时间:2023-08-25|浏览:217
原文标题:《ValueDeFi遭攻击始末,闪电贷这次又带走了700万美元》
撰文:rekt
编译:隔夜的粥
北京时间11月15日凌晨,去中心化金融协议ValueDeFi遭遇闪电贷攻击。攻击者通过复杂的方式,从Value协议的金库中转移走了大约700万美元。随后再归还了200万美元,并附上了一条嘲讽性言论:“你们真的懂闪电贷吗?”。在攻击发生前一天,ValueDeFi公开宣称自己是DeFi领域最安全的协议,并且能够抵抗闪电贷攻击。
此次详细分析由rekt完成。
他们真的理解闪电贷(flashloan)吗?
声誉的价值是不稳定的,谦虚能够带来稳定,而吹嘘过多最终只会自降身份。
ValueDeFi今天因为闪电贷攻击损失了700万美元,再次给我们带来了对闪电贷的痛感教训。
黑客攻击前代币价格为2.73美元,攻击后降至1.87美元。
令人啼笑皆非的是,就在黑客攻击前一天,项目方发布了以下推文:“我们的协议是安全的。”
尽管ValueDeFi团队大胆宣称自己的协议很安全,但他们似乎并不知道提款不仅可以通过主合约进行,还可以通过代理从金库合约中提取。ValueDeFi使用了Curve现货价格第7步的取款使用了错误的Curve函数进行数学运算。
攻击者选择了对ValueDeFi团队非常不利的时机,攻击发生在他们要开始AMA活动的20分钟前。
在攻击发生后,一位用户在15:41提问为什么协议锁仓值(TVL)下降,而当天早些时候ValueDeFi的锁仓值曾超过1100万美元。
到15:49时,人们的担忧越来越大,协议团队成员则告知他们这是一个UI漏洞。
然后在15:49,有人在聊天室分享了etherscan链接。
攻击者转移了价值700万美元的ValueDeFi金库资金,并归还了200万美元,并附上了这样一段话:“你们真的懂闪电贷吗?”
在16:00,就在AMA活动即将开始时,StaniKulechov发布了一条推文,告知大家发生了什么。
同时,在AMA活动中,Value团队在16:05承认了这次攻击。AMA的问题则在40分钟内持续讨论,但都和攻击无关,直到......
$FARM、$AKRO以及$VALUE都成为闪电贷攻击的受害者,它们因为协议薄弱遇到了严重教训。攻击者通过返回一些金额来似乎表达一些“善意”。
这些攻击想要教给我们什么呢?
闪电贷在DeFi领域是一个有争议的话题,近几个月来,它们一直是很多攻击及漏洞的主要原因。但可以说,闪电贷只是在加速我们的学习过程,并有助于消除薄弱的协议。
如果没有闪电贷,未来也可能会有“鲸鱼”来实施类似行动。最好是在去中心化金融(DeFi)的起源阶段经历这个过程,因为准备冒险的人每天都在试验、尝试和发布新产品。
闪电贷正是来教导那些冒进者的,告诉他们为何要谦卑。它们处在DeFi的顶点,这在其他地方是不可能的。闪电贷是DeFi技术带来新功能的完美例子。
这是DeFi的一个特性,而不是对代码的利用。
最强大的协议不会受到这些攻击的影响,有些甚至能够从中受益。
可以说,闪电贷加剧了DeFi开发者的门槛。
在新标准得到满足之前,人们和协议会遭到攻击。这将是痛苦的,但也将是公开的。但正因为如此,我们需要学习。DeFi将变得更强,我们将为未来的用户开发更好的实践、更强的代码以及更安全的环境。
用戶喜愛的交易所
已有账号登陆后会弹出下载