MakerDAO:DeFi的黑色星期四

3月12日的市場崩盤給DeFi行業帶來了一次真正的考驗。即便是DeFi的旗艦產品MakerDAO也無法承受這場危機，在如今的“黑色星期四”期間，它輸給了肆無忌憚的網絡攻擊者800萬美元。然而，這并不是DeFi行業最近面臨的唯一問題。

預演

2月14日，一筆特別的交易同時影響了7個DeFi項目。攻擊者花費了大約8美元的網絡費用，并帶走了大約35萬美元。

在攻擊期間，比特幣對以太坊的價格在Uniswap交易所上漲了兩倍。此次攻擊的主要受害者是保證金交易協議bZx。

Uniswap是一個自動化的流動資金池，其價格通過簡單的公式進行計算，并隨著交易量的增加而顯著增長。

Terra鏈上DeFi鎖倉量為262.1億美元:金色財經報道，據DefiLlama數據顯示，當前Terra鏈上DeFi鎖倉量為262.1億美元，近24小時下降2.72%。在公鏈中排名第2位僅次于以太坊。目前，Terra鏈上DeFi鎖倉量排名前5的分別為：Anchor（141.7億美元）、Lido（73.1億美元）、Astroport（12.7億美元）、Stader（7.55億美元）、Terraswap（6.95億美元）。[2022/3/27 14:20:13]

3月份Uniswap的總交易量。來源:zumzoom

保證金交易者借貸購買了他們期望價格上漲的資產。如果價格上漲，則交易者出售資產，償還貸款和利息，并保留其余的。如果價格下跌，交易者將面臨損失。在所有這些過程中，資產由智能合約控制。

DeFi平臺BadgerDAO披露被盜1.2億美元細節:12月11日消息，在本周的一篇博客文章中，DeFi平臺BadgerDAO 披露了本月早些時候遭黑客攻擊被盜1.2億美元的細節。BadgerDAO 表示，12 月 2 日發生的網絡釣魚事件是由運行在 Badger 云網絡上的應用平臺 Cloudflare 的“惡意注入片段”引起的。黑客使用在 Badger 工程師不知情或未授權的情況下創建的受損 API 密鑰定期注入影響其部分客戶的惡意代碼。

黑客最終竊取了 1.2億美元的資金，但其中大約 900 萬美元是可以追回的，因為這些資金是由黑客轉移的，但尚未從獾的金庫中取出。

Badger 此后修補了 Cloudflare 漏洞，更新了 Cloudfare 的帳戶密碼，并在可能的情況下刪除或更新了 API 密鑰。

Badger 聘請了網絡安全公司 Mandiant 和區塊鏈分析公司 Chainalysis 來調查這一漏洞，并正在與兩家公司以及美國和加拿大的當局合作，以追回任何可能的資金。

此前報道，去中心化組織BadgerDAO遭受黑客攻擊，損失達1.2億美元，包括約2,100枚BTC和151枚ETH。（coindesk）[2021/12/11 7:32:02]

一份智能合約以5倍杠桿開倉時購買了價值超過150萬美元的BTC。bZx開發人員并未檢查覆蓋范圍，他們認為一個正常的人不會冒1300ETH的風險。

以太坊上DeFi協議總鎖倉金額168.5億美元:據歐科云鏈OKLink數據顯示，截至今日11時30分，以太坊上DeFi協議總鎖倉金額約合168.5億美元。當前鎖倉金額排名前三的協議分別是Maker 25億美元（-4.41%），WBTC 21.7億美元（-5.36%）以及Compound 16億美元（-4.22%）。[2020/12/9 14:40:13]

但攻擊者的意圖是操縱Uniswap上的比特幣價格。他們以高出市場63%的價格售出了112個比特幣，并獲得了70萬美元的盈利。

攻擊詳情

攻擊者使用了一種名為“閃貸”的新工具。閃貸是一種即時貸款可以在發出的同一筆交易中償還。如果錢沒有退還，智能合約會自動撤銷所有更改。

該機制允許安全的無抵押貸款。通常，閃貸被用于套利或清算:你低價買進，高價賣出。在“黑色星期四”期間，閃貸在節約抵押品方面發揮了作用，但攻擊者的行為有所不同。他們在dYdX交易所上獲得了10,000ETH貸款(當時為280萬美元)，并將其一分為二。第一部分送至bZx進行操縱，第二部分用于套利。

