閃貸攻擊將會對DeFi造成哪些安全威脅

前言：bZx事件發(fā)生之后，加密社區(qū)開始重視閃貸攻擊。本文作者Haseeb認(rèn)為閃貸用于套利不是其最大的用例，它最大的用例在于釋放了閃貸攻擊。閃貸攻擊無法消失，且很難阻止。有些阻止攻擊的措施看似合理，但成本很高，不切實(shí)際。而當(dāng)前改進(jìn)主要集中在價格預(yù)言機(jī)和治理代幣機(jī)制上。比如價格采用通過TWAP或VWAP使用最后X個區(qū)塊的加權(quán)平均值的機(jī)制。治理代幣采用時間鎖機(jī)制等。此外，如果閃貸攻擊的利益足夠高，礦工也可能會參與作惡?？傊媾R閃貸攻擊，DeFi還需要更好的應(yīng)對。

閃貸最近成為加密社區(qū)關(guān)注的焦點(diǎn)。最近發(fā)生了兩次使用閃貸對保證金交易協(xié)議bZx的攻擊，第一次是35萬美元的攻擊，第二次是60萬美元的模仿攻擊。

用一句話來總結(jié)，這些攻擊非常“華麗”。每次攻擊中，攻擊者不用花費(fèi)一分錢立即借到數(shù)十萬美元的ETH，然后通過一系列脆弱的鏈上協(xié)議，賺取數(shù)十萬被盜資金，最后歸還借來的數(shù)額巨大的ETH貸款。所有這些都是瞬間發(fā)生的。也就是說，在單個以太坊交易中完成。

我們不知道這些攻擊者是誰或他們來自哪里。他們進(jìn)來時兩手空空，離開時拿走數(shù)十萬美元的價值，且都沒有留下痕跡。

在這些攻擊之后，我一直在思考閃貸及其對DeFi安全的影響。我認(rèn)為這值得公開思考。簡言之，我認(rèn)為閃貸對DeFi是巨大的安全威脅。但是，閃貸并不會消失，我們需要仔細(xì)思考它們對未來DeFi安全的影響。

什么是閃貸

閃貸的概念最初由Marble 協(xié)議的創(chuàng)建者M(jìn)ax Wolff于2018年提出。Marble在市場上將自己宣稱為“智能合約銀行”，其產(chǎn)品非常簡單，但極具DeFi創(chuàng)新：通過智能合約進(jìn)行零風(fēng)險貸款。（藍(lán)狐筆記：關(guān)于什么是閃貸，可以參考之前的文章《加密閃貸：互聯(lián)網(wǎng)貨幣的神奇新發(fā)明》《閃貸策略：攻擊者能取走M(jìn)aker的7億美元抵押品嗎？》《bZx事件的啟示》）

怎么可能有零風(fēng)險的貸款？

傳統(tǒng)的貸方承擔(dān)兩種形式的風(fēng)險。首先是違約風(fēng)險：如果借款人卷款跑了，很糟糕。貸方的第二個風(fēng)險是流動性不足的風(fēng)險：如果貸方在錯誤時間貸出太多資產(chǎn)，或者沒有及時收回還款，貸方可能會意外地缺乏流動性，且無法履行其義務(wù)。

閃貸減輕了這兩種風(fēng)險。閃貸基本上是這樣運(yùn)作的：我在單個交易中借給你想要數(shù)額的錢。但是，在這筆交易結(jié)束之前，你必須至少償還我借給你的錢。如果你無法執(zhí)行此操作，我會自動回滾你的交易。是的，智能合約可以做到這一點(diǎn)。

簡言之，你的閃貸具有原子性：如果你無法償還貸款，整個事情就會還原，就像是借貸從未發(fā)生過一樣。這樣的事情只能發(fā)生在區(qū)塊鏈。例如，你無法在BitMEX上閃貸。這是因?yàn)橹悄芎霞s平臺一次只能處理單個交易，因此，在單個交易發(fā)生的所有事情都是作為批處理按次序執(zhí)行。你可以將其看作為交易執(zhí)行期間的“凍結(jié)時間”。另一方面，中心化交易所可能會出現(xiàn)競爭狀況，以致于你的訂單無法履行。在區(qū)塊鏈上，可以確保的是，你的所有代碼都是按次序運(yùn)行。

