正文

闪电贷攻击，曾经的 DeFi 之王 YFI 也未能幸免

PANews2021-02-07 07:35:57

撰文 | NESTFANS.知鱼

出品 | NEST爱好者（nestfans.com）

引言：关于 DeFi 的安全问题，从 2020 年 2 月份到现在，损失数亿美元，各路专家已有无数文章来解析 DeFi 乐高的风险，直到现在这类问题依然没有引起开发者们的高度重视，在市场持续狂热以及锁仓规模不断推高的环境中，人们似乎已经忘了，那个深埋在狂欢大陆土地下的隐患，并没有消失......

曾经的 DeFi 之王 YFI 协议未能幸免

2021 年第一次闪电贷攻击事件，发生在了 2020 年的 DeFi 王者 —— Yearn Finance 协议身上，当然，这是偶然事件还是开年先拿王者开刀，来嘲讽 DeFi 的无能，我们暂且不论，也无从洞察“攻击者”的心境，这里，我们来看一下发生了什么。

根据慢雾科技的情报，遭受攻击的是 Yearn Finance 协议的 DAI 策略池，具体情况如下：

1. 攻击者首先从 dYdX 和 AAVE 中使用闪电贷借出大量的 ETH

2. 攻击者使用从第 1 步借出的 ETH 在 Compound 中借出 DAI 和 USDC

3. 攻击者将第 2 步中的所有 USDC 和大部分的 DAI 存入到 Curve DAI/USDC/USDT 池中，这个时候由于攻击者存入流动性巨大，其实已经控制 Curve DAI/USDC/USDT 的大部分流动性

4. 攻击者从 Curve 池中取出一定量的 USDT，使 DAI/USDT/USDC 的比例失衡，及 DAI/ (USDT&USDC) 贬值

5. 攻击者第 3 步将剩余的 DAI 充值进 yearn DAI 策略池中，接着调用 yearn DAI 策略池的 earn 函数，将充值的 DAI 以失衡的比例转入 Curve DAI/USDT/USDC 池中，同时 yearn DAI 策略池将获得一定量的 3CRV 代币

6. 攻击者将第 4 步取走的 USDT 重新存入 Curve DAI/USDT/USDC 池中，使 DAI/USDT/USDC 的比例恢复

7. 攻击者触发 yearn DAI 策略池的 withdraw 函数，由于 yearn DAI 策略池存入时用的是失衡的比例，现在使用正常的比例提现，DAI在池中的占比提升，导致同等数量的 3CRV 代币能取回的 DAI 的数量变少。这部分少取回的代币留在了 Curve DAI/USDC/USDT 池中

8. 由于第 3 步中攻击者已经持有了 Curve DAI/USDC/USDT 池中大部分的流动性，导致 yearn DAI 策略池未能取回的 DAI 将大部分分给了攻击者

9. 重复上述 3-8 步骤 5 次，并归还闪电贷，完成获利

攻击者利用闪电贷进行这一循环套利，使得 Yearn Finance 损失高达千万美元！

根源不是闪电贷，而是脆弱的价格机制

YFI 和 Curve 之间的组合，利用 LP 的不同净值来计算份额，通过池子里的份额来决定价格，这是典型的价格操控！

我们把现在的各 DeFi 协议当作是各个国家，每个国家制定不同的政策规则，商人通过政策规则之间的组合，寻找突破口，来获取利差。这是光明正大的赚取合理收益，无法责怪攻击者，因为，你的机制告诉了别人，怎么来操控我的价格进行套利。

关于闪电贷攻击的问题，我们已经阐述过多次，《解读 | Compound 遭受价格预言机操纵攻击事件始末》，这篇文章里有详细描述。

价格操控的背后所暴露的问题，才是我们更应该去思考和研究的方向。

现如今的 DeFi 协议开发者，往往把快速、高效放在第一位，对区块链的本质充耳不闻，大家都求快，不愿去解决本质问题的根源。因为几乎所有人都正在这样做，睁一只眼闭一只眼。

