作者:Samczsun
编译:Savage
进入11月以来,连着有两起闪电贷攻击被报道,Value DeFi 协议和BSC上的CHEESE项目方都遭遇了类似攻击,损失了数百万美元。随着时间的增加,可以预见闪电贷攻击事件可能会越来越多。闪电贷攻击是如何发生的?背后的机制是什么?如何防范类似的攻击呢?
这篇文章中,知名白帽黑客、Paradigm研究合伙人Samczsun指出,价格预言机操纵漏洞是闪电贷等攻击事件的根本原因,并给出了五个相关漏洞案例和六个防御建议,建议DeFi开发者收藏。
2019年年底,我发表了一篇题为 "如何从抵押不足的贷款产品中获得盈利和乐趣 "的文章,文中,我描述了对以太坊 dApp 的经济攻击,这些攻击依赖于一个或多个代币精确的价格数据。而现在已经到2020年末了,让人叹息的是,许多项目还是在犯同样的错误,最近Harvest Finance遭黑客闪电贷攻击事件,就是典型的案例,这一事件,导致协议用户集体损失3300万美元。
开发者对重入等漏洞一般比较熟悉,但预言机操纵则不太被人关注。目前,基于重入性的漏洞出现频率有所下降,而价格预言机操纵的漏洞现在却在频频增加。
是时候该发表一篇关于价格预言机操纵漏洞的文章了。
本文分为三部分。
第一部分小白科普,介绍预言机和预言机价格操纵的基本概念和原理;
第二部分中级进阶,回顾过去跟预言机相关的漏洞案例;
第三部分是对开发者的建议,看看可以应用哪些技术防止项目受到价格预言机操纵的影响。
预言机基本概念和原理
发生在现实生活类似预言机操纵的故事
回到2015年12月1日,星期三,假设你的名字叫David Spargo,你正在澳大利亚墨尔本,Peking Duk演唱会上,你想跟乐队来个近距离接触,但后台通道有两个保安,他们不可能让无关人员直接走进去。
这时候你会想知道,如果你表现出你跟这里很熟,保安们会有什么反应。乐队成员的亲属肯定会被允许到乐队后台参观,所以你要做的就是让保安们相信你是亲属。
你想了一下,想出了一个只能用天才或绝对疯狂来形容的计划。
迅速布置好一切后,你自信地走到保安面前,自我介绍说,自己是David Spargo,Peking Duk乐队成员的家人。当保安要求你提供证据时,你向他们展示了无可辩驳的证据--维基百科。
保安向你招手,让你等等。一分钟过去了,两分钟过去了...五分钟后,你在想是否应该在执法部门出现前逃走。当你准备放弃,乐队成员之一的Reuben Styles走过来做了自我介绍,随后你和他一起走进后台休息室,乐队对你的聪明才智印象深刻,最后你们一起喝了几杯啤酒。再后来,他们在自己的Facebook页面上分享了那晚发生的事情。
最低0.47元/天 解锁文章
扫一扫
1404
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
