前言：bZx事件發(fā)生之后，加密社區(qū)開始重視閃貸攻擊。本文作者Haseeb認為閃貸用于套利不是其最大的用例，它最大的用例在于釋放了閃貸攻擊。閃貸攻擊無法消失，且很難阻止。有些阻止攻擊的措施看似合理，但成本很高，不切實際。而當前改進主要集中在價格預言機和治理代幣機制上。比如價格采用通過TWAP或VWAP使用最后X個區(qū)塊的加權平均值的機制。治理代幣采用時間鎖機制等。此外，如果閃貸攻擊的利益足夠高，礦工也可能會參與作惡?？傊媾R閃貸攻擊，DeFi還需要更好的應對。

閃貸最近成為加密社區(qū)關注的焦點。最近發(fā)生了兩次使用閃貸對保證金交易協(xié)議bZx的攻擊，第一次是35萬美元的攻擊，第二次是60萬美元的模仿攻擊。

用一句話來總結(jié)，這些攻擊非?！叭A麗”。每次攻擊中，攻擊者不用花費一分錢立即借到數(shù)十萬美元的ETH，然后通過一系列脆弱的鏈上協(xié)議，賺取數(shù)十萬被盜資金，最后歸還借來的數(shù)額巨大的ETH貸款。所有這些都是瞬間發(fā)生的。也就是說，在單個以太坊交易中完成。

我們不知道這些攻擊者是誰或他們來自哪里。他們進來時兩手空空，離開時拿走數(shù)十萬美元的價值，且都沒有留下痕跡。

在這些攻擊之后，我一直在思考閃貸及其對DeFi安全的影響。我認為這值得公開思考。簡言之，我認為閃貸對DeFi是巨大的安全威脅。但是，閃貸并不會消失，我們需要仔細思考它們對未來DeFi安全的影響。

什么是閃貸

閃貸的概念最初由Marble 協(xié)議的創(chuàng)建者Max Wolff于2018年提出。Marble在市場上將自己宣稱為“智能合約銀行”，其產(chǎn)品非常簡單，但極具DeFi創(chuàng)新：通過智能合約進行零風險貸款。（藍狐筆記：關于什么是閃貸，可以參考之前的文章《加密閃貸：互聯(lián)網(wǎng)貨幣的神奇新發(fā)明》《閃貸策略：攻擊者能取走Maker的7億美元抵押品嗎？》《bZx事件的啟示》）

怎么可能有零風險的貸款？

傳統(tǒng)的貸方承擔兩種形式的風險。首先是違約風險：如果借款人卷款跑了，很糟糕。貸方的第二個風險是流動性不足的風險：如果貸方在錯誤時間貸出太多資產(chǎn)，或者沒有及時收回還款，貸方可能會意外地缺乏流動性，且無法履行其義務。

閃貸減輕了這兩種風險。閃貸基本上是這樣運作的：我在單個交易中借給你想要數(shù)額的錢。但是，在這筆交易結(jié)束之前，你必須至少償還我借給你的錢。如果你無法執(zhí)行此操作，我會自動回滾你的交易。是的，智能合約可以做到這一點。

簡言之，你的閃貸具有原子性：如果你無法償還貸款，整個事情就會還原，就像是借貸從未發(fā)生過一樣。這樣的事情只能發(fā)生在區(qū)塊鏈。例如，你無法在BitMEX上閃貸。這是因為智能合約平臺一次只能處理單個交易，因此，在單個交易發(fā)生的所有事情都是作為批處理按次序執(zhí)行。你可以將其看作為交易執(zhí)行期間的“凍結(jié)時間”。另一方面，中心化交易所可能會出現(xiàn)競爭狀況，以致于你的訂單無法履行。在區(qū)塊鏈上，可以確保的是，你的所有代碼都是按次序運行。

因此，讓我們思考一下這里的經(jīng)濟學。傳統(tǒng)的放貸人在兩個方面得到補償：他們承擔的風險（違約風險和流動性風險），以及他們借出資本的機會成本（例如，如果我能在其他地方獲得2%的利息，那么，借款人必須向我支付高于2%的無風險費用）。

