谈一谈闪电贷(下)
在上一篇中我们谈到了闪电贷的概念和功能,我们在这一篇中将谈一谈闪电贷不利的一面。
闪电贷攻击
尽管闪电贷有许多优质应用,但是使闪电贷危险的是它对DeFi应用程序的攻击和破解往往会造成数百万美元的损失。
损失最高的是Harvest Finance项目(损失了3,380万美元)。
在过去,常见的攻击旨在仅使用来自某个DEX交易所的Price Oracle来操纵项目的Price Feed。
但是最近的攻击变化更为复杂,大量的闪电贷通常超过1000万美元。
另外,要记住的一件事是,DeFi项目被闪电贷入侵的频率越来越高。
闪电贷备受攻击者青睐的主要原因有两个。
许多攻击需要事先投入大量资金(例如oracle操作攻击)。
而闪电贷可以将攻击者泄露信息的风险降至最低。如果我有一个使用1000万美元的以太坊操纵oracle的想法,即使我拥有那么多的以太坊,我可能也不想冒险投资。我的以太坊将受到影响,交易所可以拒绝我的存款,使得这笔钱将更难被拿到。这个风险真的很大!但是,如果我迅速贷了1000万美元,还会有人在乎吗?恰恰相反。dYdX的抵押贷款池不会被视为受到严重打击,因为这是您的贷款来源。
中本聪在比特币白皮书中指出,比特币不会受到攻击,是相对安全的,因为:
“他[攻击者]应该发现,遵守规则比破坏规则对他自己的财富要更有利。”
有了Flash贷款,攻击者不再需要在这个游戏上花费大量资金。闪电贷极大地改变了攻击者的风险。
请记住,闪电贷可能会堆积!你可以在一次交易中汇总每笔快速贷款(最高5000万美元),然后将所有资金归还给脆弱的合同。这是一笔巨大的金钱,只要有钱,任何人现在都可以加入。这实在是太疯狂了!
现在,当然,如果您有很多钱,就无法攻击协议。如果DeFi像它声称的那样安全,那么所有这些都将无关紧要。
但是,我们可以看到以太坊本身就受到每小时不到20万美元损失的51%攻击。如果以太坊自己的安全模型从根本上建立在资金限制的基础上,那么为什么我们这么快就设定这一点,以使DeFi应用程序能够以低至1000万美元的价格成功被黑客入侵?
如何免受闪电贷攻击?
停止提供闪电贷服务
严格来说,试图让债权人停止提供闪电贷就像尝试去防止噪声污染一样杯水车薪。
提供闪电贷符合每个协议的个人利益,并且有充分的理由说明其用户希望使用此功能的原因。因此,我们可以放心地摆脱这一点。
强制跨越两个区块上做重要交易
要牢记,闪电贷允许你在单笔交易期间内借钱。如果您需要跨越两个区块的大型资本交易,则用户必须至少借用两个区块,以克服每次闪电贷的攻击。(注意:要使其正常工作,用户必须将其值锁定在两个区块之间,以防止他们偿还贷款。)
显然,这就要看UX余额了:这意味着交易不再同步。它对用户很有吸引力,而且看起来也很安全。
许多开发者抱怨不同步的智能合约操作,例如与第2层通信交互或以太坊2.0中的交叉分片。
讽刺的是,异步性确实能使这些系统免受闪电贷攻击,因为你不能在单个小事务中经历分段或第2层。这意味着在以太坊2.0网段或第2层上的DEX上不会发生闪电贷攻击。
要求用户在线证明以前的余额
有几种方法可以找出用户的真实余额,即确定他们在借入之前有多少钱,我们通过这样的方式可以战胜闪电贷攻击。
在用户与平台的协议进行交互之前,该平台需要Merkle证据证明,在上一个区块的末尾,他们具有足够的余额来说明他们当前正在使用的资金量。平台需要针对每个区块中的每个用户进行跟踪。
不过这个解决方案存在一些复杂的问题:验证这些链上证明是极其昂贵的,并且没有任何有想法的用户想要创建它们并为此支付Gas费。另一种方法是,由于完全合理的原因,用户可能先前已经在同一区块中改变了他们的余额。因此,从理论上讲,它具有一定的价值,但这不是实际的解决方案。
其他解决方案
没有哪一个解决方案可以完全阻止闪电贷攻击,但是可以缓解这些攻击的两个应用程序是基于市场的价格预言和治理令牌。(Dragonfly Research的意见)
预言机价格
对于基于市场价格的预言机,例如Uniswap或OasisDEX,闪电贷使你无法使用像预言机这样的中端市场利率。
攻击者计划在单笔交易中移动平均市场价格,并造成闪电事件,从而破坏预言机价格。
最好的解决方案是通过TWAP或VWAP使用最后一个X块的加权平均值。Uniswap v2将提供此解决方案。还有Polaris——一种为DeFi协议提供移动平均值的通用方法。
管治
链上治理通常由治理令牌持有者之间的硬币加权投票决定。但是,如果这些治理令牌位于一组闪电贷中,则任何攻击者都可以拿走大笔资金,并依靠他们想要的任何结果。
当然,大多数治理协议都需要在投票期间阻止令牌,这有助于战胜闪电贷攻击。但是某些形式的投票不需要这样做,例如碳投票或Maker的执行合同。使用这样的闪电贷,这些投票形式应该被认为是已完全中断的。
最合理的是,治理令牌是完全可借出的,但它取决于市场。因此,所有的管理操作都应要求锁定以防止闪电贷攻击。Compound的新COMP令牌通过计时所有协议的投票而进一步走了一步,甚至立即削弱了对治理令牌的常规借贷攻击。
更广泛地说,所有治理令牌都需要时间。时间锁会执行所有必须等待一段时间才能生效的管理决定(Compound的时间锁为2天)。这使系统可以从任何无法预料的管理攻击中恢复。
闪电贷是好事还是坏事?
随着DeFi的强劲增长,闪电贷在短时间内获得了普及并获得了极高的利润。这吸引了一些专业编码人员参与百万美元的闪电贷攻击行为。
尽管闪电贷攻击带来的损失不小(平均4到5百万美元),但必须指出的是,这是DeFi发展成为可持续生态系统所需要克服的进化过程。
闪电贷攻击将使你远离那些安全性不靠谱的项目。换句话说,它可以帮助想要在正式启动之前仔细检查产品质量的项目。
回顾2017年,成千上万的ICO都在“画大饼”炒作投放市场,但它们在质量方面上都得不到保证,给加密币社区造成了很大的破坏。
到了2020年,我们将再次看到DeFi浪潮带来了巨大的增长。如果没有进展,DeFi就将进入那些ICO的老路。
本文精要:
闪电贷是DeFi中有趣的概念之一,但尚未得到充分应用,正如那些带来高损失的攻击所证明的那样。即便如此,我们也不能否认它带来了一个有趣的产品,从而使DeFi空间更加高效。
DeFi在不断发展的同时,自然也会遇到难题。闪电贷就是当前的问题,但这并不意味着我们要完全摈弃它。
原文地址:https://economicsdesign.substack.com/p/flash-loans
