黑客如何欺騙閃電貸和套利的DeFi 專案
自去年以來,DeFi市場發生了數十起安全事件,DeFi是一個新興的投資行業,有很多風險,但這也意味著用戶可用的空間可能很少,當用戶知之甚少時,名義上的交易會讓投資者感到不舒服,在一個中心化的系統中,銀行必須持有一定數量的資本作為準備金,以保持穩定和現金,當用戶需要的時候,用戶可以隨時動用自己的錢,
閃電貸款
對于DeFi抵押品來說,重要的是保證用于擔保貸款的價值,當你在DeFi獲得抵押貸款時,貸款是以你的存款金額作為抵押的,幾乎所有的DeFi貸款交易都需要至少相當于貸款價值80%的抵押品,
閃貸是指在區塊鏈交易結束前需要償還的無擔保貸款;如果沒有償還,智能合約將逆轉交易,由于貸款的智能合約必須在與貸款相同的交易中完成,因此借款人必須在交易結束前使用其他智能合約幫助其與貸款資金進行即時交易,大多數閃電貸款攻擊涉及使用大量資金操縱代幣價格,
Pluto Network
Pluto是一個開放的去中心化數字資產管理協議,在這份協議中,Pluto提出了一個鑰匙打開金庫的概念,在Plouto平臺上,資產管理者可以選擇標準化投資策略,也可以制定和設計自己的協議和策略,這次襲擊發生在2020年10月29日,攻擊者最終通過操縱 YPool 上的 USDT 股票和 Plouto Vault 上的兩筆交易(存款和取款)獲利 175,669 DAI,在此攻擊中,將采取以下步驟,
- 步驟1:攻擊者從AAVE借了900萬USDC的閃貸,
- 步驟2:攻擊者使用900萬USDC閃貸在YPool中交換8,212,076.282 USDT,本次交易的匯率為1 USDT = 1.0959 USDC,在此步驟中,攻擊者通過大額交易操縱了YPool中的USDC/USDT代幣對的存量,大量的USDC取代USDT導致了YPool中USDT存量減少,
- 步驟3:攻擊者從UniswapV2借了200萬USDT的閃貸,
- 步驟4:在這個步驟中,攻擊者對Plouto發起了攻擊,由于Plouto Vault的pUSDT鑄幣量是基于YPool上的USDT量,因此攻擊者將第三步出借的200萬USDT存入Plouto Vault,并鑄了大量的pUSDT,具體金額為4221996.36,本次交易的匯率是1 USDT = 2.1109 pUSDT,
- 步驟5:為了使這種攻擊的效果最大化,攻擊者打算調整YPool中的USDT/USDC代幣數量,從而提高pUSDT相對于Plouto Vault中的USDT的價格,在此交易中,攻擊者將第二步得到的8,212,076.282 USDT替換為8,990,779.02 USDC,交易匯率為1 USDT = 1.0948 USDC,
- 步驟6:攻擊者使用他擁有的4,221,996.36 pUSDT從Plouto Vault中提取2,201,031.728 USDT,基于攻擊者在第五步中對YPool中的USDT/USDC代幣流動性的重新調整,攻擊者將在這次替換中獲得額外的2010317.28 USDT,本次交易的匯率是1 USDT = 1.9181 pUSDT,攻擊者在第四步中使用這一步和USDT/pUSDT匯率差來套利并獲得額外的2010317.28 USDT,
- 步驟7:返還2,006,200 USDT閃存貸款(在UniswapV2中),
- 步驟8:攻擊者將UniswapV2-USDT池中的17,320 USDC替換為17,298 USDT,交換出來的USDC將用于償還AAVE的第一筆快速貸款,
- 步驟9:歸還9,008,100美元的USDC閃貸(在AAVE),
- 步驟10:將175,669 DAI利潤發送給攻擊者EOA,
套利
套利是指利用不同市場之間的價格差異來產生利潤,套利在不成熟的市場中很常見,比如DeFi和加密貨幣,隨著流動性的增加和市場效率的提高,套利機會逐漸減少,
如果一個資金池被操縱(比如通過閃貸)來提供套利空間,那么流動性提供者最終可能會像Saddle Finance那樣失去他們的資金,雖然這只是一種套利行為,但用戶仍然會因此遭受經濟損失,因為專案方無法保護他們不受套利者的影響,而這些套利者只在代碼的限制內交易,漏洞經常出現在真實的代碼中,這些漏洞用于在不強制操作任何東西的情況下提取資金,
這些型別的方法為黑客所熟知,因為他們只能使用已撰寫的代碼進行操作,不管我們叫他們黑客還是黑客攻擊,最終結果都是一樣的,如果存在漏洞,最侄訓有人利用它們,沒有人能夠阻止這種情況的發生,
Source:https://medium.com/cryptocurrencies-ups-and-down/how-hackers-fool-the-defi-projects-such-as-lightning-loan-and-arbitrage-7c101385826
關于
ChinaDeFi - ChinaDeFi.com 是一個研究驅動的DeFi創新組織,同時我們也是區塊鏈開發團隊,每天從全球超過500個優質資訊源的近900篇內容中,尋找思考更具深度、梳理更為系統的內容,以最快的速度同步到中國市場提供決策輔助材料,
Layer 2道友 - 歡迎對Layer 2感興趣的區塊鏈技術愛好者、研究分析人與Gavin(微信: chinadefi)聯系,共同探討Layer 2帶來的落地機遇,敬請關注我們的微信公眾號 “去中心化金融社區”,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/339241.html
標籤:區塊鏈
上一篇:區塊鏈綜述