而閃貸不同。從字面意義上說，閃貸沒有風險，且沒有機會成本。這是因為借款人在其閃貸期間“凍結(jié)了時間”，因此，在其他人眼中，系統(tǒng)的資本從未有風險且無負擔，它也無法在其它地方賺取利息（即，它沒有機會成本）。

在某種意義上，這意味著成為閃貸的放貸人沒有成本。這是非常反直覺的。那么，均衡時的閃貸成本應該是多少？（藍狐筆記：這里說的均衡時，是指經(jīng)過充分競爭且發(fā)展成熟穩(wěn)定時）

基本上，閃貸應該是免費的?；蛘吒‘?shù)淖龇ㄊ?，支付小額費用，以分攤包括使得資產(chǎn)可實現(xiàn)閃貸的額外三行代碼的成本。

閃貸無法收取傳統(tǒng)意義上的利息，因為這種貸款有效期為零（任何APR*0=0）。當然，如果閃貸放貸人收取更高的費用，他們很容易就被其他收取較低利率的閃貸池所超越。

閃貸使得資本變成真正的商品。這種競爭不可避免地會導致零費用或微不足道的象征性費用。dYdX當前對閃貸收取零費用。另一方面，AAVE對閃貸收取本金0.09%的費用。我懷疑這是不可持續(xù)的，確實，他們社區(qū)中的一些人呼吁將費用消減至零。（請注意，這兩次攻擊都沒有使用AAVE作為他們的閃貸池）

閃貸有何用處？

閃貸最初的宣傳是它們基本上用于套利。Marble的公告聲稱：

“通過閃貸，交易者可以從Marble銀行借錢，隨后在一個DEX上買入代幣，并以更高的價格在另外一個DEX上賣出代幣，然后將錢還給銀行，并且在單個原子交易中獲得套利收益?！?/p>

的確如此——就交易量來說，迄今為止，大多數(shù)閃貸都用于此類套利。

不過交易量較小。AAVE的閃貸業(yè)務開展以來，其借貸額僅為1萬美元。與DeFi的套利和清算市場相比，這是微不足道的。

這是因為大多數(shù)套利都由運行復雜機器人的競爭套利人執(zhí)行。他們從事鏈上優(yōu)先gas拍賣，并使用gas代幣來優(yōu)化交易費用。這是非常有競爭力的市場，這些人非常樂意在其資產(chǎn)負債表上保留一些代幣，以優(yōu)化其收益。

另一方面，在AAVE上借錢花費80kgas成本，且收取本金0.09%的費用，這對競爭微薄差額的套利者來說，付出的價格很高。實際上，在大多數(shù)AAVE的套利中，借款人最終向借貸池支付的費用高于他們套利賺取的收益。

從長遠看，除非情況特殊，否則套利者不太可能使用閃貸進行套利。但閃貸在DeFi中存在其他更引人注目的用例。其中一個例子是貸款再融資。例如，假設我有一個Maker小金庫（藍狐筆記：也就是抵押債務頭寸），其中鎖定了100美元的ETH，我從中借出了40 DAI的貸款，也就是說，除去債務，我還有60美元的凈頭寸?，F(xiàn)在，假設我想在Compound再融資以獲得更好的利息。通常，我需要回購40 Dai來關閉我的CDP，這需要一些前期資金。而現(xiàn)在的可替代方法是，我可以通過閃貸借出40 Dai，關閉100美元的CDP，然后將解鎖的價值60美元的ETH存入Compound，通過Uniswap將剩余的價值40美元的ETH換成Dai，然后用它償還閃貸。Boom！原子性的0資本再融資。

這真是太神奇了。這是貨幣樂高運作的很好例子。1x.ag實際上構(gòu)建了一個保證金交易匯聚器，該匯聚器使用閃貸自動執(zhí)行這一切。但是閃貸可以很酷，bZx攻擊者向我們展示了它們不僅是好玩和游戲。

