又双叒叕产生闪电贷进犯了?
今日上午 6 时 34 分,流动性 LP 代币典当借 DeFi 假贷协议 Warp Finance 遭受闪电贷进犯,被盗约 780 万美元。
区块链安全公司 PeckShield (派盾)安全人员表明:“此次进犯导致 Warp Finance 损践约 780 万美元,但进犯者的方法并不完美,逾 9.4 万 LP tokens 仍锁在典当金库中。”
PeckShield (派盾)经过追踪和剖析发现 ,进犯者从 dYdX 和 Uniswap V2 借出 4 笔闪电贷,共计 290 万 DAI 和 34.48 万 WETH。
随后,进犯者在 Uniswap V2 中典当 290 万 DAI 和 4519 WETH 来提供流动性,铸造 9.4349 万 LP tokens,所铸造的 tokens 转换为 WarpVaultLP,作为进犯者的质押凭证。值得注意的是,此刻 LP tokens 的价格为 58.8 USDC;
接下来,进犯者在 Uniswap V2 中将 34.1 万 WETH 兑换为 4760 万 DAI,进而举高 DAI 的价格,使得 LP tokens 的价格翻了一番, 到达 135.5 USDC;
经过举高 LP tokens 的价格和重置喂价预言机凭证的价格,有利于进犯者进一步在 Warp Finance 中借出 386 万 DAI 和 390 万 USDC (算计约 780 万美元);
最后,进犯者只需还上在 dYdX 和 Uniswap V2 中的闪电贷即可将这 780 万美元归入囊中。不过,据 PeckShield (派盾)剖析,被盗收益现在还被锁在典当金库中。
闪电贷进犯频发,为何黑客还能得手?
据 PeckShield(派盾)统计,今年产生近 10 起使用闪电贷的 DeFi 安全事情,包含 bZx、Balaner、Havest、Akropolis、Cheese Bank、Value DeFi 和 Origin Protocol 等。
闪电贷进犯一般指结合闪电贷和其他缝隙,进行套利和操作价格等的进犯。事实上,闪电贷本身并不是缝隙,不过作恶者能够使用它,以极低的本钱套取巨额资金,在多个协议间进行价格操作或套利。
PeckShield(派盾)相关负责人解释道:“区块链上的闪电贷是一种不需要典当就能够假贷的贷款方式,但贷方必须在同一区块内还贷,不然这个交易就会失败。所以闪电贷对告贷平台来说基本是零本钱、零危险。而黑客就能够使用这样的贷款方式,以很小的本钱借出大笔资金,然后用这笔资金去造成一些数字资产的价格波动,再从中渔利。”
因为闪电贷进犯频发,这个功用备受诟病,被认为是黑客的提款机;但也有观点认为它让协议的缝隙更早暴露出来,有利于提升协议的安全。
PeckShield(派盾)相关负责人主张:“根据闪电贷的特性,假贷和取款都要在一个区块内完成,所以对DeFi协议开发方来说,更保险的规划是不允许在同一个区块内存款和取款,这样企图使用闪电贷的黑客便无计可施。”
作为新式的假贷模式,闪电贷在立异上极具魅力,但它不该成为黑客的镰刀。DeFi 协议开发者应在进犯产生后,应自查代码。PeckShield(派盾)提示,如果对此不了解,应找专业的审计机构进行审计和研究,防患于未然
视野开拓
世界上最原始的人们拥有极少的财产,但他们一点都不贫穷。贫穷不是东西少,也不仅是无法实现目标;首先这是人与人的一种关系。贫穷是一种社会地位。它恰是文明的产物。它自文明诞生,马上就成了阶级之间可恶的划分,更重要的是表达了一种贡赋关系——使得种地的农民比冬季营地的阿拉斯加爱斯基摩更容易受到自然灾害的威胁。-《石器时代经济学》