DeFi時代的攻擊方式：喂價預言機操縱_DEFI:DEF

想象一下，你使用去中心化的借貸平臺。用戶可以將資產作為抵押品存入平臺，也可以借入其他資產，但最高金額取決于他們存入的資產的價值。讓我們假設一個用戶想用ETH作為抵押品借入美元，ETH的當前價格是400美元，抵押比率是150%。如果用戶存款375ETH，意味著存入了150,000美元的抵押品。他們可以每1.5美元的抵押品借入1美元，所以他們可以從系統借入最多100,000美元。

但是當然，在區塊鏈上它不是簡單的聲明1ETH值400美元，因為惡意用戶可以簡單的聲明1ETH值1000美元，然后從系統中拿走所有的錢。因此，對于開發者來說，尋找最適合的喂價預言機是很誘人的，比如當前Uniswap、Kyber的現貨價格，或者另一個去中心化的交易平臺。

DeFi協議Crema Finance完成540萬美元私募融資，啟明創投領投:6月17日消息，據官方公告，集中流動性DeFi協議Crema Finance完成540萬美元私募融資，啟明創投領投，IDG Capital、Apollo Capital、Everest Ventures Group、 Evernew Capital、AGE Fund、 Big Brain Holdings、LongLing Capital、Summer Capital、Mentha Partners、FineWill Capital、Zonff Partners、Cipholio Ventures等參投。

據悉，Crema Finance是Solana主網上的集中流動性協議，其在Solana主網上部署了集中流動性做市商 (CLMM) 算法，允許用戶在指定的價格范圍內添加流動性。[2022/6/17 4:34:32]

乍一看，這似乎是正確的做法。畢竟，只要你想買進或賣出ETH，Uniswap的價格總是大致正確的，因為任何偏離都會被套利者迅速糾正。然而，事實證明，去中心化交易平臺的現貨價格在交易過程中可能嚴重不正確，如下面的例子所示。想想Uniswap儲備系統是如何運作的。價格是根據儲備金持有的資產數量計算的，但儲備金持有的資產隨著用戶在ETH和USD之間的交易而變化。如果惡意用戶在從你的平臺貸款之前和之后進行交易會怎么樣？在用戶申請貸款之前，他們需要花費200萬美元購買5000個ETH。Uniswap交易所現在計算的價格是1ETH=2,600美元。那么現在，他們的375ETH可以作為抵押品，抵押出價值高達650,000美元的資產。最后，他們用200萬美元換回原來的5000ETH，這將重新調整價格至正常狀態。結果是，貸款平臺損失了550,000美元。

幣安APP上線首個DeFi項目小程序PancakeSwap:3月17日消息，幣安移動客戶端上線首個DeFi項目PancakeSwap以及幣安DeFi錢包的小程序。用戶可以在最新版幣安移動端中直接訪問該小程序，創建DeFi錢包、充提資金和使用PancakeSwap，用戶可以直接在幣安客戶端體驗去中心化應用。幣安產品主管Mayur Kamat表示：\"Ce-DeFi是未來幣安發展的重要戰略，作為該戰略的一部分，PancakeSwap小程序只是DeFi項目被集成到幣安生態的開始，未來幣安小程序功能將向更多去中心化項目開放，為用戶打造流暢的Ce-DeFi體驗。\"即日起，該小程序將逐步向幣安移動端用戶開放。用戶只需在幣安移動應用的首頁從頂部向下滑動或直接在小程序市場（Binance Marketplace）中搜索項目名稱，即可找到小程序市場以及PancakeSwap。[2022/3/17 14:03:23]

DeFi協議Yield Protocol宣布啟動質押計劃和治理DApp:金色財經報道，DeFi協議Yield Protocol宣布啟動質押計劃和治理DApp。至此，用戶可參與為資金池提供流動性以獲得代幣收益；與此同時，協議用戶還可以通過代幣投票參與未來協議升級與決策。（u.today）[2020/12/21 15:57:34]