閃貸攻擊對安全性有重大影響

我越來越相信，閃貸真正解鎖的是閃貸攻擊，一種由閃貸提供資金的資本密集型攻擊。在最近的bZx攻擊事件中，我們第一次看到這一現(xiàn)象，而我懷疑這只是冰山一角。

閃貸對攻擊者尤其有吸引力的主要原因有兩個：

· 很多攻擊需要大量前期資金（例如預言機操縱攻擊）。如果你在賺取價值1000萬美元ETH的正向投資回報，則可能不是套利——你可能會說這是在扯淡。

· 閃貸可以最小化攻擊者的污點。如果我有個用1000萬美元ETH操縱預言機的想法，即便是我擁有這么多ETH，我也可能不會用自己的資本進行冒險。我的ETH將會有污點，交易所可能會拒絕我的存入，且它很難洗白。這有風險。不過，如果我借來1000萬美元的ETH，那么，誰會在乎呢？全都是好處。dYdX抵押池不太可能會被認為有污點，因為這是我貸款的來源——dYdX的污點只會消失。

你可能不太喜歡交易所黑名單是如今區(qū)塊鏈安全模型的一部分。這是非常黏糊且中心化的。但這是一個重要的現(xiàn)實，它為這些攻擊提供演算信息。

在比特幣的白皮書中，中本聰宣稱比特幣有免遭攻擊的安全，因為：“攻擊者應該會發(fā)現(xiàn)，遵守規(guī)則。..比破壞系統(tǒng)和其財富的有效性更有利可圖?！?/p>

有了閃貸，攻擊者不再需要有利益參與其中。（藍狐筆記：也就是說，破壞系統(tǒng)不會影響攻擊者的自身利益，因為攻擊者沒有利益相關）。閃貸實質(zhì)上改變了攻擊者的風險。請記住，閃貸可以累積！受制于gas limit，實際上，你可以在單個交易中（最高可達5000萬美元 ）匯聚各個閃貸池，并將所有資金集中涌入一個脆弱的合約中。這是一個5000萬美元的攻城錘，現(xiàn)在任何人都可以猛擊任何鏈上的彩陶罐。這實在恐怖。

當然，僅憑你很有錢還無法攻擊協(xié)議。如果DeFi堆棧如它宣稱的那樣安全，所有這些都不是問題——什么類型的協(xié)議對巨鯨來說是不安全的？你可能會說，沒有考慮這一點就是過失。

但是，我們承認以太坊自身也可能會遭受51%的攻擊，當前的攻擊成本是每小時不到20萬美元。這不算非常多的資金。如果以太坊自身的安全模型都基本上是構(gòu)建在資本限制上，那么，為什么我們要如此快地去嘲笑可以被1000萬美元成功攻擊的DeFi應用？（明確地說，我不認為這些數(shù)字——這一數(shù)字方便地忽略了滑點和供應不足——加上共識層安全和應用層安全是兩碼事。但你明白這個意思。）

那么，如何減輕閃貸攻擊？

假設我是DeFi協(xié)議，我想避免被閃貸攻擊。自然的可能問題是，我能否檢測到與我交互的用戶是否在使用閃貸？

簡單答案是：不。

EVM并不允許你從任何其他合約中讀取存儲。因此，如果你想知道其他合約正在發(fā)生什么，則可以通過該合約告訴你。因此，如果你想知道是否閃貸合約在被使用，你必須直接詢問合約。如今，很多借貸協(xié)議并沒有對這種查詢做出響應（而且一般來說，也沒有辦法強迫閃貸借貸者的行為）。另外，即便你試圖檢查，通過使用代理合約或通過串聯(lián)閃貸池也容易誤導此類查詢。簡單來說，通常很難辨別一個存儲用戶是否在使用閃貸。

