DeFi安全风险解析:闪电贷、价格操纵攻击和降低风险的协议设计思路_TYP:Layer 1 Quality Index

在加密货币领域,DeFi成为了一个重要的发展方向。然而,随着其市场份额的增长,DeFi平台也面临着越来越多的安全威胁。

最近,Moremoney的联合创始人兼产品负责人?Sirmoremoney在TwitterSpaces上讨论了一些关于DeFi安全的话题,特别是针对抵押品价格操纵和闪电贷攻击等方面的风险。ReveloIntel总结了此次Spaces的发言,并讨论如何采取措施来缓解这些风险。

涉及合约漏洞的攻击/闪电贷攻击

闪电贷攻击涉及利用短时间内无需抵押即可借款的能力来操纵价格或窃取资金。以Platypus攻击为例来说明涉及合约漏洞的攻击。??

DeFi借贷协议OpenLeverage将于今日18时开启Token空投申领:7月7日,据官方消息,DeFi 借贷协议 OpenLeverage 将于北京时间今日 18 时开启申领从交易与借贷活动空投中获得的 OLE Token,并开放 Token 流通。据悉,OpenLeverage 是 Binance Labs 第 4 季孵化计划中的 DeFi 项目。

此前消息,Binance Labs 宣布战略投资 OpenLeverage。[2022/7/7 1:56:55]

攻击者从Aave借出了4400万美元的闪电节点,将其存入Platypus,并借出4200万美元。然后,他们利用合约中的漏洞进行了紧急提款,提取了初始存款并保留了贷款。这次攻击导致了?PlatypusFinance2亿美元的资金损失。

被Bscscan标记为“ Poolz Finance Exploiter”的黑地址已将资金转至Tornado Cash:金色财经消息,据CertiK监测,被Bscscan标记为“ Poolz Finance Exploiter”的黑地址0x190Cd已将资金转至Tornado Cash。截至目前,Poolz Finance攻击者已经转移1184枚BNB(约39.16万美元)。[2023/3/17 13:09:50]

然而,他们只能以大约850万美元的价格交换剩余的4200万美元的?USB。Platypus的安全顾问和内部团队能够收回240万美元,而Feather和Circle则冻结了卡在合约中的资金。攻击者后来也在法国被逮捕。

河南将加快建设省区块链产业园、元宇宙科创产业园:金色财经报道,1月14日,河南省第十四届人民代表大会开幕,省长王凯作政府工作报告。在2023年重点工作安排中,报告提出,壮大数字经济核心产业,开展先进计算、网络安全等重点领域核心技术攻坚,建设国家新一代人工智能创新发展试验区。加快省区块链产业园、元宇宙科创产业园建设,推动卫星及应用产业发展。新建150个智能工厂和10家智能制造标杆企业,新增上云企业3万家。[2023/1/14 11:11:52]

这次攻击是由低级黑客发起的,到目前为止已经有70%的被盗资金已经被追回。

从这次攻击中得到的教训是,协议需要有适当的安全措施,例如限制谁可以调用紧急提款功能,并实施债务上限以限制可能造成的损失。

紧急提款功能

例如,Moremoney有一个只能由协议本身或治理调用的救援功能。

他们强调了限制谁可以调用此功能的重要性,就像在Platypus的此次情况中并没有这样做。

抵押品价格操纵攻击

价格操纵攻击涉及操纵去中心化交易所上代币的价格,以借出比抵押品实际价值更多的资金。

以Mango和Loadstar的攻击为例子。这些攻击导致用户遭受了重大损失,并显示了监控抵押品价格和实施措施以防止价格操纵的重要性。

在这两种情况下,攻击者操纵了DEX上代币的价格,以借出比抵押品实际价值更多的资金。选择价格预言机对于协议的安全性至关重要,使用现货价格预言机总是一个糟糕的主意,因为闪崩或其他价格波动可能导致重大损失。

减轻风险的措施

这些措施包括对智能合约进行彻底审计,实施多因素认证和其他安全措施,以及隔离与不同资产和借贷池相关的风险。

隔离的CDP池

隔离的CDP池对于帮助减轻与多因素池相关的风险非常重要。

他们指出,每个抵押资产都是隔离的,这意味着如果攻击者能够利用其中一个资产,他们将无法从整个池中提取资金。

隔离的负债上限

隔离的负债上限可以限制针对每个抵押资产可以借入的金额。

他们认为,这有助于防止攻击者借入大量资金,并减轻与多因素池相关的风险。

全局负债上限

协议可以实施全局负债上限,限制平台上所有资产的借入总额。

这有助于防止平台过度杠杆化,并减少任何单个攻击的潜在影响。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-6:33ms