因此，讓我們思考一下這里的經(jīng)濟(jì)學(xué)。傳統(tǒng)的放貸人在兩個方面得到補(bǔ)償：他們承擔(dān)的風(fēng)險（違約風(fēng)險和流動性風(fēng)險），以及他們借出資本的機(jī)會成本（例如，如果我能在其他地方獲得2%的利息，那么，借款人必須向我支付高于2%的無風(fēng)險費(fèi)用）。

而閃貸不同。從字面意義上說，閃貸沒有風(fēng)險，且沒有機(jī)會成本。這是因?yàn)榻杩钊嗽谄溟W貸期間“凍結(jié)了時間”，因此，在其他人眼中，系統(tǒng)的資本從未有風(fēng)險且無負(fù)擔(dān)，它也無法在其它地方賺取利息（即，它沒有機(jī)會成本）。

在某種意義上，這意味著成為閃貸的放貸人沒有成本。這是非常反直覺的。那么，均衡時的閃貸成本應(yīng)該是多少？（藍(lán)狐筆記：這里說的均衡時，是指經(jīng)過充分競爭且發(fā)展成熟穩(wěn)定時）

基本上，閃貸應(yīng)該是免費(fèi)的?；蛘吒‘?dāng)?shù)淖龇ㄊ牵Ц缎☆~費(fèi)用，以分?jǐn)偘ㄊ沟觅Y產(chǎn)可實(shí)現(xiàn)閃貸的額外三行代碼的成本。

閃貸無法收取傳統(tǒng)意義上的利息，因?yàn)檫@種貸款有效期為零（任何APR*0=0）。當(dāng)然，如果閃貸放貸人收取更高的費(fèi)用，他們很容易就被其他收取較低利率的閃貸池所超越。

閃貸使得資本變成真正的商品。這種競爭不可避免地會導(dǎo)致零費(fèi)用或微不足道的象征性費(fèi)用。dYdX當(dāng)前對閃貸收取零費(fèi)用。另一方面，AAVE對閃貸收取本金0.09%的費(fèi)用。我懷疑這是不可持續(xù)的，確實(shí)，他們社區(qū)中的一些人呼吁將費(fèi)用消減至零。（請注意，這兩次攻擊都沒有使用AAVE作為他們的閃貸池）

閃貸有何用處？

閃貸最初的宣傳是它們基本上用于套利。Marble的公告聲稱：

“通過閃貸，交易者可以從Marble銀行借錢，隨后在一個DEX上買入代幣，并以更高的價格在另外一個DEX上賣出代幣，然后將錢還給銀行，并且在單個原子交易中獲得套利收益?！?/p>

的確如此——就交易量來說，迄今為止，大多數(shù)閃貸都用于此類套利。

不過交易量較小。AAVE的閃貸業(yè)務(wù)開展以來，其借貸額僅為1萬美元。與DeFi的套利和清算市場相比，這是微不足道的。

這是因?yàn)榇蠖鄶?shù)套利都由運(yùn)行復(fù)雜機(jī)器人的競爭套利人執(zhí)行。他們從事鏈上優(yōu)先gas拍賣，并使用gas代幣來優(yōu)化交易費(fèi)用。這是非常有競爭力的市場，這些人非常樂意在其資產(chǎn)負(fù)債表上保留一些代幣，以優(yōu)化其收益。

另一方面，在AAVE上借錢花費(fèi)80kgas成本，且收取本金0.09%的費(fèi)用，這對競爭微薄差額的套利者來說，付出的價格很高。實(shí)際上，在大多數(shù)AAVE的套利中，借款人最終向借貸池支付的費(fèi)用高于他們套利賺取的收益。

