揭秘惡意攻擊者的閃貸攻擊手法 了解加密貨幣的借貸原理

揭秘惡意攻擊者的閃貸攻擊手法 了解加密貨幣的借貸原理

 

閃貸又名閃電貸(Flash Loan)是加密貨幣借貸的一種,以 DeFi 技術允許用戶進行加密貨幣借貸。加密貨幣借貸有著高效率與便利性,方便用戶迅速借入加密貨幣進行投資。然而,加密貨幣借貸與區塊鏈丶加密貨幣投資一樣都存在著風險。近年不法分子利用閃電貸漏洞進行攻擊以盜取加密資產呈上升趨勢,毋庸置疑,閃電貸這項嶄新技術揭露了隱藏的 Defi 危機。到底加密貨幣借貸是如何運作?所衍生的閃電貸是便利我們的技術,還是犯罪分子的玩物?以下來將一一詳細說明。

 

加密貨幣借貸是甚麼?

加密貨幣借貸可以理解為以加密貨幣作單位的貸款,當中涉及三個持分者:貸方、借方以及去中心化金融 (DeFi)平台或加密貨幣交易所。當中加密貨幣借貸可分為兩種,提供抵押品借入加密貨幣及沒有抵押品的閃電貸。在 DeFi 領域的金融是去中心化,加密貨幣借貸都是在區塊鏈上進行,由演算法執行。這代表用戶可透過智能合約確保交易進行時是公平丶透明。

 

加密貨幣抵押借貸原理

加密貨幣抵押借貸跟傳統貸款的運作方式非常相似,以某項資產作抵押來借取款項。在傳統金融中,以提供房子作為質押來借取金錢,若然借方無法償還款項,貸方將收取其質押資產(房子)。然而在 DeFi 領域中所使用的質押資產則是以不同的加密貨幣,舉個例子,貸方擁有1 ETH 價值 100 Tether ( USDT ) ,借方以 2 ETH 借了 100 Tether ( USDT ),那 2 ETH 就成為了貸款的質押品。逾期沒償還 100 Tether ( USDT )的話,貸方將收取質押的 2 ETH。這樣將降低提供大筆貸款的風險。

 

閃電貸/閃貸(Flash Loan)原理

閃電貸(Flash Loan)又稱為閃貸,是區塊鏈上的一種無抵押貸款的借貸協議,於 2018 年由 Marble 協議的建立者 Max Wolff 提出 。閃電貸只能通過區塊鏈上的智能合約完成。閃電貸的交易程序可以分為三個步驟,包括接收貸款、使用貸款及償還貸款。受智能合約約束,貸款成功時需在一定時間內還款,換言之整套借還貸款程序可以在一瞬間完成。只要用戶能夠在區塊鏈上的交易完成之前償還貸款,用戶可以利用貸款做任何交易。

閃電貸通常用於質押品交換交易和價格套利上,實例為借方以 ETH 質押借了 Tether ( USDT ),假如 ETH 價格下跌,亦代表質押品的價格下降。為避免清算情況出現,借方可利用閃電貸將價格不穩定的 ETH 換成穩定幣以保持質押品的價值。至於價格套利,用戶可通過閃電貸迅速以較低的價格買進,較高的價格賣出,同時可在一瞬間還清貸款,從而以低風險在短時間內賺取利益。

閃電貸中貸方的資本風險為零,而借方毋須質押或檢查借貸信用,如此便利性得而在 DeFi 領域中迅速增長。

 

熱門加密貨幣放貸平台

 

 

1 . Aave

Aave 是一個在以太坊區塊鏈上運行的去中心化的借貸系統,最著名的是 Aave 推廣使用閃電貸。Aave 運用到智能合約系統,使用戶不需要涉及第三者的情況下借入、借出和賺取加密資產的利息。用戶將加密貨幣存到 Aave 的貸款池,也可以在這個資金池借出或借入 20 種不同的加密貨幣。在 Aave 上借入資金,用戶必須提供抵押品,而使用 $AAVE 作為借款的抵押品,用戶將獲得折扣費用。截止 2022 年 4 月 20 日,Aave 的代幣 AAVE 在 CoinMarketCap 排名第 48 位,市值 25 億美元。

 

(Source: Coinmarketcap.com )

 

2 . Maker

 

 

MakerDAO是去中心化的自治組織,允許特定加密貨幣持有者申請抵押貸款。Maker 貸款是需要超額抵押的,所要求的抵押率高於150%。用戶可以通過直接將以太幣(ETH)放入其債務擔保合約(CDP)的儲備中來借入穩定幣 DAI。貸款以 DAI 支付,DAI 是以太坊上可與 Maker 配合使用的穩定幣。穩定幣 DAI 有著去中心化的特色,與 1 美元價值掛勾。

