Mango Market黑客事件與預言機的局限性_INV:ANC

來源：Medium

編譯：比推BitpushNews Derrick Chen

預言機是將有關某些鏈上或鏈下事件的信息傳輸到區塊鏈上的工具。這可以是任何東西，從價格到數量再到天氣，盡管在本文中我們將討論價格的預言。在 DeFi 中，價格預言機用于在鏈上發布加密貨幣價格數據，這是智能合約的關鍵數據輸入。通過價格預言獲取的最粗略的數據將包括一個沒有異常值管理的單一交易工具。在最強大的情況下，各種數據提供者（Kaiko 就是其中之一）從各種交易所獲取輸入的值，應用異常值檢測，并將聚合提供給像 Chainlink 或 Pyth 這樣的預言機，然后根據他們從許多數據提供者那里收到的值廣播一個總價值。

價格和預言機操縱

價格操縱漏洞是 DeFi 中最早和最常見的漏洞。在 2020 年夏天，隨著 DeFi 的騰飛，在預言機被廣泛使用之前，由于攻擊者會抬高流動性不足的代幣（通常是協議的原生代幣或治理代幣）的價格，導致大量協議的資金流失，從而導致膨脹他們自己頭寸的價值，并使用這個膨脹的價值來提取更多“有價值”的代幣，比如 ETH 或 USDC。在早期，協議通常會使用來自單個 DEX 的直接價格饋送，使得價格操縱相對容易。當協議會在推特上發布對漏洞利用的事后分析時，他們的回復中會充滿“Chainlink 得修復此問題”，而且通常情況下，他們是對的。

Avalanche公布升級版共識機制Snowman++:9月19日消息，Avalanche于9月16日公布升級版共識機制Snowman++，目前Snowman++已經在Fuji測試網上激活，主網上的激活時間將在后續公布。交易所、錢包無需做出改變。節點需要升級至AvalancheGo@v1.6.0。（Medium）[2021/9/19 23:36:31]

預言機為應對此類攻擊提供了一層保護，盡管并沒有使攻擊成為不可能。例如，看看借貸協議 Inverse Finance 發生了什么，該協議今年受到了兩次打擊，首先是在 Sushiswap 上對 INV-ETH 進行了相對簡單的操作。

所需要的只是以很大的 ETH 交換 INV 來操縱價格，Inverse Finance 的預言機發現了這一點，從而使攻擊者可以耗盡資金。在 Sushiswap 上，價格達到了近 4,000 美元的高位；在 Uniswap V2 上，超過 15,000 美元；在 Coinbase 上，它達到了 490 美元的高位。不幸的是，Inverse 使用的 Keep3r 預言機完全依賴于 DEX 價格數據（在他宣布創建這些預言機的博客文章中，創建者 Andre Cronje 承認它們沒有提供最佳安全性）。更強大的預言機可能會限制來自 DEX 的明顯錯誤值的影響，并在價格變動期間更多地依賴 Coinbase 和其他 CEX。

休斯敦火箭隊老板Tilman Fertitta旗下大部分餐飲品牌將接受比特幣付款:美國億萬富豪、休斯敦火箭隊老板蒂爾曼·費爾蒂塔（Tilman Fertitta）周二表示，他旗下的大部分餐廳將很快開始接受比特幣付款，并將此舉描述為加密貨幣主流化過程中“不可避免”的一步。費爾蒂塔是美國多品牌餐飲、酒店和娛樂巨頭Landry‘s的董事長兼CEO。

他說：“在接下來的90天里，我們可能會在所有的餐廳——或者80%到90%的餐廳中接受比特幣付款，你不再需要使用萬事達卡、維薩或美國運通卡。你可以使用比特幣或其他數字貨幣。”

費爾蒂塔表示，Landry‘s旗下高端餐廳品牌Mastro‘s的部分餐廳將從本周開始接受比特幣。該公司的其他品牌包括莫頓牛排館（Morton’s The Steakhouse）與阿甘蝦餐廳（Bubba Gump Shrimp）。

費爾蒂塔指出，這對他來說并不是什么新舉措，他在休斯頓的豪華汽車經銷商Post Oak Motor Cars從2018年就開始接受比特幣付款，“休斯敦火箭隊也在接受。”（U.Today）[2021/4/28 21:07:08]

但是，這里的預言機并沒有任何責任。預言機只是為協議提供數據的工具。在這種情況下，預言機完全按照設計運行：它使用較短的 TWAP（由協議設置）跟蹤 DEX 上的 INV 價格，并且沒有異常值檢測。只要預言機提供者有足夠的透明度，DeFi 協議就有責任了解他們使用的預言機是如何運作的，以及如何操縱用作輸入的價格饋送。對于在少數或沒有中心化交易所提供的非流動性和/或小市值代幣，價格操縱和預言機操縱相對容易；協議應認識到這一點并采取措施減輕其影響。

美國波特蘭搖滾樂團Portugal. The Man推出粉絲代幣:1月15日消息，美國波特蘭的迷幻搖滾樂團“Portugal. The Man”已經在基于以太坊的Rally 平臺上推出了其加密貨幣粉絲代幣PTM Coin。該代幣將為粉絲提供各種活動和福利的獨家訪問權，包括直播派對、之前未發布的歌曲等。（CoinDesk）[2021/1/15 16:12:26]