簡言之，如果有人拿著1000萬美元敲你合約的前門，你無法判斷這是否是他們自己的錢。那么，我們有什么真正的選擇可以防止閃貸攻擊？我們可以考慮如下幾種方法。

說服閃貸借貸池停止提供服務。

哈，開玩笑。這是加密世界，你們懂的！

認真地說，試圖讓借貸池停止提供閃貸就像是試圖停止噪音污染——這是典型的公地悲劇。提供閃貸符合每個協(xié)議的自身利益，且出于合理原因，它們的用戶也希望使用這一功能。因此，我們盡可忽視這一條。閃貸并不會消失。

強制關鍵交易跨兩個區(qū)塊進行

請注意，閃貸允許你在單個交易時間段內(nèi)借入資金。如果你需要一個資本密集型交易跨越兩個區(qū)塊，那么，用戶必須取出至少兩個區(qū)塊的貸款，由此擊敗任何閃貸攻擊。（注意：為此，用戶必須將其資產(chǎn)鎖定在兩個區(qū)塊之間，以防止他們償還貸款。如果你沒有正確地考慮設計，則用戶可能只是在這兩個區(qū)塊中實施閃貸攻擊）

顯然，這會帶來巨大的UX權衡：它意味著交易不再是同步的。它對普通用戶來說極其糟糕，這是很難下決心采取的措施。（藍狐筆記：為了防止閃貸攻擊，導致用戶體驗糟糕，顯然是下策）

很多開發(fā)者對異步智能合約操作感到煩惱，例如，與layer 2的交互，以及以太坊2.0的跨分片通信。具有諷刺意味的是，異步其實讓這些系統(tǒng)在應對閃貸時更安全，因為你無法在單個原子交易中橫跨分片或layer 2。這意味著不會有跨ETH2.0分片或在layer 2針對DEX的閃貸攻擊。

要求提供鏈上證明，以證明用戶的先前余額并沒有因為閃貸而改變

如果能有方法檢測出用戶真實的余額多少（也就是他們獲得借款之前的余額），我們就可以擊敗閃貸攻擊。

無法在EVM中本地執(zhí)行此操作，不過，你可以做點帶有黑客意味的事情。這就是你要做的：

在用戶與你的協(xié)議交互之前，你要求提供可以證明之前區(qū)塊末尾的Merkle證明，他們有足夠的余額來解釋他們當前使用的資金。你需要對每個區(qū)塊上的每位用戶跟蹤這一點。（Ari Juels向我概述了此方法）

這種方法可能有些效果。當然，它也存在棘手問題：在鏈上驗證這些鏈上證明非常昂貴，并且沒有用戶會想要生成這些證明以及為此支付gas費用。另外，出于完全正當理由，用戶有可能在早些時候在同一區(qū)塊中已更改了余額。因此，從理論上它有一些優(yōu)點，但這不是一個切實的解決方案。

以上提到的三個解決方案沒有一個有特別的希望。我相信，沒有針對閃貸攻擊的全面防御措施。但是，有兩個特定的應用確實可以緩解閃貸攻擊：基于市場價格的預言機和治理代幣。

對于像Uniswap或OasisDEX這樣的基于市場的價格預言機，閃貸攻擊使得你在任何情況下都不能將當前的中間市場價格用作為預言機。對于攻擊者來說，在單個交易中移動中間市場價格并制造閃崩、破壞價格預言機，這是孩子的玩法。

這里最好的解決方案是通過TWAP或VWAP使用最后X個區(qū)塊的加權平均值。Uniswap v2將原生提供這一點。還有Polaris，這是通用的方法，可以為DeFi協(xié)議提供移動平均值。具有諷刺意味的是，Polaris也是由Marble的創(chuàng)始人Max Wolff構(gòu)建的。（Polaris現(xiàn)在已經(jīng)被拋棄，但Max看到了這一角落的東西，值得贊）

鏈上治理本身就是自己罐頭里的蠕蟲。鏈上治理通常由治理代幣持有者之間的代幣加權投票決定。但是，如果這些治理代幣出現(xiàn)在閃貸借貸池中，那么，任何攻擊者可以撿起大量的治理代幣并搞出任何他們想要的結(jié)果。

