DAO:DeFi的黑色星期四_MakerDAO

3月12日的市場崩盤給DeFi行業帶來了一次真正的考驗。即便是DeFi的旗艦產品MakerDAO也無法承受這場危機，在如今的“黑色星期四”期間，它輸給了肆無忌憚的網絡攻擊者800萬美元。然而，這并不是DeFi行業最近面臨的唯一問題。

預演

2月14日，一筆特別的交易同時影響了7個DeFi項目。攻擊者花費了大約8美元的網絡費用，并帶走了大約35萬美元。

在攻擊期間，比特幣對以太坊的價格在Uniswap交易所上漲了兩倍。此次攻擊的主要受害者是保證金交易協議bZx。

Uniswap是一個自動化的流動資金池，其價格通過簡單的公式進行計算，并隨著交易量的增加而顯著增長。

DeFi協議OlympusDAO通過TAP-18提案，將把7700萬DAI部署到DSR:1月22日消息，DeFi協議OlympusDAO通過了TAP-18提案，計劃將7700萬DAI部署到DSR（ DAI儲蓄率） 。提案表示，由于MakerDAO近期通過真實世界資產活動賺取的收入，其將DSR提高到 1%；OlympusDAO作為DAI最大持有者之一，應該利用新的儲蓄率來增加收入。[2023/1/22 11:25:36]

3月份Uniswap的總交易量。來源:zumzoom

保證金交易者借貸購買了他們期望價格上漲的資產。如果價格上漲，則交易者出售資產，償還貸款和利息，并保留其余的。如果價格下跌，交易者將面臨損失。在所有這些過程中，資產由智能合約控制。

DeFi總鎖倉量達到485.7億美元:金色財經報道，據Debank數據顯示，DeFi當前總鎖倉量億為485.7美元，真實鎖倉量為353.1億美元，目前鎖倉量排名前三位的DeFi項目/協議分別是：Maker（58億美元）、WBTC（48億美元）、Compound（40億美元）、Uniswap（39億美元）、Curve（38億美元）。

注：總鎖倉量（TVL）是衡量一個DeFi項目使用規模時最重要的指標，通過計算所有鎖定在該項目智能合約中的ETH及各類ERC-20代幣的總價值（美元）之和而得到。[2021/2/7 19:09:09]

一份智能合約以5倍杠桿開倉時購買了價值超過150萬美元的BTC。bZx開發人員并未檢查覆蓋范圍，他們認為一個正常的人不會冒1300ETH的風險。

但攻擊者的意圖是操縱Uniswap上的比特幣價格。他們以高出市場63%的價格售出了112個比特幣，并獲得了70萬美元的盈利。

以太坊核心開發者：DeFi穩定幣收益率遠高于美國最佳儲蓄率:以太坊核心開發者eric.eth發布推特稱，DeFi穩定幣在現有平臺Aave和Compound收益率幾個月以來一直保持在10-20％之間。考慮到總體上較低的風險，這非常令人驚訝。即使是凈保險，也很容易達到美國最佳儲蓄率的10倍。[2021/1/31 18:29:57]

攻擊詳情

攻擊者使用了一種名為“閃貸”的新工具。閃貸是一種即時貸款可以在發出的同一筆交易中償還。如果錢沒有退還，智能合約會自動撤銷所有更改。

該機制允許安全的無抵押貸款。通常，閃貸被用于套利或清算:你低價買進，高價賣出。在“黑色星期四”期間，閃貸在節約抵押品方面發揮了作用，但攻擊者的行為有所不同。他們在dYdX交易所上獲得了10,000ETH貸款(當時為280萬美元)，并將其一分為二。第一部分送至bZx進行操縱，第二部分用于套利。

中幣（ZB）DeFi挖礦播報：DeFi挖礦總鎖倉量約3806萬美元:據中幣（ZB）平臺數據，今日DeFi挖礦總鎖倉量約為3806萬美元，其中存USDT、存ZB和存QC挖礦的鎖倉量小幅下降，存ETH挖礦的鎖倉量不變。[2020/10/14]

以ETH為單位的閃電貸款量。來源：AAVE閃貸使攻擊者以更低的成本實施該計劃，因為無需尋求需要洗錢的大筆款項。而且，貸款本身實際上是免費的。

2月17日，在恢復運營后，bZx又面臨了一次攻擊。這一次，攻擊者利用閃電貸款操縱了sUSD穩定幣的價格。結果，該協議發放了一筆無抵押貸，估計損失為65萬美元。

CertiK：Balancer遭黑客攻擊損失約90萬人民幣，其他DeFi合約需警惕:6月29日北京時間凌晨2點03分，CertiK天網系統檢查到在區塊10355807處Balancer DeFi合約異常。此次攻擊約獲利90萬人民幣。

