攻击者利用了闪电贷功能,该功能允许用户在同一交易中借贷和归还资金,而无需提供抵押物。ValueDeFi使用了Curve现货价格而攻击的详细步骤中,操纵发生在第5步和第6步,第7步的取款使用了错误的Curve函数进行数学运算。
这次攻击选择的时间点非常不利,正好在ValueDeFi团队准备开始一次AMA活动的20分钟前。不久后,一名用户提问为什么协议锁仓值(TVL)下降,而协议团队成员则声称这是一个UI漏洞。随后,有人在聊天室发布了攻击的etherscan链接。
攻击结束后,攻击者归还了200万美元,并附上了一段嘲讽的信息。ValueDeFi团队在AMA活动中承认了这次攻击。
这次攻击再次凸显了闪电贷的争议性。尽管闪电贷是DeFi领域的新功能,但近几个月来,它一直是许多攻击和漏洞的主要原因。然而,闪电贷也在加快我们对DeFi的学习过程,并有助于消除薄弱的协议。
闪电贷的出现告诉冒进者要保持谦卑,它们处在DeFi的顶点,这在其他地方是不可能的。这是DeFi的一个特性,不是对代码的利用。最强大的协议不会受到这些攻击的影响,有些甚至能够从中受益。
可以说,闪电贷提高了DeFi开发者的门槛。在新标准得到满足之前,人们和协议可能会遭到攻击,这会是痛苦的经历,但我们需要从中学习。DeFi将变得更强大,我们将为未来的用户开发更好的实践、更强的代码以及更安全的环境。