2019年以来,DeFi逐渐成为区块链的热点,大量资金开始涌入各类DeFi项目。自从synthetix项目出现以来,dif项目就出现在人们的眼前。但随着DeFi的不断发展,工程的安全问题也越来越迫切。
最近,平衡器遭到攻击,攻击者利用平衡器资金池和通货紧缩货币组合形成的漏洞,盗取了50万美元的资金池。不到24小时后,平衡器再次遭到攻击,攻击者利用compound的“借即挖”功能,将资金池中无人认领的comp币偷走。
对于第一次攻击,我们已经分析过了。
对于第二次攻击,笔者认为攻击者的行为介于收集羊毛和非法攻击之间,不能视为非法攻击。
一方面,攻击者确实违反了平衡器契约设计的概念,利用balancer的代码漏洞窃取非自己的利益。
但另一方面,攻击者盗取的资金并不是资金池中的本金,而是大院“借钱就是挖矿”的特点所产生的利润。即使攻击者不进行攻击,均衡器契约本身也不会合理地将资金分配给用户。
这就像超市每天生产的空纸箱一样。公司没有具体说明如何处理。一般来说,当它们堆积到一定程度时,找到它们的雇员就会卖掉它们,雇员就会得到好处。这时,一个外人来了。他发现这些纸箱可以产生效益,所以他申请了一名雇员。卖了纸箱后,他立即离开,去了下一个。第二次事件发生后,平衡器官员没有采取相应的修复措施,这也间接表明了官方的态度。官员可能更倾向于这是一种“收羊毛”的行为。
在这起事件中,有三个DeFi项目牵涉其中。平衡器、dydx和复合材料。
什么是DeFi?
Defi,中文意思是“去中心化金融”,旨在利用区块链技术完成传统金融中的借贷、存储和支付功能,缩短金融交易的交易时间,降低交易费用,解决跨国问题。
目前,DeFi上有很多热门项目,如compound、maker、dydx等,如下图所示:
在Defi项目中,传统金融业的很多工具都直接转移到区块链上,比如借贷和存储。然而,区块链与现实世界之间存在着巨大的差异,其内在逻辑也不同。
例如,在传统金融领域,“信用”是信用的基本条件。银行会给一个人的信用评级,以判断它是否可以借给他。在区块链的封闭世界中,由于区块链的隐私性,地址不能与人关联,因此不存在“信用”属性。要想实现“信用”,就必须有一台预测机来获取现实世界的信息。
但也正是由于区块链与现实世界的差异,使得DIF实现了一些现实世界无法实现的功能。
Dydx快速贷款:
3000万美元抵押贷款
在第一个平衡器事件中,攻击者使用dydx在没有任何抵押品的情况下借款3000万美元。这在传统金融领域是无法实现的。金融领域传统的贷款方式都是以“资产抵押”或“信用抵押”作为规避贷款风险的手段。但是,由于区块链的特点,一笔交易可以回滚,因此也可以实现大额借款的零抵押。
Dydx允许用户以0抵押进行大量贷款,用户只需在一次交易中归还贷款。如果用户在交易后不归还贷款,交易将被回滚,并且可以再次收取所花的钱,从而避免本金风险。尽管贷款必须在交易中返还,但智能合约允许用户在一次交易中多次操作。在这种交易中,用户可以低价购买大量代币,然后高价卖出。即使价差很小,在大量本金的基础上,也能取得可观的收益。如果放在传统金融领域,一般很难实现这种操作。但有了dydx,任何人都可以得到这笔“巨额资金”
新事物的出现总是有两面性的。Dydx闪贷为普通人提供了使用巨额资金的可能性,也为躲在黑暗中的黑客提供了帮助。例如,如果平衡器第一次受到攻击,如果没有dydx,黑客必须筹集大量资金清空资金池中的通货紧缩代币。否则,它将无法攻击。
平衡者:通过收费来管理你的资产
在传统金融中,用户需要向第三方管理机构支付管理费,以平衡其资产,保护资产价值。但平衡器的出现打破了这种局面。资产所有者可以通过收取费用来保护自己的资产价值。
Balancer允许用户设置自己的基金池,并将其不同的资产放入池中。当不同资产的市场价格发生变化时,由此产生的价差会诱导套利者在基金池中进行交易,从而平衡基金池中的各种代币内容。套利通过套利获得收益,基金所有者平衡资产价值。
假设一个基金池中存在Dai和wHT4,当Dai被外部重估时,Dai与wHT4的比率将降低,这将导致套利者将其wHT4兑换为该池中的Dai,直到该池的兑换率与外部持平,从而使Dai在基金池中的持有量增加,并且总价值降低。当Dai在外部贬值时,会诱使套利者将其Dai兑换成wHT4,因为他们过去持有大量Dai,整体价值会再次上升。套利连续运行后,资金池中始终有余额。
balancer的资金池模没有大问题,但当涉及到通货紧缩货币或复合货币等特殊代币时,就会出现问题。平衡基金池的核心是不断变化的汇率。通常情况下,这一比率会随着不同代币的流入和流出而变化,从而使池中的金额达到平衡。但是,当遇到通货紧缩货币或复合货币等特殊货币时,流入和流出的数据会与用于计算比例的数据产生误差。这个错误使攻击者能够攻击并获取利润
如何看待DEFI
从以上两个项目不难看出,DeFi只是将现实世界的金融体系转移到了链条上。由于底层的差异,使得金融机构能够做很多实际金融体系做不到的事情,比如零抵押贷款、跨境汇款等非常有前途的功能。但是,也存在着很大的风险和问题,比如如何与现实世界沟通,如何得到政府的认可,如何解决安全问题等。
给我一个支点,我就能移动地球。与传统金融相比,金融创新的底层依赖于智能合约,智能合约本质上是一个程序。该方案具有传统金融无可比拟的效率和便利性,但也存在传统金融不需要考虑的代码漏洞。如果黑客在智能合约中找到了这样一个“支点”,他们就可以轻而易举地利用数千万资产。
因此,成都联安建议读者理性对待DeFi,理性投资选择安全、有前景的项目,做好投资前的调研工作,对未披露智能合约和审计报告的项目要提高警惕。
文章标题:成都联安:从均衡器事件看
文章链接:https://www.btchangqing.cn/67987.html
更新时间:2020年07月21日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。