紧接着,CreamFinance也遭到闪电贷攻击,损失约1800万美元。CreamFinance遭到闪电贷攻击的原因是代币合约引入了一个可重入漏洞。
币圈最近真是不平静。就在不久前,白帽攻击者攻击了PolyNetwork并窃取了6.1亿美元。现在又有两个DeFi平台因黑客使用闪电贷攻击而造成超过2300万美元的损失。钱包的安全性真的是一片空白。
这次事件再次引起人们对闪电贷和DeFi安全性问题的关注,人们不得不思考如何避免或降低自身的风险。
闪电贷是在一笔链上交易中完成借款和还款的贷款方式,无需抵押。由于链上交易可以包含多种操作,开发者可以在借款和还款之间加入其他链上操作,使得这样的贷款方式有很多可能性。
闪电贷最早由Marble协议在2018年提出。Marble自称为"智能合约银行",旨在通过智能合约完成零风险贷款。
闪电贷最初被营销为主要用于套利交易。Marble表示,闪电贷可以帮助交易者从Marble银行贷款,在一个去中心化交易所买入代币,然后以较高价格在另一个去中心化交易所卖出代币,从而实现套利收益。
从目前的情况来看,大多数闪电贷主要用于套利交易。
闪电攻击是指利用闪电贷和其他漏洞组合进行套利和操纵价格等攻击。
闪电贷本身并没有漏洞,但是有些人利用它以极低成本控制大量资金,在多个协议之间进行价格操纵或套利,从而产生风险。
闪电贷成为黑客攻击工具的原因主要有两个:
1.黑客攻击需要大量前期资金(如操纵Oracle币价格)。如果你投资了1000万美元的ETH并获得积极投资回报,这可能不被认为是套利交易。
2.短期贷款可以最大程度地减少攻击者的风险。如果你有操纵1000万美元ETH价格的想法,即使你个人拥有足够多的ETH,也可能不愿意冒险使用自己的资金。如果你借出1000万美元的闪电贷,就不太可能引起太多人的关注。各方都会从中获利,而且dYdX的抵押品池也不会被认为有问题,dYdX的风险在某种程度上消失了。