文章中表示,此次闪电贷攻击共造成约700万美元的损失,其中包括Origin团队和创始人员工存入的超过100万美元资金。Origin团队正在全力以赴确定漏洞原因,以及确定是否能够收回资金,并强调,团队不会离开,此次攻击事件不是欺诈,也不是内部骗局,称黑客技术卓绝,愿意聘请其为安全顾问,如果黑客全额归还资金,将不对其进行追踪也不采取法律措施。目前还没有进一步的进展。
Origin特地提醒用户,目前已取消了金库存款,不要在Uniswap或Sushiswap上购买OUSD。Origin团队也表示正在采取措施以追回资金,包括和交易所以及其他第三方合作,以识别黑客地址,并对资金进行冻结。黑客使用了TornadoCash和renBTC来洗钱和转移资金,目前还有7137枚ETH和224.9万枚DAI留在黑客钱包中。
受到攻击事件的影响,OUSD的价格急剧下降,跌至0.13美元,同时在Uniswap中的OUSD流动性也从16日的35万美元跌至12万美元。
根据Origin团队目前的分析,攻击者利用了一笔小额贷款和OUSD合同中的漏洞来启动所谓的“变基”,在将SushiSwap和Uniswap上新产生的代币交换为USDT之前,攻击者夸大了协议中OUSD代币的供应。
最近三周内,已经有多个DeFi项目遭受了闪电贷攻击,包括HarvestFinance、Akropolis、ValueDeFi和CheeseBank,损失都在百万美元以上,大部分损失最终都被散户承担。那么闪电贷攻击到底是什么?为什么DeFi总是容易受到黑客攻击?
闪电贷是一种常见的攻击方式,属于DeFi生态中闪电贷贷款的一部分。与传统的DeFi借贷不同,闪电贷不需要用户提供抵押物即可实现借贷,只要在同一个区块中偿还即可。但这也带来了安全隐患。许多用户利用闪电贷进行套利操作,通过在不同的DEX中操纵Token价格来获取利润。
闪电贷的出现在一定程度上提高了资金利用率,但也给DeFi生态带来了新的风险。闪电贷攻击并非DeFi生态的根本风险,更多地是针对Oracle(预言机)的攻击。Oracle是连接链上DeFi应用和链下数据的中间件,由于存在交易量和流动性差异,Oracle攻击风险增加。
许多闪电贷攻击并不涉及区块链和智能合约的漏洞,这使得防止闪电贷攻击变得困难,项目在攻击发生时也没有太多时间做出反应。CertiK安全公司提出了两点建议,一是从控制价格差的角度思考,建立价格同步机制或采用同一种价格预言机;二是从执行套利交易的智能合约角度思考,采取额外的验证步骤或提高交易费用,以减少套利事件的发生。
闪电贷带来了金融的创新,是DeFi去中心化金融所带来的新金融体验。然而,DeFi的风险也显而易见,但这并不是终点,DeFi的完美试验结果还有待等待。