宣稱是 DeFi 領域最安全協議的 Value DeFi 遭閃電貸攻擊,他們真的理解閃電貸嗎?

原文標題:《Value DeFi 遭攻擊始末,閃電貸這次又帶走了 700 萬美元
撰文:rekt
編譯:隔夜的粥

北京時間 11 月 15 日凌晨,去中心化金融協議 Value DeFi 遭遇閃電貸攻擊,攻擊者通過複雜的方式從 Value 協議的金庫中轉移走了大約 700 萬美元,隨後歸還了 200 萬美元,並附上了一條帶有嘲諷意味的信息 :「你們真的懂閃電貸嗎?」,而在攻擊發生前一日,Value DeFi 公開宣稱自己是 DeFi 領域最安全的協議,並且能夠抵抗閃電貸攻擊。

原文來自 rekt,作者對這次攻擊進行了分析。

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

他們真的理解閃電貸(flashloan)嗎?

聲譽的價值是不穩定的,謙虛能夠帶來穩定,而吹噓太多,最終只會搞砸。

Value DeFi 今天因爲閃電貸攻擊被黑了 700 萬美元,這又是一次關於閃電貸的慘痛教訓。

  1. 黑客攻擊前的代幣價格 - 2.73 美元
  2. 黑客攻擊後的代幣價格 - 1.87 美元

讓人啼笑皆非的是,在黑客攻擊前一天,項目方發佈了這樣一條推文:

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末這條推文後來被刪除了,但我們的截圖還活着

儘管 Value DeFi 團隊大膽宣稱自己的協議很安全,但他們似乎並不知道提款不僅可以通過主合約進行,還可以通過代理從金庫合約中提取。
Value DeFi 使用了 Curve 現貨價格作爲預言機。

而攻擊的詳細步驟如下:

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

操縱發生在第 5 步和第 6 步。

第七步的取款使用了錯誤的 Curve 函數進行數學運算;

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末功勞來自 @FrankResearcher

15:24- 這次攻擊選擇了對 Value DeFi 團隊非常不利的時間點,時間是在他們要開始一次 AMA 活動的 20 分鐘前。

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

在 15:41,一名用戶提問爲什麼協議鎖倉值(TVL)出現了下降,當天早些時候,Value DeFi 鎖倉值一度超過了 1100 萬美元。

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

到了 15:49,人們的擔憂越來越大,而協議團隊成員則告知大家這是一個 UI 漏洞。

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

然後在 15:49,有人在聊天室放出了 etherscan 鏈接。

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

價值 700 萬美元的 Value DeFi 金庫資金被轉移,之後攻擊者歸還了 200 萬美元,並附上了下面這樣一段話:

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末「你們真的理解閃電貸?」

在 16:00,就在 AMA 即將開始的時候,Stani Kulechov 發佈了以下這條推文,告知了大家發生了什麼。

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

同時,在 AMA 活動中;

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

Value 團隊在 16:05 的時候,在 Discord 聊天室承認了這次攻擊,而 AMA 的問題持續了 40 分鐘,討論的都是無關主題,直到……

又一起 DeFi 閃電貸攻擊:詳解 Value DeFi 被盜 700 萬美元始末

$FARM、$AKRO 以及 $VALUE 都成爲了閃電貸的受害者,它們因爲弱協議而遭到了嚴厲的教訓,並且攻擊者都通過返回一些金額來表達一些「善意」。

這些攻擊是想要教我們什麼嗎?

閃電貸在 DeFi 領域是一個有爭議的話題,近幾個月來,它們一直是很多攻擊及漏洞的主要原因,但是可以說,閃電貸只是在加速我們的學習過程,並有助於消除薄弱的協議。

如果沒有閃電貸,未來也可能會有「鯨魚」能夠這樣做,我們最好就在去中心化金融(Defi)的起源階段經歷這個過程,因爲準備冒險的人每天都在試驗、嘗試和發佈新產品。

閃電貸是來教導那些冒進者的,告訴他們爲何要謙卑,它們處在 DeFi 的頂點,這在其他任何地方都是不可能的,閃電貸是 DeFi 這項技術帶來的新功能的完美例子。

這是 DeFi 的一個特性,而不是對代碼的利用。

最強大的協議不會受這些攻擊的影響,有些甚至能夠從中受益。

可以說,閃電貸強行提高了 DeFi 開發者的門檻。

在新標準得到滿足之前,人們和協議會遭到攻擊,這將是痛苦的,而它也將是公開的,但正因爲如此,我們需要學習。DeFi 將變得更強,我們將爲未來的用戶開發更好的實踐、更強的代碼以及更安全的環境。

來源鏈接:rekt.ghost.io