，BSC凭借其低处理费用和快的数据块传输速度的优势，吸引了许多基于原以太坊和fork 以太坊的DeFi协议。DeFi的生态越来越丰富，越来越多的资产绑定到BSC，这也使得它成为攻击者的“收获地”。

从以上6起闪电贷款攻击中，我们发现大部分攻击与之前针对以太坊的攻击非常相似。

Burgerswap和ousd的进攻战术相同。基于BSC的burgerswap和基于以太坊的ousd有相似之处。攻击者首先从提供flash exchange的去中心化交易所借用flash loan，然后在智能合约中存放假币和本机代币（burger，ousd），在此步骤中通过重入攻击对合约进行攻击，**返回flash loan完成攻击。

操纵曲线ypool的闪电攻击再次出现在BSC上。5月30日，结合多策略收益优化的AMM协议带金融遭遇闪电贷款攻击。通过跟踪分析，派克希尔德“派顿”发现，攻击源于攻击者多次买卖巴士德，并利用巴士德战略平衡计算中的漏洞，操纵巴士德价格牟利。

值得注意的是，ellisis是以太坊上的DeFi协议curve授权的一个项目，它反复操纵curve ypool的价格，以获得稳定币利差的套利事件。潘多拉的叉形曲线盒子打开了吗？

综上所述，这些屡屡发生的雷击事件有其踪迹可循，也无从防御。