閃電貸攻擊
什麼是閃電貸攻擊?
閃電貸攻擊是一種去中心化金融 (DeFi) 攻擊,其中指定支援提供閃電貸的智能合約受到攻擊,以竊取儲存在任何特定池中的資產。在此類攻擊中,惡意行為者開設一筆貸款,利用借來的資金套利購買其他資產,並快速償還貸款,將整個過程中留下的資產作為利潤。
重要的是要明白,這種暴露只能發生在 DeFi 協議中,因為它們是無需許可的,並且完全由智能合約運行。雖然去中介化帶來了許多好處,例如節省成本和抵抗審查,但由於沒有第三方監督透過閃貸合約提供的無抵押貸款,使得 DeFi 平台很容易受到此類攻擊。
這種類型的惡意活動實際上很複雜且難以實施,但不知何故,網路犯罪分子在許多案例中都取得了成功。
大多數閃電貸攻擊涉及使用借入資金從其他 DeFi 協議套利資產。例如,在一次 bZx 協議攻擊中,駭客從合約中取出一筆貸款,並立即將其轉換為穩定幣。但由於智能合約僅根據輸入的資料發揮作用,因此它們可能容易受到某些攻擊。攻擊者利用這一點,透過下達大量買入訂單來操縱穩定幣 sUSD 的價格,這有助於將穩定幣的價格推高至預期價值的兩倍。從那裡,他使用交換的 sUSD 作為抵押品獲得了更大的貸款。然後,他償還了所有這些貸款,並帶走了剩餘的資產作為利潤。
早些時候,同一平台上發生了另一起著名的閃電貸攻擊。閃電貸攻擊者在dYdx(一款借貸DApp)上提取了一筆閃電貸,並將該閃電貸中的資金發送至Compound 和Fulcrum——在Fulcrum 上,攻擊者用Wrapped Bitcoin(WBTC)做空ETH,同時也取出了WBTC 的複合貸款。無需過多了解具體細節,當 WTBC 的價格因 Fulcrum 收購 WBTC 的影響而上漲時,閃電貸攻擊者在 Uniswap 上翻轉了他們的 WBTC,償還了自己的 WBTC,並帶走了任何剩餘的 ETH。
2021 年 5 月,基於幣安智能鏈的流動性挖礦聚合商 PancakeBunny 也經歷了閃貸攻擊。閃電貸攻擊者在 PancakeBunny 上借入了大量 BNB,從而操縱了幣安 USD 穩定幣和 Bunny 代幣的價格——當閃電貸黑客將 Bunny 拋售到市場上時,價格暴跌。
