如何通過閃電貸操縱預言機價格？_EST:DAO Invest

作者：知魚|NestFans論壇描述：近期DeFi生態中發生了連續五次閃電貸操縱預言機價格的事故，這究竟是技術問題還是機制問題？正文：從今年二月份到現在，閃電貸攻擊頻頻發生。前幾日，知名白帽子SamSun在推特發文，具體闡述了DeFi為何頻繁發生價格預言機操縱攻擊的問題。北京時間11月15日凌晨，又一次操縱預言機價格的攻擊，去中心化金融協議ValueDeFi遭遇閃電貸攻擊，攻擊者通過復雜的方式從Value協議的金庫中轉移走了大約700萬美元，隨后歸還了200萬美元，并附上了一條帶有嘲諷意味的信息：“你們真的懂閃電貸嗎？”。而在攻擊發生前一日，ValueDeFi公開宣稱自己是DeFi領域最安全的協議，并且能夠抵抗閃電貸攻擊。就在筆者撰文的此刻，一則新聞出現，又一次閃電貸攻擊，使得去中心化共享經濟協議OriginProtocol損失700萬美元。僅僅三周時間，HarvestFinance、Akropolis、ValueDeFi、CheeseBank和OriginProtocol這五個DeFi協議接連遭到閃電貸攻擊，均為百萬美元級別以上，最終都是要投資者買單，至此，我們不得不認真去審視閃電貸操縱價格預言機的問題。閃電貸是什么？

Robinhood因未恰當披露如何應對高頻交易機構而遭到調查:金色財經報道，股票與加密貨幣投資平臺Robinhood因未能恰當地披露如何將客戶訂單發送給高頻交易機構而受到民事欺詐調查。根據報告，這項由美國證券交易委員會（SEC）進行的調查已進入“高級階段”，可能導致其遭到1000萬美元的罰款。[2020/9/3]

在DeFi的世界中，閃電貸是可以讓任何人無需許可、無需抵押，便可立即借出一大筆資金，在DeFi各協議之間進行操作套利，但在一個區塊內必須還回去，否則交易回滾，取消此次任務的執行。這相當于，閃電貸可以讓任何人在短時間擁有巨量資金從而具備操縱市場的能力，像巨鯨一樣游走在各個DeFi協議之間。簡單來說，就是你可以只消耗一點gas費，無需做任何抵押，便可以擁有巨額資金，并在1個區塊時間內歸還資金。為什么會有閃電貸？

早期在DeFi的借貸中，是需要超額質押，才能借到一筆錢，資金利用率很低。隨著DeFi生態的繁榮，智能合約之間可以互相支持調用，閃電貸也由此誕生。最早討論閃電貸的是Aave協議，第一筆flashloans也來自Aave協議。其初衷是為了提升資金利用率，確保用戶無需抵押來實現快速借貸。雖然閃電貸極大的提高了加密資金的利用率，但也同時埋下了一些安全隱患。一筆鏈上交易可以做很多事情，使得用戶可以在借款和還款間加入其它鏈上操作，這就存在了作惡的空間，攻擊者可以惡意的利用閃電貸借入、交換、存入并再次借入大量的Token，人為地在算法定價的DEX里操縱該Token的市場價格，這就出現了目前常見的閃電貸攻擊。應以區塊鏈的視角去看待閃電貸

大咖零距離 | 如何盡量的以小博大:1月3日20:00，金色盤面邀請實盤大V爆哥做客金色財經《大咖零距離》直播間，將分享《如何盡量的以小博大》，敬請關注，欲進群觀看直播掃描海報二維碼報名即可！[2020/1/3]

我們探討閃電貸的問題，需要從本質上去探討，從區塊鏈的本質來探討。在區塊鏈的世界里，是假定每個人都是作惡者，就像中本聰創建比特幣網絡，連自己都假定為作惡者，才能保證系統的安全和去中心化。所以，閃電貸在某種意義上，是讓每一個人都有機會成為“超級作惡者“，這是有必要的。如果這些“超級作惡者”成功作惡，直接的證明了DeFi協議的脆弱性，DeFi是不成立的，是需要進行革新和改進的。因為，這種成功也間接證明了一個真實的“巨鯨”進行此類攻擊也是可以完成攻擊的，如果DeFi生態連這一關都過不了，何談系統安全性，如何去承載萬億美金市值的加密市場呢？所以面對閃電貸，DeFi科學家們需要解決的真正問題是：閃電貸到底攻擊的是什么？是技術問題還是機制問題？閃電貸攻擊并不是DeFi生態中真正的系統性根源風險，究其本質在于Oracle攻擊，據samczsun.com網站研究人員發布的報告，在2020年，針對價格Oracle操縱行為非常多，迄今為止已導致逾3000萬美元損失，而且沒有放緩的跡象。該報告還指出，多年來基于可重入性的攻擊已經減少，而基于價格Oracle操縱的攻擊現在正在上升。這并不是簡單的代碼漏洞，其本質其實是機制的漏洞，換句話講就是：遭受閃電貸攻擊不是技術問題，而是底層邏輯的機制問題。關于預言機的探討

動態 | 200余名全球執法人員參加國際犯罪會議，探討如何制止加密犯罪:據TheNextWeb報道，本周，根據澳大利亞聯邦警察（AFP）的聲明，超過200名來自世界各地的執法人員將出席在布里斯班舉行的國際犯罪會議，共同探討尋找加密犯罪的方法。AFP代理局長Justine Gough表示，加密貨幣和加密通信等技術的進步已經改變了罪犯獲取和隱藏資產的方式，抓住并消除犯罪阻止他們獲利，是打擊有組織的犯罪網絡最有效的方法之一。[2019/11/14]

