閃電貸(Flash Loan)是去中心化金融世界中一種相對較新的無擔保貸款。最初由 Aave 於 2020 年初率先推出,此後它越來越受歡迎,並在許多借貸協議中可用。
許多加密貨幣行業專家已成為閃電貸的真誠擁護者,因為它們提供了創新的套利方式、執行快速交易,並提供了許多以前在傳統金融中無法實現的其他新穎功能。
我們大多數人都熟悉傳統貸款,貸方將錢貸給借款人,然後在固定的時間段內,以固定的溢價或除本金之外的利息償還。閃電貸具有相同的基本原理,但包括幾個獨特的特徵:
- 這是一種無抵押貸款,這意味著借款人不需要用任何資產或存款來獲得貸款。此外,與傳統的無抵押貸款不同,沒有信用檢查流程。
- 所有閃電貸都是通過區塊鏈上的智能合約完成的,並且規定如果借款人沒有在單個區塊鏈交易中歸還資金,則貸款過程將被逆轉,就好像它從未發生過一樣。這個關鍵的區別就是為什麼借款人能夠在沒有任何抵押品或信用檢查的情況下獲得快速貸款,因為它消除了貸方的任何風險。
- 貸款過程是即時的,因此一旦貸款延期,借款人必須調用其他智能合約來利用閃電貸嘗試執行幾乎即時的交易,然後在單塊交易結束前將資金返還,通常在幾秒鐘內。
鑑於貸方的資本風險為零,借款人沒有抵押或信用檢查義務,因此自去年以來,閃電貸在整個 DeFi 中增長如此迅速也就不足為奇了。
讓我們看幾個閃電貸用例。在第一種情況下,假設用戶借用了 DAI,使用 ETH 持有量作為抵押。如果 ETH 的價格開始下跌,抵押品的價值就會下降,用戶將面臨貸款在某個時候被清算的威脅。
為了解決這種情況,用戶可以利用閃電貸。通過此功能,借款人可以將波動的 ETH 換成穩定幣。抵押品的價值立即變得穩定,從而消除了任何清算範圍。
雖然此用例屬於抵押品交換類別,但你也可以使用閃電貸來換出你的債務。考慮前面的示例,你在 DAI 中借入了資金。如果對 DAI 貸款的需求突然增加,DAI 的利率將比你之前必須支付的利率增加更多。為了避免支付更多的利息,你可以將 DAI 換成任何其他借入較少的貨幣,從而保護你的投資資本。
閃電貸攻擊
原則上,閃電貸允許用戶隨心所欲地借貸,而無需任何抵押。因此,借款人可以將價值數千美元甚至數十萬美元的以太幣作為貸款,而無需任何抵押品或 KYC 流程。
這導致了閃電貸攻擊的興起,其中惡意代理人拿出大筆閃電貸,然後利用這些資金來操縱市場並利用各種 DeFi 協議以獲取可觀的利潤,通常以犧牲普通投資者和平台為代價。
這些攻擊者通過一系列易受攻擊的鏈上協議,將借入的閃電貸款金額串連起來,以在償還貸款之前獲取數十萬美元的被盜資產。
過去一年,幣圈發生了多次閃電貸攻擊,而且這些攻擊的頻率似乎還在增加。
我們將詳細探究過去閃電貸攻擊事件的實例,更深入了解攻擊者如何能得逞,及其一些防止攻擊的手段。
閃電貸攻擊的實例
第一次閃電貸攻擊發生在 2020 年,借款人使用 DeFi 借貸協議 dYdX 獲得了 ETH 閃電貸。然後,他們將貸款分成兩部分,並將其發送到貸款平台 Compound 和 Fulcrum 。
在 Fulcrum 上,部分閃電貸被用來做空 ETH 對 WBTC 。 Fulcrum 繼續通過另一個稱為 Kyber 的 DeFi 協議從流行的去中心化交易所 Uniswap 手中收購了 WBTC 。
由於 Uniswap 的 WBTC 流動性較低,因此資產價格上漲。結果,Fulcrum 支付了比平時更高的價格來收購 WBTC 。
