今天上午,OUSD,稳定的货币原产地协议,被暴露和闪电贷款攻击。原产地协议在戴损失225万美元,在ETH损失100万美元。此后不久,Origin Protocol创始人Matthew Liu公布了Origin Dollar()闪电贷款攻击的细节。
文章称,闪电贷攻击已造成约700万美元的损失,其中包括Origin及其创始人和员工存入的100多万美元。Origin团队正在尽一切努力确定漏洞的原因以及能否追回资金,并强调团队不会离开。攻击不是诈骗也不是内部骗局,说黑客技术过硬,愿意聘请他做安全顾问。如果黑客全额返还资金,将不会被跟踪,也不会采取法律措施。迄今没有取得进一步进展。
Origin还特别提醒用户,金库押金已取消,不要在Uniswap或Sushiswap上购买OUSD。Origin团队也表示正在采取措施追回资金,包括与交易所和其他第三方合作,以确定黑客的地址并冻结资金。黑客使用Tornado Cash和renBTC洗钱和转移资金。目前黑客钱包里还剩下7,137 ETH和224.9万DAI。
来源:媒体
受袭击影响,OUSD价格大幅下跌至0.13美元,OUSD在Uniswap的流动性也从16日的35万美元跌至12万美元。
至于具体的攻击手段,根据Origin团队目前的分析,攻击者利用一笔小额贷款和OUSD合同中的一个漏洞,启动了所谓的“换基”,攻击者人为夸大了协议中OUSD代币的供应量,然后在SushiSwap和Uniswap上用新生成的代币换取USDT。
三周以来,这已经是嘉实金融、Akropolis、Value DeFi、奶酪银行等第五个遭到闪电贷款攻击的DeFi项目。亏损都在百万美元以上,大部分亏损最终都是散户买单。那么什么是闪电贷攻击呢?为什么DeFi总是被黑客攻击?
01闪电贷款:迷人又危险
也许大部分用户第一次听到“闪电贷攻击”这个词是在今年2月bZx被闪电贷攻击的时候。当时,攻击者仅用了13秒就套利了36万美元。虽然bZx通过admin key限制了操作员提现,攻击者无法真正套利,但此后“闪电贷”频频成为热门话题,巨额套利收益引起了人们的关注。
闪贷属于德菲生态。在DeFi的普及变得全面之后,各种安全问题也随之而来,闪电贷就是一种常见的攻击方式。闪电贷与传统的DeFi贷有很大不同,需要用户前期过度抵押贷款,这也导致了资金利用率低。而闪电贷允许借款人在没有抵押资产的情况下借款,只要求借款人在同一块还款,否则收回,整个交易回滚,闪电贷不会发生。
闪电贷大大提高了资金利用率,同时也埋下了安全隐患。一个连锁交易可以做很多事情,让用户在借款和还款之间加入其他连锁操作,这就给邪恶留下了空间。很多用户恶意借、换、存、借闪电贷大量代币,在DEX中人为操纵代币价格。这就导致了现在常见的闪电贷攻击。
曾经有人这样评价闪电贷。“闪电贷款对德菲来说就是核弹,开关放在广场上。其危险程度与PoS相比,相当于任何人都可以通过押利息来借全网进行51%的攻击。”试想,任何一个没钱却能掌控巨额资金的普通用户,空手套白狼,谁也不感兴趣,可能就是一个只有区块链才能带来的小说金融世界。
但需要注意的是,从交易本身来说,是允许用户使用闪电贷的一系列套利行为的。技术没有对错之分。闪电贷只是一个工具。如果错了,那是因为使用工具的人。
02 DeFi:新奇而脆弱