资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
DeFi生态系统中的潜在漏洞暴露
去中心化金融(DeFi)生态系统中的一个潜在漏洞已被揭露,该问题在周五中午之前将无法得到修复。这一披露发生在两起利用DeFi工具获利100万美元的事件之后仅数日。
漏洞详情与风险
伦敦帝国理工学院的博士候选人Dominik Harz在Medium上发布了一篇文章,详细介绍了这一潜在的弱点。该问题主要集中在闪电贷和稳定币Dai的概念上。尽管他已通知了运行Dai的Maker,但该问题直到明天才会进行投票表决。在此期间,7亿美元处于风险之中。
Harz写道:“攻击者将能够窃取价值7亿美元的ETH抵押品,并能够随意铸造新的Dai。由于Dai在其他协议中用作抵押品,这种攻击将蔓延至整个DeFi领域。”
闪电贷的概念与风险
闪电贷是DeFi领域中的一个新概念,同时也是高风险的。它本质上是借出资金的行为,而不要求任何抵押品以防贷款违约。它们存在的唯一原因是贷款在同一笔交易中得以偿还。这是可能的,因为在以太坊——所讨论的区块链平台——交易可以由多个组件组成。
因此,在前几天的第一次DeFi漏洞利用中,交易者进行了一笔大交易,触发了跨多个DeFi协议的一系列操作。在交易中,他们进行了闪电贷,将资金用于非法目的,获利3.5亿美元,并偿还了贷款。贷款人是安全的,因为他们知道——由于区块链的力量——如果资金没有回来,交易将被(某种程度上)逆转,因此它从未发生过。无论如何,他们都能保住自己的钱。
闪电贷如何被用于攻击Maker
现在,我们来看看Harz如何论证闪电贷可以被用于攻击Maker。
MakerDAO是一个运行Dai稳定币的去中心化治理系统。治理代币MKR的持有者投票决定Dai的编程方式。但利用治理系统是有可能的。
Harz说:“基本思想是积累足够的MKR代币,用攻击者的恶意治理合同替换现有的治理合同。然后,恶意治理合同能够赋予攻击者对系统的完全控制权,并提取系统中的任何抵押品,以及创建任意数量的新Dai。”
然而,当之前提出这种攻击向量时,想法是众筹执行所需的MKR代币。这就是闪电贷的用武之地。它们使得攻击者更容易积累大量的MKR代币,并用它们接管系统。
他们不仅可以使用闪电贷购买大量MKR,还可以使用闪电贷操纵MKR的价格——就像最近的DeFi攻击一样。随着MKR价格的降低,更容易抢购更多的代币。
Harz表示,这种策略可以与众筹策略结合使用,以低成本获得最大效果。Maker定于明天就阻止闪电贷影响治理机制的解决方案进行投票——但时间紧迫。