這個案例研究說明了在使用去中心化的交易作為喂價預言機時最常見的錯誤——攻擊者在交易過程中幾乎完全控制價格，并試圖準確地操縱價格就像在天平安定下來之前讀出秤上的重量。這樣的話，你可能會得到錯誤的號碼，并根據情況它可能會造成很大的損失。SynthetixMKR操縱2019年12月，Synthetix因為預言機價格操縱而再次遭受攻擊。值得注意的是，它跨越了鏈上價格數據和鏈外價格數據之間的障礙。Reddit用戶u/MusaTheRedGuard注意到，一個攻擊者正在對sMKR和iMKR(反MKR)進行一些非常可疑的交易。攻擊者首先購買了MKR上的一個多頭倉位，然后從Uniswapeth/MKR對購買了大量MKR。等了一段時間后，攻擊者以iMKR的價格賣掉了他們的MKR，并把它們賣回了Uniswap。然后他們重復了這個過程。在幕后，攻擊者通過Uniswap進行的交易允許他們隨意調整Synthetix上MKR的價格。這可能是因為Synthetix所依賴的非鏈式價格源實際上依賴于MKR的鏈上價格，而且沒有足夠的流動性讓套利者將市場重新調整到最佳狀態。

火幣即將開啟“DeFi挖礦”六期，新增支持USDT和ETH:據官方消息，火幣全球站將于10月9日20:00 (GMT+8) 開啟“鎖倉HT/HPT/USDT/ETH參與DeFi流動性挖礦”六期活動。本次活動新增支持USDT和ETH，共提供 2000萬USDT 等值的區塊鏈資產用于DeFi流動性挖礦，挖礦產生的獎勵將全部回饋給參與活動鎖倉HT/HPT/USDT/ETH的用戶。[2020/10/9]

這個事件說明了一個事實，即使你認為你使用的是鏈外價格數據，實際上你可能仍然在使用鏈上價格數據，而且你可能仍然暴露在使用這些數據所涉及的復雜性中。ThebZx黑客攻擊2020年2月，bZx在幾天時間內兩次遭到黑客攻擊，攻擊金額約為100萬美元。你可以在這里找到palkeo對這兩次攻擊給出的技術分析，但是現在讓我們分析一下第二次黑客攻擊。在第二次攻擊中，攻擊者首先使用ETH購買了Kyber上幾乎所有的sUSD。然后，攻擊者從Synthetix購買了第二批sUSD并將其存放在bZx上。攻擊者用sUSD作為抵押，借來了ETH的最大數量。然后他們又把sUSD賣回給了Kyber。如果你一直在關注，你會發現這本質上是同樣的低抵押借貸攻擊，只是使用了不同的抵押品和不同的去中心化交易平臺。HarvestFinance遭套利事件2020年10月26日，一個匿名的用戶使用一種你現在可能已經猜到的技術入侵了HarvestFinance的資金池。可以在這里閱讀官方的事后剖析，但是我再次總結一下:攻擊者通過執行交易降低了Curve池中USDC的價格，以降低后的價格進入了Harvest池，通過逆轉早期的交易恢復了價格，并以更高的價格退出了Harvest池。這造成超過3300萬美元的損失。我該如何保護自己？

幣贏CoinW將于8月12日19:00在DeFi專區上線STAKE:據官方消息，幣贏CoinW將于8月12日19:00在DeFi專區上線STAKE/USDT交易對，開啟“充值送STAKE,-0.1%Maker費率\"活動；據悉，xDai Chain是一個由MakerDAO基金會與POA Network聯合推出的美元穩定幣區塊鏈，也是一個與以太坊兼容的側鏈，其使用穩定幣xDai（由以太坊上的去中心化穩定幣Dai在側鏈上按照1:1比例兌換而來）作為基礎代幣用于交易和支付gas費用，并通過STAKE代幣，借助獨特的權益證明算法—POSDAO來進行記賬和治理。[2020/8/12]

