2023-01-03 21:45:50
今天主要解说的是闪电贷,这就不得不让投资者想到闪电贷攻击,而闪电贷是一种金融技术,同时也是一把双刃剑,既为人们提供了极大的便利性,也为别有用心者提供了一把利器,通过闪电贷,黑客可以利用智能合约中的漏洞,用极低的成本,从闪电贷协议借得大量资金,用于攻击操作,获得巨大的利益。这样来讲,大家可能对闪电贷攻击有一些基本的了解,但是依旧不知道闪电贷攻击的原理是什么?下文211Coin小编详细解说。
闪电攻击是指利用闪电贷和其他漏洞结合后,进行套利和操纵价格等攻击。
闪电贷本身的存在是没有漏洞的,但有心之人将其利用,以极低的成本撬动巨量资金,在多个协议间进行价格操纵或套利,就存在风险。
之所以会有黑客利用闪电贷来对DeFi平台进行攻击,获取利益,主要有一下两个原因:
1、黑客攻击需要大量的前置资金(例如操纵Oracle币价格)。如果你在1000万美元的ETH投资获取为正的投资回报,这可能不算作是套利交易。
2、短期贷款可以最大程度地减少攻击者的污点。如果你有一个如何以1000万美元的ETH操纵Oracle币的想法,即使个人拥有足够数量的ETH,但可能也不想用自己的资金来冒险。如果自己的ETH可能沾染污点,交易所有可能会拒绝我的存款,洗钱难度大大增加、有风险!但如果用闪电贷贷出1000万美元,就没有太多人在意?各方都会有利益,且dYdX的抵押品池不会被认为是有问题的,dYdX的污染在某种程度上消失了。
假设你是一家衍生品平台,想避免受到闪电攻击。自然会问:我是否能检测出与我交易的用户是不是在用闪电贷?
简单的答案是:你做不到。
以太坊的EVM设计方式不允许你从任何其他合同中读取存储。因此,如果你想知道另一个合同中发生的事情,只能通过该合同告诉你。如果你想知道客户是否正在使用闪电贷合同,则必须询问该闪电贷合同。目前许多放贷协议都无法对此类查询做出回应(而且一般来说,也没有办法强制闪电贷放贷方执行这一查询)。
即使你的衍生产品平台试图检查已知的闪电贷协议,协议平台使用代理合同或通过跨闪电贷协议链接,也很容易将任何此类查询误导。通常根本无法判断用户是否正在使用闪电贷。
短短的一秒钟,如果有人要用1000万美元敲开你家交易平台的大门,无法判断这是他们自己的资金,还是一笔闪电贷。
所以我们要防范闪电攻击,真正的选择是什么?我想到三种方法。
1、说服闪电贷协议停止提供这种服务
开个玩笑而已。伙计们,这可是加密世界啊!
严肃地讲,试图让贷款池停止提供闪电贷,就像试图阻止噪声污染一样,这是公共领域的经典悲剧。提供闪电贷款符合每个协议的利益,并且其用户有合理原因的希望使用此功能。因此,我们可以放心地消除这一选项。闪电贷不会消失。
2、迫使关键交易跨越两个区块
要记住,闪电贷允许你在单笔交易时间内借入资本。如果一个资本密集型交易需要跨越至少两个区块,用户需要至少在两个区块时间段取出贷款,闪电攻击就成为不可能。(注意:要达到这一效果,两个区块之间用户价值必须锁定,以防止其偿还贷款。如果你没有正确地设计,则用户可能会在两个区块进行闪电攻击)
显然这是以大幅牺牲用户体验下进行的:这意味着交易将不再是同步的,很像commit/reveal方案。用户体验很糟糕,需要谨慎三思。
很多开发者抱怨智能合约异步操作,例如与Layer2或以太坊2.0的跨片通信协议的互动。具有讽刺意味的是,异步性使得这些系统更安全,避免遭遇闪电攻击。因为攻击者无法在一次自动化交易中同步完成主链与Layer2或分片的操作。这意味着ETH2.0分片或Layer2DEX不会遭遇闪电攻击。
3、要求提供链上证明,证明完成闪电贷后用户的账户余额未出现变化
如果可以通过某种方法来检测用户的实际余额是多少(即在他们贷款之前和还款之后的余额分别是多少),我们就可以战胜闪电攻击。
在原生EVM机制中无法执行此操作,但是可以对其进行修改。你要做的是:在用户与你的协议进行交互之前,你要求其提供Merkle证明,证明在上一个区块末尾时他们有足够的余额来偿还当前使用的资金。你需要针对每个区块中的每个用户跟踪此情况。(感谢康奈尔大学教授AriJuels向我概述了这种方法)
这种方法一定程度上是奏效的。当然,它还很粗糙,有一些问题:验证这些链上证据在链上的成本极高,思维正常的用户没有人愿意提供这类证明,并为整个过程支付gas费用。
上述内容详细解答了闪电贷攻击的原理是什么?并且还为大家分析如何减少闪电贷攻击,理想情况下,你不想让治理代币进入闪电贷款池,但这并非由发币者决定,它是由市场决定的,因此,所有治理行动应该要求代币锁定期,以阻止闪电袭击,更关键的是,所有治理代币必须有时间锁,时间锁迫使所有的执行决策在生效前都有一段等候期,但如果遭遇意料之外的治理攻击,这一机制让系统有了容错时间,甚至尽管MKR目前大量未进入闪电贷资金池,近期已经有人称MakerDAO很容易遭遇此类攻击,MakerDAO当前正加快修复。
好文章,需要你的鼓励
Copyright © 2018-2022 211COIN版权所有.