​8月30日,DeFi质押平台xToken称在29日遭到闪电贷攻击,此次攻击系xSNX合约漏洞被利用,并称本次持有人的损失约为450万美元,并将停止提供xSNX产品。

紧接着,Cream Finance也出现闪电贷攻击,损失约1800万美元。而Cream Finance会遭到闪电贷攻击,也和代币合约引入了一个可重入漏洞有关。

看完之后感觉币圈最近真不平静,前不久白帽攻击Poly Network盗取6.1亿美元的事情才告一段落,这不一天不到两个DeFi都因黑客使用闪电贷攻击,利用漏洞导致平台损失超2300万美元,钱包的安全性真的都没了。

闪电贷及DeFi的安全性问题再一次被摆在台面,让人不得不去思考怎么如何避免或者降低自身的风险。

什么是闪电贷?

闪电贷就是在一笔链上交易中完成借款和还款,无需抵押。由于一笔链上交易可以包含多种操作,使得开发者可以在借款和还款间加入其它链上操作,使得这样的借贷多了很多想象空间,也变得具有意义。

闪电贷概念最早由Marble协议于2018年提出。Marble自诩「智能合约银行」,其产品是很简单、但很具智慧的DeFi创新——通过智能化合约完成的零风险贷款。

闪电贷最初的营销标签是主要用于套利交易。Marble 的亮相声明表示:

「闪电贷可以帮助交易者从Marble银行贷款,在一家去DEX(去中心化交易所)中买币, 在另一家DEX以较高价格卖出代币,一笔自动化交易就可以让您将套利收益收入囊中。」

从实际的情况来看,目前看到的多数闪电贷也多被用于此类套利交易。

什么是闪电攻击

闪电攻击是指利用闪电贷和其他漏洞结合后,进行套利和操纵价格等攻击。

闪电贷本身的存在是没有漏洞的,但有心之人将其利用,以极低的成本撬动巨量资金,在多个协议间进行价格操纵或套利,就存在风险。

为什么闪电贷会成为黑客攻击的工具

之所以会有黑客利用闪电贷来对DeFi平台进行攻击,获取利益,主要有一下两个原因:

1、黑客攻击需要大量的前置资金(例如操纵 Oracle 币价格)。如果你在1000万美元的ETH投资获取为正的投资回报,这可能不算作是套利交易。

2、短期贷款可以最大程度地减少攻击者的污点。如果你有一个如何以1000万美元的ETH操纵Oracle币的想法,即使个人拥有足够数量的ETH,但可能也不想用自己的资金来冒险。如果自己的ETH可能沾染污点,交易所有可能会拒绝我的存款,洗钱难度大大增加、有风险!但如果用闪电贷贷出1000万美元,就没有太多人在意?各方都会有利益,且dYdX的抵押品池不会被认为是有问题的,dYdX的污染在某种程度上消失了。