DeFi安全风险解析:闪电贷、价格操纵攻击和降低风险的协议设计思路
价格操纵攻击涉及操纵去中心化交易所(DEX)上代币的价格,以借出比抵押品实际价值更多的资金。
原文作者:Revelo Intel
原文标题:Flash loan&Price Manipulation Attacks
原文来源:revelointel
编译:深潮 TechFlow
在加密货币领域,DeFi 成为了一个重要的发展方向。然而,随着其市场份额的增长,DeFi 平台也面临着越来越多的安全威胁。
最近,Moremoney 的联合创始人兼产品负责人Sirmoremoney 在 Twitter Spaces 上讨论了一些关于 DeFi 安全的话题,特别是针对抵押品价格操纵和闪电贷攻击等方面的风险。Revelo Intel 总结了此次 Spaces 的发言,并讨论如何采取措施来缓解这些风险。
涉及合约漏洞的攻击/闪电贷攻击
闪电贷攻击涉及利用短时间内无需抵押即可借款的能力来操纵价格或窃取资金。以 Platypus 攻击为例来说明涉及合约漏洞的攻击。
攻击者从 Aave 借出了 4400 万美元的闪电节点,将其存入 Platypus,并借出 4200 万美元。然后,他们利用合约中的漏洞进行了紧急提款,提取了初始存款并保留了贷款。这次攻击导致了Platypus Finance2 亿美元的资金损失。
然而,他们只能以大约 850 万美元的价格交换剩余的 4200 万美元的USB。Platypus 的安全顾问和内部团队能够收回 240 万美元,而 Feather 和 Circle 则冻结了卡在合约中的资金。攻击者后来也在法国被逮捕。
这次攻击是由低级黑客发起的,到目前为止已经有 70%的被盗资金已经被追回。
从这次攻击中得到的教训是,协议需要有适当的安全措施,例如限制谁可以调用紧急提款功能,并实施债务上限以限制可能造成的损失。
紧急提款功能
例如,Moremoney 有一个只能由协议本身或治理调用的救援功能。
他们强调了限制谁可以调用此功能的重要性,就像在 Platypus 的此次情况中并没有这样做。
抵押品价格操纵攻击
价格操纵攻击涉及操纵去中心化交易所(DEX)上代币的价格,以借出比抵押品实际价值更多的资金。
关于【DeFi安全风险解析:闪电贷、价格操纵攻击和降低风险的协议设计思路】的延伸阅读
DWF Ventures:Ton 生态全解析
Notcoin和其他小程序在加密迷你应用程序时代广受欢迎,其中@ton_blockchain通过Telegram拥有强大的分销渠道。该平台类似于微信小游戏,用户可以轻松访问和互动。著名的点击赚钱游戏@thenotcoin已吸引了数千万用户,DeFi在过去两个月迅速崛起,@ton_blockchainDeFi TVL增长了13倍,超过4亿美元。领先的DEX包括@ston_fi和@dedust_io,流动质押平台@tonstakers和@bemo_finance表现突出,@Tether_to的合作伙伴关系扩展了@ton_blockchain上的USDT,并推动了Telegram上的支付。生态系统得到了@ton_starter启动平台和2.5亿美元的TON生态系统基金的支持。
币安研究:5 月加密市场趋势报告摘要
5月,加密货币市场总市值增长8.6%,DeFi市场TVL上涨21.7%,NFT市场总销售额下降41%。美国证券交易委员会批准现货ETH ETF,美国众议院通过《21世纪金融创新与技术法案》,推动市场上涨。排名前十的代币中,Solana表现最强劲,价格上涨33.9%,DeFi TVL上涨33.4%。但NFT市场大幅下滑,总销售额下降41%。
以 Mango 和 Loadstar 的攻击为例子。这些攻击导致用户遭受了重大损失,并显示了监控抵押品价格和实施措施以防止价格操纵的重要性。
在这两种情况下,攻击者操纵了 DEX 上代币的价格,以借出比抵押品实际价值更多的资金。选择价格预言机对于协议的安全性至关重要,使用现货价格预言机总是一个糟糕的主意,因为闪崩或其他价格波动可能导致重大损失。
减轻风险的措施
这些措施包括对智能合约进行彻底审计,实施多因素认证和其他安全措施,以及隔离与不同资产和借贷池相关的风险。
隔离的 CDP 池
隔离的 CDP(抵押债务头寸)池对于帮助减轻与多因素池相关的风险非常重要。
他们指出,每个抵押资产都是隔离的,这意味着如果攻击者能够利用其中一个资产,他们将无法从整个池中提取资金。
隔离的负债上限
隔离的负债上限可以限制针对每个抵押资产可以借入的金额。
他们认为,这有助于防止攻击者借入大量资金,并减轻与多因素池相关的风险。
全局负债上限
协议可以实施全局负债上限,限制平台上所有资产的借入总额。
这有助于防止平台过度杠杆化,并减少任何单个攻击的潜在影响。
免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:Revelo Intel,如有侵权请联系删除。转载或引用请注明文章出处!