與此同時,借款人還從 Compound 處獲得了一筆 WBTC 貸款,並在 Uniswap 上進行了交易,WBTC 的價格已經上漲。
通過操縱多個協議並人為地提高 WBTC 的價格,借款人獲得了可觀的利潤——不僅償還了他的 ETH 貸款,而且還賺取了超額的 ETH 收益。
雖然借款人獲得了顯著收益,但 Fulcrum 被欺騙以遠高於市場價格的價格收購了 WBTC 。
在另一次單獨的閃電貸攻擊中,攻擊者再次利用並操縱了構建 Fulcrum 的 bZX 協議。首先,借款人拿走了他的一部分 ETH 貸款,並在 Kyber 上下了一筆大訂單購買 sUSD 。
智能合約識別貨幣及其價格,但它們不理解穩定幣與美元掛鉤。大訂單導致 sUSD 的價格飆升至 2 美元,這與穩定幣的基礎背道而馳。
由於 sUSD 的購買力翻了一番,借款人利用它借入了比他之前所借的更多的 ETH 貸款。隨後,他還清了第一筆 ETH 貸款,並帶著剩餘的錢跑路了。
在這種情況下,用戶欺騙 Kyber 相信 sUSD 的定價可能遠高於 1 美元。
如何防止這些閃電貸攻擊?
由於這些攻擊利用 DEX 相信它們自己的或單一的餵價,可以通過為貨幣下大筆訂單來操縱這些信息,因此謹慎地利用去中心化定價預言機來確定資產的正確價格。
dApp 可以通過多種方式保護自己免受閃電貸款攻擊,其中一些最常見的是:
去中心化預言機
最安全的選擇無疑是使用去中心化預言機,利用多個來源找出「真實價格」。一些去中心化的預言機可通過將數據提交到區塊鏈來確保數據的可靠性。
這意味著,如果不法分子試圖對從去中心化預言機獲取其提要的 Dapp 進行快速攻擊,價格操縱將失敗,交易時間將過去,並且整個交易將逆轉—— 未經處理。
高頻定價更新
這是紙面上的一個簡單修復,但在實踐中可能會更昂貴。在這裡,我們只是增加了流動性池向預言機查詢新價格的次數的頻率。邏輯在於,隨著更新次數的增加,池中代幣的價格會更新得更快,並使價格操縱無效。
時間加權平均定價
通常這種做法是使用平均值(或最近的中值)來計算流動性池中的價格。但是,TWAP 建議使用跨多個區塊的平均價格。
這有助於抵消閃電貸攻擊,因為整個攻擊交易序列需要在同一個區塊內處理,但如果不操縱整個區塊鏈就無法操縱 TWAP 。
防止此類攻擊的另一個戰略建議是在交易週期中使用兩個交易塊而不是一個。
可以想像,這會使過程更加複雜,並且對攻擊者來說是一種勸阻。然而,它也有對 DeFi UI 造成損害的風險。
此外,一些協議還整合了閃電貸攻擊檢測工具,有助於及時識別、快速應對。然而,除非有足夠能避免攻擊的實例,否則很難確認這些工具的有效性。
結論
DeFi 仍然是一個新興領域。它的運作方式正在經歷許多創新和快速的根本轉變。快速的變化,即使是創新的,也常常導致忽視極度脆弱的群體。
攻擊者將繼續探索存在的漏洞,但隨著每次攻擊事件的發生,隨著整個生態系統的發展,預防機制也將變得更加強大。
雖然有一些方法可以幫助降低風險,例如:使用去中心化預言機、更高頻率的定價更新或 TWAP 策略,但隨著整個 DeFi 行業採用更有效的方法,相信假以時日,閃電貸將不再成為潛在的剝削工具。
(以上內容獲合作夥伴 火星財經 授權節錄及轉載,原文鏈接 | 出處:Umbrella Network 中文 | 原文標題:《閃電貸 101:閃電貸特性、類型以及如何阻止攻擊》)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。