 

閃電貸/閃貸(Flash Loan)攻擊

閃電貸作為一種創新的金融工具,雖然便利了很多用戶,然而閃電貸這種技術仍未成熟。閃電貸的出現亦導致了閃電貸攻擊的興起,過去曾多次被用於其他去中心化金融的攻擊上。攻撃者利用存在於其他協議中的漏洞,操縱丶欺騙市場,從而盜取加密資產。如先前所說,閃電貸能

瞬間完成接收貸款、使用貸款及償還貸款。只要用戶能夠在區塊鏈上的交易完成之前償還貸款,用戶可以利用貸款做任何交易。只有不能及時歸還貸款時,交易才被撤銷。而閃電貸攻擊通常發生在第二步使用貸款之中。以下將用曾發生的閃電貸攻擊事件說明。

 

例子

 

1 . 穩定幣協議 Beanstalk Farms 遭閃貸攻擊被盜取 1.82 億美元

2022 年 4 月 17 日,穩定幣協議 Beanstalk Farms 自己的治理提案系統出現安全漏洞,被攻擊者盜取 1.82 億美元。此次攻擊事件是由治理提案 BIP -18 和 BIP-19 所造成的,由攻擊者創建一個發布向烏克蘭捐款的提案,從 Aave ( AAVE ) 協議中取出了 10 億美元的閃電貸款,以 DAI、USD Coin ( USDC ) 和 Tether ( USDT ) 穩定幣計價,利用這些資金累積了足夠的資產來接管協議 67% 的治理,最後得以執行 BIP18 提案並批准自己的提案。這個精心設計的治理特權代碼執行最終耗盡資金。根據 Etherscan 數據,該駭客將大多數的 ETH 轉移到 Tornado Cash ( 駭客常用的混幣器 )。

 

2 . 攻擊者利用閃電貸的借貸協議漏洞盜取超過 35 萬美元

 

(Source: Umbrella Network)

 

2020年,攻擊者使用 DeFi 借貸協議 dYdX 獲得了 ETH 閃電貸,然後把所得貸款發送至貸款平台 Compound 和 Fulcrum。在 Fulcrum 上,部分閃電貸被用來做空 ETH 兌換 WBTC。Fulcrum 繼續通過另一個名為 Kyber 的 DeFi 協議從去中心化交易所 Uniswap 收購 WBTC。由於 Uniswap 的 WBTC 流動性低,資產價格上漲。結果,Fulcrum 支付了比平時更高的價格來收購 WBTC。攻擊者最終從這次攻擊中獲得的利潤總額超過 35 萬美元。

 

加密貨幣借貸的好處

加密貨幣借貸程序都是去中心化的,使用智能合約處理及管理貸款過程,令交易能有效率丶快速進行,且公開透明。另外,加密貨幣貸款是提供予所有的用戶使用。只要能提供抵押品或以閃電貸償還資金的用戶,毋須信用檢查,都可使用加密貨幣借貸。這使借貸門檻降低,比起傳統金融機構更易獲得貸款。

 

加密貨幣借貸的風險

加密貨幣借貸涉及到加密貨幣,要知道加密貨幣市場價格浮動大,存在著巨大風險。即使是高度超額抵押的貸款,加密貨幣的價格也有可能會突然下跌,導致強行平倉。用戶需時刻留意加密貨幣的價格波動,評估抵押物的價值,做好風險管理。

此外,加密貨幣借貸中的智能合約容易受到攻擊。編寫不當的協議和代碼可能會導致閃電貸攻擊,從而招致貸款資金或抵押品的損失。在過去兩年,閃電貸攻擊頻繁出現,可見閃電貸容易被用於攻擊眾多去中心化金融的安全漏洞上。閃電貸技術尚未成熟丶完善,對 DeFi 安全的影響甚大,用戶投資時需評估好風險,謹慎使用加密貨幣借貸或閃電貸。

 

喜歡 0
利好 0
利空 0
收藏 0
快訊

bybit advertisement

 5個本週(13March-19March)值得留意的加密貨幣
5個本週(13March-19March)值得留意的加密貨幣

迎來「奇點」的穩定幣市場,下半場何去何從?
迎來「奇點」的穩定幣市場,下半場何去何從?

區塊鏈安全科技公司Elliptic將與政府合作 打擊受制裁組織的加密錢包
區塊鏈安全科技公司Elliptic將與政府合作 打擊受制裁組織的加密錢包

烏克蘭總統簽署法案 允許加密貨幣交易所合法運營
烏克蘭總統簽署法案 允許加密貨幣交易所合法運營

「3.12」兩週年的鏡鑑,復盤加密行業過往的「至暗時刻」
「3.12」兩週年的鏡鑑,復盤加密行業過往的「至暗時刻」