DeFi生態現在需要認清一個現實，價格預言機是DeFi生態最為重要的底層基礎設施！如果預言機問題解決不了，那么代碼質量再好的DeFi協議也都只是空中樓閣。如果想要在鏈上形成一個龐大的DeFi市場，首先第一步就是要在鏈上生成價格。但是區塊鏈無法在鏈上自動生成價格信息，需要依賴外部設施寫入價格信息，所以，“寫”這個動作就至關重要，如何讓價格信息以去中心化的方式直接在區塊鏈上生成出來，便是預言機要做的事情。現在市面上的預言機大部分是間接預言機，只是數據的搬運工，把數據上傳到鏈上，靠的是信譽節點喂價。接入各交易所API，各節點間進行驗證達成某種公允價格，上傳到鏈上供DeFi生態使用，這是非常危險的。去中心化的Oracle網絡，在多個交易所中接入API存在交易量和流動性差異，本身就加大了Oracle攻擊風險。而且閃電貸系統攻擊也證實了，這種低成本的上傳價格數據，不是在整個市場上進行驗證的價格給DeFi協議使用是不負責任的。就像SamSun所講：“如果選擇使用這些解決方案，你現在已將信任委派給第三方，你的用戶也只能這樣做”。這不是代碼技術問題，這是經濟邏輯和底層邏輯的問題，“寫”這個動作或者“寫”進去的數據沒有得到全市場驗證。我們來看一下NEST預言機的解決方案

動態 | 印度官員赴日本等國學習監管機構如何處理加密貨幣問題:據bitcoin 9月3日消息，印度證券交易委員會（SEBI）在其2017 – 18年度報告中透露，它已派出一些官員前往日本、英國、瑞士三個國家，研究監管機構如何處理加密貨幣問題。印度證券監管機構此次行動旨在與國際監管機構合作，深入了解其加密機制和系統，以改善其自身管理流程。[2018/9/3]

NEST預言機方案采用了逆向驗證的新思路，報價礦工要拿真金白銀去參與報價，而不僅僅上傳價格數據到鏈上合約中，在承擔風險以及付出報價手續費的情況下，有成本的價格輸出才是值得考量的，并且需要經過市場區塊驗證。有關NEST預言機的具體運行機制，我們以ETH/USDT價格為例進行說明：1、任意參與者可以將自己認可的價格傳入到報價合約，比如1ETH=400USDT，然后將這兩種資產按照價格比例，打入到報價合約里，初始是30ETH的規模，并收取ETH規模的0.3%作為手續費，進行挖礦，獲得NEST激勵；2、打進去后，等待T0時間，這個時間周期內任何人可以用報價者的價格去買走ETH或者USDT，如果T0內沒有人成交，則該報價被系統錄用，有人成交則該價格無效。超過這一時間，資產即可取回；3、如果有人愿意與報價者成交，那么他成交的同時，也要按照上述標準報一個新的價格進去，這樣就在初始報價P0后面形成p1、p2…價格鏈。4、成交者的報價規模，是他成交規模的beta整數倍，其中beta>1，這意味著價格鏈一定會隨著規模的擴大而最終終止，并且作惡者的成本幾何級增長，從而對抗攻擊行為。5、NEST價值：挖礦手續費及使用預言機需要支付一定的ETH費用，統一到分紅合約，分配給所有的流通NEST持有人。這樣的NEST分布式價格事實預言機方案在具體結果上的表現為：其數據具備準確性、靈敏性、抗攻擊性，而且能夠對數據進行直接驗證，且驗證者可以是任意第三方，沒有門檻限制；此外，NEST預言機網絡系統是高度分布式的，任何人都可以成為報價礦工，參與報價挖礦，自由進入或退出。在NEST報價機制里面，你用真金白銀去寫入的價格，要交給全市場驗證，只有活過25個區塊的價格數據才會被NEST預言機系統錄入，僅僅這一點，閃電貸攻擊就無法實現，因為閃電貸必須在一個區塊內及時還款，若想操控NEST預言機，幾乎不可能。最后，我們對當前的預言機現狀和發展趨勢做一個小結：1、中心化的預言機方案必然存在著中心化系統風險，且無法擺脫。2、價格數據上鏈的本質不是往鏈上“上傳”數據信息，而是要在鏈上形成價格事實；不管是中心化的上傳價格信息，還是以去中心化的方式上傳，都意味著鏈下價格事實先于鏈上產生。而真正的預言機系統，應該要做到鏈下價格事實同步產生于鏈上。3、NEST分布式價格事實預言機給出了一個開創性的預言機方案，其獨特之處在于：直接在鏈上形成一個價格事實，而其他間接預言機系統則只是往鏈上傳了一個價格事實，這是本質差異！4、此外，預言機價格形成的成本和信用規模，要能夠支撐遠超過該規模的DeFi，才是正確的預言機；NEST分布式價格事實預言機產生的每一條數據都是礦工用真金白銀去驗證的，且其鏈式結構具備高抗攻擊性。希望更多的DeFi生態科學家正視預言機問題，共同參與預言機這一基礎設施的建設，和維護基礎設施的網絡安全，促進DeFi生態繁榮發展，使其具備能夠承載萬億美金市場的可能性。

比特幣如何被盜：5種常見威脅:1、小偷在存儲服務中獲取您的帳戶的密碼；2你公開你的私鑰；3、黑客冒充比特幣收件人；4、你依靠一個不安全的第三方；5、出口騙局。[2017/12/9]

Tags：DEFIEFIDEFESTDefinixSquidGameDeFiDEFCDAO Invest

抹茶交易所