BSC:思考 | 被誤讀的閃電貸：它只是一個工具_DEF

據PeckShield態勢感知平臺數據顯示，過去一個月，整個區塊鏈生態共生46起較為突出的安全事件。涉及DeFi相關25起、交易所相關4起、勒索相關3起，欺詐事件10起，錢包相關2起，智能合約相關2起。

據PeckShield「派盾」統計數據顯示，2021年5月共計發生25起與DeFi相關的安全事件，損失金額約2.8億美元，其中，閃電貸攻擊約11起，在BSC鏈上發生的與DeFi相關的安全事件15起，在以太坊鏈上的3起，在EOS上的1起。

ChainUP Capital?Joy：交易所突圍要從運營、流量、品牌等層面思考:據官方消息，7月7日，ChainUP Capital合伙人Joy受邀參加由BiBull主辦的《2020牛來啦，數字資產領域的“牛”在哪兒》沙龍活動。

對于交易所如何突出重圍，Joy表示，交易所這個賽道競爭激烈，但是機會依然存在，2019年就有人形容交易所市場是“百所爭鳴”的狀態，去年和今年仍然有新的交易所“脫穎而出”。Joy認為，交易所突圍的點應該多從運營、流量、品牌等層面多思考，現在開交易所技術門檻低，交易所能夠突圍的點已經不在技術層面，因為很多交易所都會把技術交給專注于技術解決方案的第三方服務商，為其提供穩定且安全的技術支撐，這樣交易所團隊能夠把更多時間、精力、資源投入到市場和運營層面。

交易所賽道每年都有突圍者，雖然方式各有不同，但是相同的是對技術的把握，對用戶的友好，對合作伙伴的誠信。[2020/7/7]

動態 | 三菱旗下子公司停止新系統開發 將以區塊鏈結算網絡為基礎重新思考戰略:據日經新聞消息，三菱UFJ金融集團旗下信用卡子公司三菱UFJ NICOS因無法預計與投資相稱的利潤而停止了新系統的開發。三菱UFJ金融集團與Akamai Technologies合作開發的基于區塊鏈技術的高速結算網絡“GO-NET”計劃于2020年上半年開始提供服務。三菱UFJ NICOS此后也將以此為基礎，放棄會對新服務造成負擔的系統統合，重新思考其戰略。[2019/4/22]

閃電貸攻擊頻現，從去年的以太坊轉移到了今年大熱的BSC上，不少人將“閃電貸”解讀為“作惡的源頭”“建立在DeFi之上的核彈”“攻擊者空手套白狼的本金”。

動態 | 中國國防報1月10日第03版全版報道區塊鏈 文章稱應對其審慎思考:中國國防報1月10日“第03版：視點”全版報道區塊鏈，刊文《區塊鏈，離國防領域的運用還有多遠》、《站在區塊鏈的風口上》，以及“一圖帶你了解區塊鏈”。文章稱，當前區塊鏈技術的工作效率難以適應國防需求、競爭機制尚存在安全隱患、區塊鏈應用融入國防體系尚存在兼容問題，值得審慎對待和深入思考。[2019/1/13]

實際上，這些言論是對閃電貸的誤讀，閃電貸只是利用區塊鏈技術，將傳統借貸市場無法實現的事情帶來一種新的可能。理論上，閃電貸借貸允許用戶通過無抵押的方式借出流動性池內的所有通證，并要求用戶在進行一系列互換抵押清算操作之后、交易結束之前歸還所借通證以及固定的借貸成本。

Merculet的創始人：區塊鏈時代的黃金三角型是當前區塊鏈企業應該去思考的:金色財經現場播報 在2018“中國區塊鏈第一辯”暨行業領袖峰會上，Merculet的創始人姜孟君表示：“從企業的‘黃金三角型’角度來講，每個企業應該思考，怎么用更有效的用戶行為做更好的商業化？要么廣告收入，要么商業收入，要么是估值的增加，本身更好的商業化，拿出來一部分做更好的用戶激勵，這是每個區塊鏈時代應該去思考的黃金三角型。”[2018/3/28]

在BSC首次出現的閃電貸攻擊是5月2日，PeckShield「派盾」通過追蹤和分析發現，DeFi協議?SpartanPotocol?遭到閃電貸攻擊。之后閃電貸攻擊出現在BSC鏈上的頻率呈上升趨勢，包括?PancakeBunny、BoggedFinance、AutoShark、BurgerSwap、JulSwap。

PeckShield「派盾」觀察發現，這些閃電貸攻擊手法與以太坊上曾出現的閃電貸攻擊大同小異，只是從以太坊轉移到BSC。隨著年初BSC憑借低手續費、出塊速度快等優勢吸引了一批原以太坊上的DeFi協議和Fork以太坊上的DeFi協議，DeFi的生態日益豐富，綁定在BSC上的資產也越來越多，這也使其成為攻擊者睥睨的「收割場」。

從上述6個閃電貸攻擊案例中，我們發現大部分攻擊與之前發生在以太坊上的攻擊十分相似。

BurgerSwap與OUSD的攻擊手法有異曲同工之妙。基于BSC的BurgerSwap和基于以太坊上?OUSD?的閃電貸+重入攻擊有相似之處，攻擊者都是先從提供閃電兌換的去中心化交易所借出一筆閃電貸，再在智能合約中存入假幣和原生Token，并在此步驟通過重入攻擊來攻擊合約，最后歸還閃電貸完成攻擊。

操縱CurveyPool的閃電貸攻擊在BSC上重現。5月30日，BSC鏈上結合多策略收益優化的AMM協議BeltFinance遭到閃電貸攻擊，PeckShield「派盾」通過追蹤和分析發現，此次攻擊源于攻擊者通過重復買入賣出BUSD，利用bEllipsisBUSD策略余額計算中的漏洞操縱beltBUSD的價格進行獲利。

值得注意的是，Ellipsis是以太坊上DeFi協議Curve授權Fork的項目，多次操縱CurveyPool的價格，以套取穩定幣價差的套利事件重現，ForkCurve的潘多拉魔盒是否已經打開？

綜上，這些重現的閃電貸攻擊都有跡可循，并非沒有防御的辦法。??

PeckShield「派盾」相關安全負責人表示：“協議開發者不僅要讀懂Fork的DeFi協議，還要讀懂自己的協議，協議的樂高性不是簡單的拼接，而是在完全理解原協議背后的邏輯進行組合。目前對于閃電貸攻擊并非沒有解決的辦法。我們發現攻擊者多從已知的漏洞下手，要做的就是在協議上線前做好靜態審計，排除已知的漏洞；當其他協議遭到攻擊時，自查代碼，排除同源漏洞；研究以往的案例，定期做動態審計，避免漏洞重現。除了尋求專業代碼審計團隊的幫助，還需引入第三方安全公司的威脅感知情報和數據態勢情報服務，完善防御系統。在攻擊發生時，確保第一時間感知并及時采取應對措施。”

Tags：區塊鏈EFIDEFBSC區塊鏈dapp開發合法嗎efinity幣分配Defi Shopping StakeThunder Run BSC

火星幣