明天(12/1)就是萬眾矚目的以太坊 2.0 第零階段啟動日,但目前運行在以太坊網路的眾多 DeFi 項目卻苦於閃電貸攻擊。對此,預言機(Oracle)平台 Chainlink 執行長 Sergey Nazarov 建議,DeFi 協議應該盡快改善資料來源的取得方式。
(知識補充:科普|究竟什麼是閃電貸?DeFi 近一個月就連爆 4 起相關攻擊)
今年紅極一時的去中心化金融(DeFi)為以太坊(Ethereum)帶來了一個繁忙的夏季,許多用戶因此期待以太坊 2.0 更新有效緩解網路壅塞後,能再創 DeFi 榮景。
明天(12/1)Eth2 終於要正式啟動第零階段,一片前程似錦,反觀 DeFi 領域近來卻為了解決各種資安事件疲於奔命。如果 DeFi 的安全性無法提升,造成用戶漸漸失去信心,那麼在 Eth2 順利擴容之後恐怕會顯得有些空曠。
對此,去中心化預言機平台 Chainlink 共同創辦人兼執行長那札羅夫(Sergey Nazarov)週五(11/27)向外媒《Decrypt》表示,DeFi 項目必須改變他們獲取資料的方式,否則難以擺脫最近常見的「閃電貸」(flash loan)攻擊。
預言機數據來源多元化
閃電貸是區塊鏈獨有的一種貸款方式,只在一個區塊的時間內有效,若在此之前未能償還款項,借款就失敗。通常閃電貸攻擊是結合套利手段,先用閃電貸借出大量代幣放進 DeFi 協議,造成嚴重的價格落差,便形成套利空間。
其中,價格變動又和 DeFi 協議使用的預言機(oracle)有關。通常 DeFi 項目會透過預言機讀取外部資料,再代入本身的價格公式計算出結果。
近期較重大的案例如 27 日損失將近 1 億美元的借貸協議 Compound,以及 10 月底被盜走 2,400 萬美元的 Harvest Finance,他們的預言機都僅依賴穩定幣交易所 Curve 提供資料。
延伸閱讀:DeFi突發!Compound 疑遭預言機攻擊,釀 「1 億美元」史上最大清算規模
延伸閱讀:專欄|Harvest 攻擊者的上億「洗錢工具」: Incognito 賦予DeFi「無痕模式」提供跨鏈隱私
那札羅夫指出,這些協議會被攻擊正是因為資料來源太過單一。他說道:
所有攻擊都與使用單個中心化交易所作為價格來源有關,即使協議開始從兩個或三個來源獲取數據,此類攻擊仍將繼續發生。
接著他舉自家預言機作為正面例子表示,因為 Chainlink 的數據取自「數百間交易所」,所以目前還不曾遭到閃電貸攻擊。
不過規模最大的去中心化交易平台 Uniswap 創辦人亞當斯(Hayden Adams)本日推文反駁道,如果高達 95% 的交易量和流動性都存在同一交易所裡的話,那麼將它的資料和其他交易所平均,反而會拉低數據品質。並且直言,像 Chainlink 這種提供鏈下資料的預言機,和讀取鏈上數據的預言機根本不適合拿來類比。
就算 Chainlink 資料來源的多樣性可以某種程度上減少 DeFi 協議出現大幅價差的風險,但他們 9 月也曾遭受垃圾郵件攻擊(spam attack)。總而言之,DeFi 領域在安全性方面確實還有很多努力空間。
1/
I disagree with a few things here.
First, the number of unique price sources is quite meaningless on its own.
For example, if 95% of a tokens volume and liquidity is one one exchange, averaging in 4 others could lower the quality of the price feed. https://t.co/aL2lGkWUpC
— Hayden Adams 🦄 (@haydenzadams) November 30, 2020
📍相關報導📍
DeFi 再傳「閃電貸攻擊」事件!Origin Dollar遭駭700萬美元,穩定幣OUSD跌逾 85%
Sushi|”嘴遁” 讓 DeFi 駭客停下攻擊?0xMaki : 我已經看到你了,請用Discord聯絡我領獎勵
YFI的第四宇宙|AC光速完成「第4次」DeFi項目合併,保險協議 COVER 併入 Yearn Finance
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