從長遠(yuǎn)看，除非情況特殊，否則套利者不太可能使用閃貸進(jìn)行套利。但閃貸在DeFi中存在其他更引人注目的用例。其中一個例子是貸款再融資。例如，假設(shè)我有一個Maker小金庫（藍(lán)狐筆記：也就是抵押債務(wù)頭寸），其中鎖定了100美元的ETH，我從中借出了40 DAI的貸款，也就是說，除去債務(wù)，我還有60美元的凈頭寸。現(xiàn)在，假設(shè)我想在Compound再融資以獲得更好的利息。通常，我需要回購40 Dai來關(guān)閉我的CDP，這需要一些前期資金。而現(xiàn)在的可替代方法是，我可以通過閃貸借出40 Dai，關(guān)閉100美元的CDP，然后將解鎖的價值60美元的ETH存入Compound，通過Uniswap將剩余的價值40美元的ETH換成Dai，然后用它償還閃貸。Boom！原子性的0資本再融資。

這真是太神奇了。這是貨幣樂高運(yùn)作的很好例子。1x.ag實(shí)際上構(gòu)建了一個保證金交易匯聚器，該匯聚器使用閃貸自動執(zhí)行這一切。但是閃貸可以很酷，bZx攻擊者向我們展示了它們不僅是好玩和游戲。

閃貸攻擊對安全性有重大影響

我越來越相信，閃貸真正解鎖的是閃貸攻擊，一種由閃貸提供資金的資本密集型攻擊。在最近的bZx攻擊事件中，我們第一次看到這一現(xiàn)象，而我懷疑這只是冰山一角。

閃貸對攻擊者尤其有吸引力的主要原因有兩個：

· 很多攻擊需要大量前期資金（例如預(yù)言機(jī)操縱攻擊）。如果你在賺取價值1000萬美元ETH的正向投資回報，則可能不是套利——你可能會說這是在扯淡。

· 閃貸可以最小化攻擊者的污點(diǎn)。如果我有個用1000萬美元ETH操縱預(yù)言機(jī)的想法，即便是我擁有這么多ETH，我也可能不會用自己的資本進(jìn)行冒險。我的ETH將會有污點(diǎn)，交易所可能會拒絕我的存入，且它很難洗白。這有風(fēng)險。不過，如果我借來1000萬美元的ETH，那么，誰會在乎呢？全都是好處。dYdX抵押池不太可能會被認(rèn)為有污點(diǎn)，因?yàn)檫@是我貸款的來源——dYdX的污點(diǎn)只會消失。

你可能不太喜歡交易所黑名單是如今區(qū)塊鏈安全模型的一部分。這是非常黏糊且中心化的。但這是一個重要的現(xiàn)實(shí)，它為這些攻擊提供演算信息。

在比特幣的白皮書中，中本聰宣稱比特幣有免遭攻擊的安全，因?yàn)椋骸肮粽邞?yīng)該會發(fā)現(xiàn)，遵守規(guī)則。..比破壞系統(tǒng)和其財富的有效性更有利可圖。”

有了閃貸，攻擊者不再需要有利益參與其中。（藍(lán)狐筆記：也就是說，破壞系統(tǒng)不會影響攻擊者的自身利益，因?yàn)楣粽邲]有利益相關(guān)）。閃貸實(shí)質(zhì)上改變了攻擊者的風(fēng)險。請記住，閃貸可以累積！受制于gas limit，實(shí)際上，你可以在單個交易中（最高可達(dá)5000萬美元 ）匯聚各個閃貸池，并將所有資金集中涌入一個脆弱的合約中。這是一個5000萬美元的攻城錘，現(xiàn)在任何人都可以猛擊任何鏈上的彩陶罐。這實(shí)在恐怖。

當(dāng)然，僅憑你很有錢還無法攻擊協(xié)議。如果DeFi堆棧如它宣稱的那樣安全，所有這些都不是問題——什么類型的協(xié)議對巨鯨來說是不安全的？你可能會說，沒有考慮這一點(diǎn)就是過失。

但是，我們承認(rèn)以太坊自身也可能會遭受51%的攻擊，當(dāng)前的攻擊成本是每小時不到20萬美元。這不算非常多的資金。如果以太坊自身的安全模型都基本上是構(gòu)建在資本限制上，那么，為什么我們要如此快地去嘲笑可以被1000萬美元成功攻擊的DeFi應(yīng)用？（明確地說，我不認(rèn)為這些數(shù)字——這一數(shù)字方便地忽略了滑點(diǎn)和供應(yīng)不足——加上共識層安全和應(yīng)用層安全是兩碼事。但你明白這個意思。）