DeFi 概念板塊今日平均漲幅為2.71%:金色財經行情顯示，DeFi 概念板塊今日平均漲幅為2.71%。47個幣種中29個上漲，18個下跌，其中領漲幣種為：SUSHI(+37.61%)、MLN(+18.88%)、BZRX(+17.20%)。領跌幣種為：DMG(-9.99%)、LBA(-5.86%)、WNXM(-4.02%)。[2020/11/20 21:25:59]

以ETH為單位的閃電貸款量。來源：AAVE閃貸使攻擊者以更低的成本實施該計劃，因為無需尋求需要洗錢的大筆款項。而且，貸款本身實際上是免費的。

IBM高管透露將幫助銀行探索DeFi領域:IBM金融服務和數字資產總監Nitin Gaur在接受采訪時表示，銀行必須了解和擁抱DeFi，這可能會影響其整個商業模式。Gaur稱，DeFi給金融機構帶來一系列監管挑戰，目前大多數金融機構在涉及DeFi時仍處于探索階段，處于真正去中心化金融與僅對傳統證券進行數字化改革的十字路口。IBM相信可以幫助他們的客戶應對。此外，Gaur預計“接下來大型銀行會介入該領域”。（cointelegraph）[2020/8/12]

2月17日，在恢復運營后，bZx又面臨了一次攻擊。這一次，攻擊者利用閃電貸款操縱了sUSD穩定幣的價格。結果，該協議發放了一筆無抵押貸，估計損失為65萬美元。

Oracle性能

DeFi項目通常從去中心化交易所獲取計算抵押品所需的價格。由于這些平臺的流動性較低，價格容易被操縱。

bZx的開發人員最初從流動性聚合商Kyber那里獲得信息，但在攻擊發生后，他們轉而使用了Chainlinkoracle網絡。Chainlink參與者從不同的交易所獲得價格，并將其記錄在以太坊網絡中。為了保護系統不受虛假信息的影響，計算了平均價格。

當市場陷入恐慌時，Chainlink占用了以太坊總帶寬的22%，因此oracle網絡必須將達成共識所需的投票數量從21減少到7。

MakerDAO使用自己的oracle網絡從交易所收集數據，并通過智能合約計算平均值。這是一個昂貴的系統，開發人員希望對其進行升級。但由于許多DeFi協議使用MakerDAO的預言機，因此可能會影響整個行業。

DeFi啟示錄

這些攻擊說明了DeFi項目在高波動時期的脆弱性。它們算法背后的復雜公式根本行不通。

此類項目的安全審計的一個重要部分是壓力測試，該測試可顯示智能合約在極端情況下的行為。另一個是基于看似隨機動作的猴子測試。像這樣的測試有助于確定新的攻擊媒介，這些攻擊媒介可能會由于引入新的功能而打開。

DeFi意味著集體治理。分權級別越高，決策所需的時間就越多。

為了保證資產安全，某些系統可以被關閉，但當市場不穩定時，這種中斷可能會導致損失。許多團隊已經調整了他們的限制，使操作更加困難。

1）MakerDAO在攻擊后需要24小時來調整設置。

2）bZx漏洞導致16個小時內有超過200萬美元的風險。

3）Compound對其系統進行了升級，以向開發人員提供額外的緊急權限，并在MakerDAO緊急關閉的情況下創建了算法。

4）dYdX提高了它們的交易門檻。

如果沒有避免損失的辦法，應該始終有一個應急計劃。

攻擊發生三周后，bZx開發者發布了一篇文章，描述了實際的攻擊以及為使情況恢復正常所采取的措施。他們對未來265年提出了一系列相當大膽的預測。然而，由于該報告是在股市崩盤前三天發布的，因此可能需要進行一些調整。

結論

MakerDAO清盤人在襲擊期間沒有做好他們的工作。通用代碼中的錯誤不允許用戶參加拍賣。負面的經驗可能會刺激替代客戶端的開發，因為對于大多數DeFi協議而言，只有官方庫。

對負責系統運行的參與者的懲罰也可能成為一種額外的安全措施。

諸如閃貸之類的工具出現可能會導致某些限制和KYC程序。向DeFi協議的參與者發放許可證可能成為一種商業模式。

現有主要協議的開發人員將試圖填補他們的儲備，為將來的攻擊做準備。

決策將需要越來越多的數據，oracle將變得更加復雜，并承擔風險管理職能。

所有這些方面都將在處理能力方面帶來新的挑戰，DeFi可能會遷移到第二個解決方案。

Tags：MakerDAOMakerDAOMaker幣是什么幣DAO幣DAO價格makerdao官網appmakerdao創始人makerdao白皮書

酷幣