比特币的设计，是让所有节点一起对正在广播的交易进行验证，所有人都同意的广播，这笔交易才作数。其本身就是一个冗余的复杂系统，比特币并非是为了在“可用性”方面做出创新，而是在“可信性”方面给出了一个完美的解决方案，解决了去中心化过程中的安全问题。比特币网络的算力规模越大，网络越安全，但其处理交易的效率并没有提高。

如果一个价格机制可以简单的利用所谓的“可信”节点上传到链上或者通过 LP 份额的方式来简单决定，而使用这个价格的 DeFi 协议或者用户无法对你的价格进行无需许可的有效验证，那么你给出的价格就是你说的算，并不是共识过的价格，并不是大家一起说的算；进而，基于这套价格体系的链上经济体的安全系数，也必然不会随着规模的扩大而增强。简单来讲，这与区块链本质背道而驰，舍本逐末。

坚定去中心化的安全之路

NEST Protocol 坚持以无需许可，可被任何人验证的无套利空间的价格同步在链上生成，供 DeFi 协议调用，随着 NEST 报价矿工/验证者参与规模的增长，其在链上生成的价格数据质量也会同步提高，这是一个非合作博弈系统所应该表现出来的基础属性，可累积博弈。

在有效市场下，这种报价矿工之间的博弈、报价矿工与验证者之间的博弈，以及协议与二级市场之间的博弈，多维度非合作博弈生成的链上价格才是我们应该去追求的安全之根。

坚持区块链本质，坚定去中心化精神，是区块链行业发展的第一准则。

免责声明：本文版权归原作者所有，不代表MyToken(www.mytokencap.com)观点和立场；如有关于内容、版权等问题，请与我们联系。

关于MyToken：https://www.mytokencap.com/aboutus本文链接：https://www.mytokencap.com/news/206120.html

上一篇:杠杆之王兴衰史：BitMEX如何走到今天这一步？解读BitMEX的崛起与衰落，以及其中蹊跷与监管疑云。

下一篇:唐思哲：BTC短线看回踩，ETH上行无力继续回落

DeFi潮流新风口：从链上数据看跨链桥的发展新方向

总锁仓额突破131亿美元，9月独立地址总数超12万个

Bitwise 向美SEC提交比特币策略ETF申请，旨在投资比特币期货和其他金融产品

PANews 9月15日消息，根据一份公开的监管文件，资产管理公司Bitwise 下属部门 Bitwise Index Services 向美国证券交易委员会（SEC）递交了比特币期货交易所交易基金 ETF申请，新基金名为Bitwise Bitcoin Strategy ETF。旨在投资比特币期货和其他金融产品。该文件称：“该基金不会直接投资于比特币，虽然该基金主要通过间接投资于在 CFTC 注册的商品交易所交易的标准化、现金结算的比特币期货合约来获得比特币敞口，但它也可能投资于集合投资工具和加拿大上市的提供比特币敞口的基金”。文件显示，ETF 还可能投资于现金、美国政府证券或货币市场基金。US Bancorp Fund Services 将担任转账代理和管理人，而美国银行将担任托管方。据了解，美国证券交易委员会（SEC）至今还未批准任何比特币 ETF 基金。此外，美证监会主席 Gary Gensler 表示该机构更有可能批准比特币期货 ETF 而不是现货 ETF，因为期货 ETF 将投资于芝加哥商品交易所（CME）提供监管的比特币期货产品，而比特币现货则不受监管。来源链接

知情人士：因需求强烈，Coinbase计划发行的债券或增加至20亿美元

PANews 9月15日消息，有知情人士称，此前计划发行15亿美元债券的Coinbase会将交易规模提升至20亿美元，因为至少已经有70亿美元的订单涌入。其他知情人士表示，等额的7年期和10年期债券将分别以3.375%和3.625%的利率发行，低于最初讨论的借贷成本。彭博社表示，固定收益投资者对该产品的热捧，代表了加密货币不再是一个专属于风险资本的行业，因为养老基金和对冲基金在内的专注投资债务的投资者都希望参与到此次的投资中。此前根据 Coinbase 提交给美国证券交易委员会（SEC）文件显示，Coinbase 将通过私募发行 15 亿美元于 2028 年和 2031 年到期的有担保高级票据，这些票据将由 Coinbase 的全资子公司 Coinbase, Inc. 提供全额无条件担保。来源链接