那么，如何減輕閃貸攻擊？

假設(shè)我是DeFi協(xié)議，我想避免被閃貸攻擊。自然的可能問題是，我能否檢測到與我交互的用戶是否在使用閃貸？

簡單答案是：不。

EVM并不允許你從任何其他合約中讀取存儲。因此，如果你想知道其他合約正在發(fā)生什么，則可以通過該合約告訴你。因此，如果你想知道是否閃貸合約在被使用，你必須直接詢問合約。如今，很多借貸協(xié)議并沒有對這種查詢做出響應(yīng)（而且一般來說，也沒有辦法強(qiáng)迫閃貸借貸者的行為）。另外，即便你試圖檢查，通過使用代理合約或通過串聯(lián)閃貸池也容易誤導(dǎo)此類查詢。簡單來說，通常很難辨別一個存儲用戶是否在使用閃貸。

簡言之，如果有人拿著1000萬美元敲你合約的前門，你無法判斷這是否是他們自己的錢。那么，我們有什么真正的選擇可以防止閃貸攻擊？我們可以考慮如下幾種方法。

說服閃貸借貸池停止提供服務(wù)。

哈，開玩笑。這是加密世界，你們懂的！

認(rèn)真地說，試圖讓借貸池停止提供閃貸就像是試圖停止噪音污染——這是典型的公地悲劇。提供閃貸符合每個協(xié)議的自身利益，且出于合理原因，它們的用戶也希望使用這一功能。因此，我們盡可忽視這一條。閃貸并不會消失。

強(qiáng)制關(guān)鍵交易跨兩個區(qū)塊進(jìn)行

請注意，閃貸允許你在單個交易時間段內(nèi)借入資金。如果你需要一個資本密集型交易跨越兩個區(qū)塊，那么，用戶必須取出至少兩個區(qū)塊的貸款，由此擊敗任何閃貸攻擊。（注意：為此，用戶必須將其資產(chǎn)鎖定在兩個區(qū)塊之間，以防止他們償還貸款。如果你沒有正確地考慮設(shè)計，則用戶可能只是在這兩個區(qū)塊中實(shí)施閃貸攻擊）

顯然，這會帶來巨大的UX權(quán)衡：它意味著交易不再是同步的。它對普通用戶來說極其糟糕，這是很難下決心采取的措施。（藍(lán)狐筆記：為了防止閃貸攻擊，導(dǎo)致用戶體驗(yàn)糟糕，顯然是下策）

很多開發(fā)者對異步智能合約操作感到煩惱，例如，與layer 2的交互，以及以太坊2.0的跨分片通信。具有諷刺意味的是，異步其實(shí)讓這些系統(tǒng)在應(yīng)對閃貸時更安全，因?yàn)槟銦o法在單個原子交易中橫跨分片或layer 2。這意味著不會有跨ETH2.0分片或在layer 2針對DEX的閃貸攻擊。

要求提供鏈上證明，以證明用戶的先前余額并沒有因?yàn)殚W貸而改變

如果能有方法檢測出用戶真實(shí)的余額多少（也就是他們獲得借款之前的余額），我們就可以擊敗閃貸攻擊。

無法在EVM中本地執(zhí)行此操作，不過，你可以做點(diǎn)帶有黑客意味的事情。這就是你要做的：

在用戶與你的協(xié)議交互之前，你要求提供可以證明之前區(qū)塊末尾的Merkle證明，他們有足夠的余額來解釋他們當(dāng)前使用的資金。你需要對每個區(qū)塊上的每位用戶跟蹤這一點(diǎn)。（Ari Juels向我概述了此方法）

這種方法可能有些效果。當(dāng)然，它也存在棘手問題：在鏈上驗(yàn)證這些鏈上證明非常昂貴，并且沒有用戶會想要生成這些證明以及為此支付gas費(fèi)用。另外，出于完全正當(dāng)理由，用戶有可能在早些時候在同一區(qū)塊中已更改了余額。因此，從理論上它有一些優(yōu)點(diǎn)，但這不是一個切實(shí)的解決方案。

