闪电贷攻击
什么是闪电贷攻击?
闪电贷攻击是一种去中心化金融 (DeFi) 攻击,其中指定支持提供闪电贷的智能合约受到攻击,以窃取存储在任何特定池中的资产。在此类攻击中,恶意行为者开设一笔贷款,利用借来的资金套利购买其他资产,并快速偿还贷款,将整个过程中留下的资产作为利润。
重要的是要明白,这种暴露只能发生在 DeFi 协议中,因为它们是无需许可的,并且完全由智能合约运行。虽然去中介化带来了很多好处,例如节省成本和抵抗审查,但由于没有第三方监督通过闪贷合约提供的无抵押贷款,使得 DeFi 平台很容易受到此类攻击。
这种类型的恶意活动实际上很复杂且难以实施,但不知何故,网络犯罪分子在许多案例中都取得了成功。
大多数闪电贷攻击涉及使用借入资金从其他 DeFi 协议套利资产。例如,在一次 bZx 协议攻击中,黑客从合约中取出一笔贷款,并立即将其转换为稳定币。但由于智能合约仅根据输入的数据发挥作用,因此它们可能容易受到某些攻击。攻击者利用这一点,通过下达大量买入订单来操纵稳定币 sUSD 的价格,这有助于将稳定币的价格推高至预期价值的两倍。从那里,他使用交换的 sUSD 作为抵押品获得了更大的贷款。然后,他偿还了所有这些贷款,并带走了剩余的资产作为利润。
早些时候,同一平台上发生了另一起著名的闪电贷攻击。闪电贷攻击者在 dYdx(一款借贷 DApp)上提取了一笔闪电贷,并将该闪电贷中的资金发送至Compound 和 Fulcrum——在 Fulcrum 上,攻击者用 Wrapped Bitcoin(WBTC)做空 ETH,同时还取出了WBTC 的复合贷款。无需过多了解具体细节,当 WTBC 的价格由于 Fulcrum 收购 WBTC 的影响而上涨时,闪电贷攻击者在 Uniswap 上翻转了他们的 WBTC,偿还了自己的 WBTC,并带走了任何剩余的 ETH。
2021 年 5 月,基于币安智能链的流动性挖矿聚合商 PancakeBunny 也经历了闪贷攻击。闪电贷攻击者在 PancakeBunny 上借入了大量 BNB,从而操纵了币安 USD 稳定币和 Bunny 代币的价格——当闪电贷黑客将 Bunny 抛售到市场上时,价格暴跌。