預言機的局限性

預言機不是靈丹妙藥，它有兩個主要限制：

1.他們無法實施風險管理來限制協議市場操縱措施的影響

2.輸出只能與輸入一樣好（或者一樣差）。

第一點是詼諧的，但比以往任何時候都更相關；去中心化永續期貨交易所的爆炸式增長——由 Avalanche 和 Solana 等 L1 和 Arbitrum 等以太坊 Layer 2 上更便宜的交易帶來——使反市場濫用措施（如頭寸限制）的重要性成為人們關注的焦點。例如，大約一個月前，一位交易員利用了 GMX 的預言機定價——它允許用戶以預言機價格開大頭寸而沒有滑點——以及精簡 AVAX 訂單簿以從不自然的價格變動中獲利。

Adamant Capital創始人：美國比特幣投資者可能面臨稅務難題:8月5日早間，Adamant Capital創始人Tuur Demeester發推稱，持有流動資產很困難。美國的比特幣投資者可能會想象，一個美國國稅局的職員站在他們的院子里，舉著一個大牌子，牌子寫著出售他們的比特幣需要繳納多少資本利得稅。[2020/8/5]

Mango Markets 最近的漏洞利用（或者，根據您的意見，“高利潤的交易策略”）證明了第二點。簡而言之，攻擊者（或交易者）開立了 MNGO 永續期貨多頭頭寸，推高了 MNGO-PERP 所基于的預言機價格，并使用了未實現且短暫的“利潤”從 Mango 借款超過 4 億美元，耗盡了所有資金——價值超過 1 億美元。

這個時間線有什么啟示？對我來說，整個過程相對容易。無論出于何種原因，很少有 CEX 提供 MGNO（甚至 Binance 或 Kucoin！），只有 FTX、AscendEX 和 BingX 是具有任何有意義交易量的唯一交易所。在漏洞被利用之前，FTX 訂單薄得令人難以置信。

聲音 | Adamant Capital創始人：區塊獎勵消失后，比特幣亦不會失去其重要性:據AMBcrypto消息，比特幣區塊鏈安全性取決于礦工用自己的系統維護網絡，礦工們也得到了比特幣作為獎勵，這讓他們保持了積極性，進而也保證了網絡的安全。然而這種獎勵是有期限的，有人擔心在獎勵停止后，比特幣的安全性可能會受到威脅。比特幣開發者Tamas Blummer就這種情況評論稱，比特幣區塊鏈的直接使用在未來將“貴得離譜”。 Adamant Capital創始人Tuur Demeester就比特幣未來的發展方向提出了相關比較。Demeester表示，比特幣的現狀類似于石油，兩者之間有很多“可能的相似之處”，比如同樣都花了數年時間才被確定為潛在的主要經濟因素，都面臨著早期的基礎設施問題，而且明顯增長緩慢，但又都表現出快速采用的特征。Demeester想以此來說明，隨著時間的推移，當區塊獎勵消失時，比特幣不會失去其重要性，而是將作為一種虛擬資產得到更多的理解和提煉，并鞏固其作為一種有價值資產的地位。[2019/5/31]

在價格變動前的幾個小時內，每個方向距離中點 1% 的總市場深度剛剛超過 2 萬美元。 在 UTC 晚上 10:45，賣出深度（紅色）為 957 美元，買入深度（綠色）僅為 743 美元。

Mango 使用的 Pyth MNGO-USD 預言機反映了 0.155 美元的高價。在檢查每個發布者（即為預言機提供價格的數據提供者）時，有趣的是他們的收集和異常值檢測方法有何不同：一個發布者達到了 0.829 美元的高位，而另一個達到了 0.07 美元的高位。

預言機按設計運行，Mango 團隊承認這一點，并表示預言機提供者沒有過錯。代幣的流動性太差了，預言機的輸出只和它的輸入一樣好。

接下來是什么？

希望 DeFi 協議已經意識到，僅僅使用 Chainlink 或 Pyth 價格預言機并不能免除他們的風險管理。如前所述，去中心化期貨交易所是此類攻擊的主要目標，因為它們本質上是借貸協議的杠桿版本，通常是這些攻擊的標志。

正如 FTX 首席執行官 Sam Bankman-Fried 所詳述的那樣，FTX 的風險引擎使用自己的異常值檢測形式，并對較大的頭寸收取更高百分比的保證金（在 Mango Markets 上的 MNGO 頭寸必須在 FTX 上完全抵押），等等檢查。其他人則建議，可以根據預言機提供的流動性衡量標準（如買賣差價）來建立頭寸限制。這可能會給攻擊增加一定程度的難度，但我的直覺是，一個老練且資本充足的攻擊者將能夠欺騙流動性，尤其是在僅在少數交易所提供代幣的情況下。

值得一提的是，參與 Mango 漏洞利用的一名攻擊者在推特上表示，借貸協議應存儲 24 小時滾動預言機價格，并要求新頭寸在當前預言機價格和滾動價格下均有效。這實際上似乎是一個很好的解決方案

隨著熊市的拖延，我預計會看到更多、資本化程度更高的利用這種方式的嘗試。上面提到的同一位攻擊者詳細介紹了 Aave V2 的理論利用，使用 1 億美元的啟動資金來抽取 REN，并可能從協議中消耗 5 億美元。

解決方案的組合——使用預言機、限制（或不提供）對非流動性代幣的杠桿作用、使用更長的滾動價格來開設新頭寸等等——對于防止未來此類攻擊至關重要。

比推 Bitpush News

媒體專欄

閱讀更多

金色早8點

區塊律動BlockBeats

金色財經

1435Crypto

吳說區塊鏈

blockin

Block unicorn

Foresight News

Odaily星球日報

Bankless

DeFi之道

Tags：比特幣MANANCINV比特幣是什么材質做的CARTMANCharged FinanceDecentralized Community Investment Protocol

酷幣交易所