明眼可见的是,原本聚集在以太坊上的流量一步步被瓜分,形成了一个个被割裂的价值孤岛,而这意味着未来随着公链数量和 Layer2 数量的增多,跨链桥会继续成为一个刚需,跨链桥的安全事件恐怕会继续难以避免。 02 历史悠久的 DeFi 「闪电贷」攻击 不过在跨链桥这个被盗热门之外,DeFi 其实有个历史悠久的安全黑洞,它的术语也几乎被不少用户当作黑客工具的代名词——「闪电贷」。 自从 2020 年的 DeFi 盛夏之后,涵盖 DEX、借代、衍生品、固定收益、算法稳定币、资产合成、聚合器等各赛道的发展层次越发多元化。 而 DeFi 自身的无边界属性和可组合特性,在为这个「乐高世界」提供了足够的想象空间与可能性之余,也带来了诸多比传统金融更不可测的风险,「闪电贷」就是其中的典型代表之一。 早在 2020 年《15 秒内通过「DeFi 乐高」获取数十万美元,「bZx 事件」会成为 DeFi 新阶段的起点么?》一文中,就对彼时「DeFi 盛夏」还未到来之际的闪电贷攻击苗头进行了关注,bZx(现已改名为 Ooki)也可谓是这方面最不幸的代表之一——仅 2020 年连续被攻击了至少三次: 2 月 15 日,攻击者在一个以太坊区块时间内充分利用「闪电贷」,在未曾动用自有资金的前提下,一环紧套一环,最终通过在漏洞间操纵价格,成功「套利」1271 枚 ETH; 三天之后,2 月 18 日,「闪电贷」攻击再次出现,获利 2388 个ETH; bZx 的霉运并未就此结束,9 月 14 日,再次因合约漏洞失窃 4700 枚 ETH; 此后 DeFi 领域的「闪电贷」攻击便开始迎来井喷,屡屡见诸报端,直到今年遇到上亿美元的上榜事件——4 月 17 日,去中心化稳定币协议 Beanstalk Farms 遭遇「闪电贷」攻击,协议损失约为 1.82 亿美元,包括约 24830 枚以太坊以及 3600 万枚 BEAN 。 此次攻击得逞的一个关键原因是恶意的治理提案,借助「闪电贷」被推动通过,然后攻击者投票决定将所有资产转移给自己,这轮攻击的被盗金额也在 DeFi 被盗榜上排行第 4。 03 智能合约攻击的新路径 而 DeFi 被盗榜上排行第 5 的 Compound 被盗事件则是智能合约漏洞的典型代表: 2021 年 10 月,有消息称 Compound 有一个漏洞,即允许借款者索要超出其预期的 COMP 份额,这个漏洞涉及到 Compound 的两个金库 。 用户在 Reservoir 金库上调用一个特定的函数,触发了价值 8000 万美元的 COMP 被发送到另一个金库 Comptroller,该金库会自动将大量 COMP 代币分发到错误的地址中,而这个「漏水的水龙头」是由之前的一次协议更新中引入的错误造成的。 (责任编辑:admin) |