以上提到的三個解決方案沒有一個有特別的希望。我相信，沒有針對閃貸攻擊的全面防御措施。但是，有兩個特定的應(yīng)用確實(shí)可以緩解閃貸攻擊：基于市場價格的預(yù)言機(jī)和治理代幣。

對于像Uniswap或OasisDEX這樣的基于市場的價格預(yù)言機(jī)，閃貸攻擊使得你在任何情況下都不能將當(dāng)前的中間市場價格用作為預(yù)言機(jī)。對于攻擊者來說，在單個交易中移動中間市場價格并制造閃崩、破壞價格預(yù)言機(jī)，這是孩子的玩法。

這里最好的解決方案是通過TWAP或VWAP使用最后X個區(qū)塊的加權(quán)平均值。Uniswap v2將原生提供這一點(diǎn)。還有Polaris，這是通用的方法，可以為DeFi協(xié)議提供移動平均值。具有諷刺意味的是，Polaris也是由Marble的創(chuàng)始人Max Wolff構(gòu)建的。（Polaris現(xiàn)在已經(jīng)被拋棄，但Max看到了這一角落的東西，值得贊）

鏈上治理本身就是自己罐頭里的蠕蟲。鏈上治理通常由治理代幣持有者之間的代幣加權(quán)投票決定。但是，如果這些治理代幣出現(xiàn)在閃貸借貸池中，那么，任何攻擊者可以撿起大量的治理代幣并搞出任何他們想要的結(jié)果。

當(dāng)然，大多數(shù)治理協(xié)議都要求在投票期間鎖定這些代幣，以防止閃貸攻擊。但是，有些形式的投票并不要求這些，例如carbon投票，或Maker的執(zhí)行合約。如今，隨著閃貸攻擊的出現(xiàn)，這些形式的投票應(yīng)該認(rèn)為完全遭到破壞。

理想情況下，如果治理代幣不可用來閃貸，這就很好。但是，這不取決于代幣的發(fā)行方，而是取決于市場。因此，所有治理行為應(yīng)該要求鎖定，以防止閃貸攻擊。Compound的新COMP代幣更進(jìn)一步，它對所有協(xié)議投票都要求基于時間的加權(quán)，甚至削弱針對其治理代幣的常規(guī)貸款攻擊。

更廣泛地說，所有治理代幣必須有時間鎖。時間鎖要求所有治理決定必須等待一段時間才能生效（Compound的時間鎖是兩天）。這使得系統(tǒng)可以從任何意料之外的治理攻擊中恢復(fù)。盡管MKR還無法被大量閃貸，MakerDAO最近因?yàn)橐资艽祟惞舳惶栒賹?shí)施措施。它最近實(shí)施了24小時的時間鎖，關(guān)閉了此類攻擊向量。

從長遠(yuǎn)看，這一切意味著什么？

我相信bZx攻擊改變了這一切。

這不會是最后一次閃貸攻擊。第二次bZx攻擊是對第一次的模仿，而且我懷疑在未來幾個月會掀起一波攻擊浪潮?，F(xiàn)在，來自世界最遙遠(yuǎn)角落的成千上萬名聰明少年正在嘲笑所有這些DeFi樂高，他們在顯微鏡下觀察，試圖發(fā)現(xiàn)可以實(shí)施閃貸攻擊的方法。如果他們設(shè)法成功利用漏洞，那么，他們就可以賺取幾十萬美元，這在世界上的大部分地區(qū)都是可以明顯改變生活的。

有人稱閃貸并不會改變?nèi)魏螙|西，因?yàn)槿绻粽哂凶銐蛸Y金，這些攻擊總是可能的。這既正確又相當(dāng)不正確。大多數(shù)鯨魚都不知道如何黑智能合約，而大多數(shù)聰明的攻擊者也沒有數(shù)百萬美元的資產(chǎn)。（藍(lán)狐筆記：此處是說，兩者的交集不大。同時具備兩者的是最可怕的攻擊者。但閃貸到來讓攻擊者獲得了免費(fèi)的利器）現(xiàn)在，任何人僅花費(fèi)幾分錢就可以租用一個價值5000萬美元的毀滅球。從現(xiàn)在開始這改變了每個建筑被構(gòu)建的方式。