安全研究員迅速介入調查，攻擊重現如下：

階段0：攻擊者從dYdX閃電貸處借款，獲得初始WETH資金。

階段1：攻擊者使用WETH將Balancer中的STA盡可能買空，最大程度提高STA價格。

階段2：攻擊者用獲得的STA多次買回WETH。每一次都用最小量的STA（數值為1e-18）進行購買，并利用Balancer內部漏洞函數gulp()，鎖定STA的數目，控制STA對WETH的價格。重復多次該種買回操作，直到將Balancer中的WETH取空。

階段3：換一種代幣，用STA重復階段2直到取空該種代幣。階段三重復了三次，一共有4種代幣受到了損失WETH，WBTC, LINK和SNX。

階段4：償還dYdX閃電貸，離場。

CertiK判斷攻擊者是有經驗的黑客團隊在充分準備后的一次攻擊嘗試，有很大可能還會繼續攻擊其他DeFi合約。[2020/6/30]

Oracle性能

DeFi項目通常從去中心化交易所獲取計算抵押品所需的價格。由于這些平臺的流動性較低，價格容易被操縱。

bZx的開發人員最初從流動性聚合商Kyber那里獲得信息，但在攻擊發生后，他們轉而使用了Chainlinkoracle網絡。Chainlink參與者從不同的交易所獲得價格，并將其記錄在以太坊網絡中。為了保護系統不受虛假信息的影響，計算了平均價格。

當市場陷入恐慌時，Chainlink占用了以太坊總帶寬的22%，因此oracle網絡必須將達成共識所需的投票數量從21減少到7。

MakerDAO使用自己的oracle網絡從交易所收集數據，并通過智能合約計算平均值。這是一個昂貴的系統，開發人員希望對其進行升級。但由于許多DeFi協議使用MakerDAO的預言機，因此可能會影響整個行業。

DeFi啟示錄

這些攻擊說明了DeFi項目在高波動時期的脆弱性。它們算法背后的復雜公式根本行不通。

此類項目的安全審計的一個重要部分是壓力測試，該測試可顯示智能合約在極端情況下的行為。另一個是基于看似隨機動作的猴子測試。像這樣的測試有助于確定新的攻擊媒介，這些攻擊媒介可能會由于引入新的功能而打開。

DeFi意味著集體治理。分權級別越高，決策所需的時間就越多。

為了保證資產安全，某些系統可以被關閉，但當市場不穩定時，這種中斷可能會導致損失。許多團隊已經調整了他們的限制，使操作更加困難。

1）MakerDAO在攻擊后需要24小時來調整設置。

2）bZx漏洞導致16個小時內有超過200萬美元的風險。

3）Compound對其系統進行了升級，以向開發人員提供額外的緊急權限，并在MakerDAO緊急關閉的情況下創建了算法。

4）dYdX提高了它們的交易門檻。

如果沒有避免損失的辦法，應該始終有一個應急計劃。

攻擊發生三周后，bZx開發者發布了一篇文章，描述了實際的攻擊以及為使情況恢復正常所采取的措施。他們對未來265年提出了一系列相當大膽的預測。然而，由于該報告是在股市崩盤前三天發布的，因此可能需要進行一些調整。

結論

MakerDAO清盤人在襲擊期間沒有做好他們的工作。通用代碼中的錯誤不允許用戶參加拍賣。負面的經驗可能會刺激替代客戶端的開發，因為對于大多數DeFi協議而言，只有官方庫。

對負責系統運行的參與者的懲罰也可能成為一種額外的安全措施。

諸如閃貸之類的工具出現可能會導致某些限制和KYC程序。向DeFi協議的參與者發放許可證可能成為一種商業模式。

現有主要協議的開發人員將試圖填補他們的儲備，為將來的攻擊做準備。

決策將需要越來越多的數據，oracle將變得更加復雜，并承擔風險管理職能。

所有這些方面都將在處理能力方面帶來新的挑戰，DeFi可能會遷移到第二個解決方案。

Tags：MakerDAOMakerDAOMaker幣是什么幣DAO幣DAO價格makerdao官網appmakerdao創始人makerdao白皮書

ADA