到目前為止，我希望你已經學會了識別共同的線索-它并不總是明顯的，你正在使用一個喂價預言機，如果你沒有遵循適當的預防措施，攻擊者可以欺騙你的協議，把你所有的錢寄給他們。雖然沒有可以規定的一刀切解決方案，但是這里有一些解決方案在過去曾經對其他項目起過作用。也許其中一個也適用于你。淺水市場，不要下潛就像一頭扎進游泳池的淺水區一樣，一頭扎進沒有流動性的市場是痛苦的，而且可能會導致永遠改變你的生活的巨大開銷。在您考慮計劃使用復雜的特定價格預言機之前，請考慮該標記是否具有足夠的流動性以保證與平臺集成。一鳥在手勝過兩鳥在林看到Uniswap的潛在代幣匯率可能會讓人著迷，但只有當你真正點擊交易并且交易成功后代幣在你的錢包里的時候，才是最終的結果。同樣，要確定兩種資產之間的匯率，最好的方法就是直接進行資產互換。這種方法很好，因為沒有后悔和假設。然而，它可能不適用于那些要求持有原始資產協議，如貸款平臺。幾乎去中心化的預言機總結依賴于鏈上數據的預言機模型的問題的一種方法是，它們有點太新了。如果是這樣的話，為什么不人為地推遲一下呢？編寫一份合約，在Uniswap這樣的去中心化交易平臺上用最新的價格更新自己，但只有在一小群特權用戶提出要求時才這樣做。現在，即使攻擊者可以操縱價格，他們也不能讓你的協議真正使用它。這種方法實現起來非常簡單，而且速度快，但也有一些缺點——在鏈上擁堵的時候，你可能無法按照自己的意愿快速更新價格，而且仍然容易受到內外夾擊。此外，現在你的用戶需要相信，你實際上會保持價格更新。減速帶操縱價格預言是一個時間敏感的操作，因為套利者總是在觀望，并且喜歡優化任何次優市場的機會。如果攻擊者想要最小化風險，他們會想要在一個交易中操縱一個喂價預言機，這樣套利者就不可能在中間跳躍。作為一個協議開發人員，如果系統支持它，那么在用戶進入和退出系統之間實現短至1區塊的延遲就足夠了。當然，這可能會影響可組合性，而且礦商與交易員的合作正在增加。在未來，壞的參與者可能會在多次交易中操縱價格，因為他們知道與他們合作的礦商將保證沒有人能跳到中間，從他們的收益中分一杯羹。時間加權平均價格Time-WeightedAveragePrice(TWAP)UniswapV2為鏈上開發人員引入了TWAP預言機。文檔對預言機提供的確切安全保證進行了更詳細的描述，但是一般來說，對于長時間的大型交易池，沒有區塊擁塞的情況下，TWAP預言機對預言機操縱攻擊具有很強的抵抗力。然而，由于其實施的性質，它可能無法對市場高度波動的時刻作出足夠迅速的反應，而且只適用于已經具有流動性的資產。M-of-N記者如今許多大型項目都采用這種方法:Maker運行一系列由可信實體操作的價格信息提要，Compound創建了Open預言機，并提供Coinbase等記者功能，Chainlink收集來自Chainlink運營商的價格數據，并在鏈上發布。請記住，如果您選擇使用這些解決方案之一，那么您現在已經將信任委托給了第三方，您的用戶也必須這樣做。要求記者手動在網上發布最新消息也意味著，在市場高度波動和鏈上擁堵的時候，價格可能無法及時更新。總結

喂價預言機是一個至關重要的，但經常被忽視的組成DeFi安全的部分。安全地使用喂價預言機是困難的，有很多方法可以把你自己和你的用戶都搞砸了。在這篇文章中，我們討論了過去的價格預言者操縱的例子，并且確定在交易過程中閱讀價格信息可能是不安全的，并且可能導致災難性的金融損失。我們還討論了其他項目過去用于打擊價格Oracle操縱的一些技術。不過最終，每種情況都是獨一無二的，你可能會發現自己不確定是否正確地使用了喂價預言機。如果是這樣的話，盡管去尋求建議吧！

Tags：ETHDEFIDEFEFIBitcoin and Ethereum Standard TokenDefiDollar DAOBTCDEFIRestaurant DeFi

SHIB最新價格