在bZx攻擊之后，被閃貸攻擊就像是在DAO攻擊后被重入攻擊一樣令人尷尬：你不會得到人們的同情。你應(yīng)該了解這一點(diǎn)。

最后，這些事件讓我想到加密貨幣的一個古老的概念：礦工可提取的價值。礦工可提取的價值是礦工可以從區(qū)塊鏈系統(tǒng)中提取的價值。這包括區(qū)塊獎勵和交易費(fèi)用。但它也包括更多惡意形式的價值提取。例如對交易重新排序或?qū)o賴交易插入?yún)^(qū)塊。

從根本上講，你應(yīng)該將所有這些閃貸攻擊都視為是在內(nèi)存池中可以賺取大量金錢的單個交易。例如，第二次bZx攻擊產(chǎn)生了價值64.5萬美元ETH的收益。如果你一位礦工，你打算開始挖新區(qū)塊，請想象一下，查看先前的區(qū)塊交易，并對自己說：“等等，那是什么？當(dāng)最后一個區(qū)塊包含64.5萬美元的利潤時，我為什么還要打算為區(qū)區(qū)500美元左右的收益挖新區(qū)塊呢？”你不會選擇去擴(kuò)展區(qū)塊鏈，而是回去并試圖重寫歷史，以使自己成為閃貸攻擊者。想想看：僅此一筆交易就比4小時誠實(shí)地開采以太坊來得多！

這與包含1000倍于常規(guī)區(qū)塊獎勵的特殊超級區(qū)塊是同構(gòu)的，正如你預(yù)期的那樣，這樣的超級區(qū)塊的理性結(jié)果應(yīng)該是礦工競相競爭以孤立鏈的打賞并為自己偷取該區(qū)塊。

在均衡狀態(tài)下，所有閃貸攻擊應(yīng)該最終會被礦工提取。（請注意，他們也應(yīng)該會最終竊取所有鏈上套利和清算）具有諷刺意味的是，這會阻止閃貸攻擊的發(fā)生，既然它會導(dǎo)致攻擊者無法利用這些漏洞來獲利。或許最后礦工會通過私人渠道征集攻擊代碼，并向潛在的攻擊者支付發(fā)現(xiàn)者費(fèi)用。從技術(shù)上講，可以使用零知識證明無須信任地完成此類操作。

但這一切現(xiàn)在都還是科幻小說。顯然礦工今天還沒有這么做。

他們?yōu)槭裁床荒兀?/p>

有大量的原因。它很難，需要很多工作。EVM很難模擬，它有風(fēng)險，可能會有漏洞導(dǎo)致?lián)p失資金或孤塊，流氓礦池可能會面臨PR危機(jī)，被人們冠以“以太坊敵人”的烙印。就目前來看，相對于這么做的收益，礦工可能會在業(yè)務(wù)、R&D以及孤塊上損失更多。

今天是如此。未來不一定永遠(yuǎn)如此。

這為以太坊提供了另外一個動力，以加速并過渡到ETH2.0。盡管以太坊上的DeFi總是很有趣，但它是絕對和不可撤銷的。DeFi在PoW鏈上不穩(wěn)定，因?yàn)樗懈邇r值交易都受制于礦工的重新分配（也稱時間劫匪攻擊）。

為了讓這些系統(tǒng)大規(guī)模運(yùn)行，你需要最終性——讓礦工無法重寫已確認(rèn)的區(qū)塊。這將保護(hù)先前區(qū)塊的交易免遭重新分配。此外，如果DeFi協(xié)議存在于單獨(dú)的ETH2.0分片中，它們不容易遭到閃貸攻擊。

據(jù)我估計，閃貸攻擊給我們一個小的但有用的提醒，那就是現(xiàn)在還很早期。我們還遠(yuǎn)沒擁有可持續(xù)的架構(gòu)，一個可為未來金融系統(tǒng)構(gòu)建的架構(gòu)。

目前，閃貸會是新常態(tài)。也許從長期看，所有以太坊上的資產(chǎn)都可用于閃貸：交易所持有的所有抵押品，Uniswap中的所有抵押品，也許所有ERC-20代幣本身。

誰知道呢？這只是幾行代碼的事。