當然，大多數(shù)治理協(xié)議都要求在投票期間鎖定這些代幣，以防止閃貸攻擊。但是，有些形式的投票并不要求這些，例如carbon投票，或Maker的執(zhí)行合約。如今，隨著閃貸攻擊的出現(xiàn)，這些形式的投票應該認為完全遭到破壞。

理想情況下，如果治理代幣不可用來閃貸，這就很好。但是，這不取決于代幣的發(fā)行方，而是取決于市場。因此，所有治理行為應該要求鎖定，以防止閃貸攻擊。Compound的新COMP代幣更進一步，它對所有協(xié)議投票都要求基于時間的加權，甚至削弱針對其治理代幣的常規(guī)貸款攻擊。

更廣泛地說，所有治理代幣必須有時間鎖。時間鎖要求所有治理決定必須等待一段時間才能生效（Compound的時間鎖是兩天）。這使得系統(tǒng)可以從任何意料之外的治理攻擊中恢復。盡管MKR還無法被大量閃貸，MakerDAO最近因為易受此類攻擊而被號召實施措施。它最近實施了24小時的時間鎖，關閉了此類攻擊向量。

從長遠看，這一切意味著什么？

我相信bZx攻擊改變了這一切。

這不會是最后一次閃貸攻擊。第二次bZx攻擊是對第一次的模仿，而且我懷疑在未來幾個月會掀起一波攻擊浪潮。現(xiàn)在，來自世界最遙遠角落的成千上萬名聰明少年正在嘲笑所有這些DeFi樂高，他們在顯微鏡下觀察，試圖發(fā)現(xiàn)可以實施閃貸攻擊的方法。如果他們設法成功利用漏洞，那么，他們就可以賺取幾十萬美元，這在世界上的大部分地區(qū)都是可以明顯改變生活的。

有人稱閃貸并不會改變?nèi)魏螙|西，因為如果攻擊者有足夠資金，這些攻擊總是可能的。這既正確又相當不正確。大多數(shù)鯨魚都不知道如何黑智能合約，而大多數(shù)聰明的攻擊者也沒有數(shù)百萬美元的資產(chǎn)。（藍狐筆記：此處是說，兩者的交集不大。同時具備兩者的是最可怕的攻擊者。但閃貸到來讓攻擊者獲得了免費的利器）現(xiàn)在，任何人僅花費幾分錢就可以租用一個價值5000萬美元的毀滅球。從現(xiàn)在開始這改變了每個建筑被構(gòu)建的方式。

在bZx攻擊之后，被閃貸攻擊就像是在DAO攻擊后被重入攻擊一樣令人尷尬：你不會得到人們的同情。你應該了解這一點。

最后，這些事件讓我想到加密貨幣的一個古老的概念：礦工可提取的價值。礦工可提取的價值是礦工可以從區(qū)塊鏈系統(tǒng)中提取的價值。這包括區(qū)塊獎勵和交易費用。但它也包括更多惡意形式的價值提取。例如對交易重新排序或?qū)o賴交易插入?yún)^(qū)塊。

從根本上講，你應該將所有這些閃貸攻擊都視為是在內(nèi)存池中可以賺取大量金錢的單個交易。例如，第二次bZx攻擊產(chǎn)生了價值64.5萬美元ETH的收益。如果你一位礦工，你打算開始挖新區(qū)塊，請想象一下，查看先前的區(qū)塊交易，并對自己說：“等等，那是什么？當最后一個區(qū)塊包含64.5萬美元的利潤時，我為什么還要打算為區(qū)區(qū)500美元左右的收益挖新區(qū)塊呢？”你不會選擇去擴展區(qū)塊鏈，而是回去并試圖重寫歷史，以使自己成為閃貸攻擊者。想想看：僅此一筆交易就比4小時誠實地開采以太坊來得多！

這與包含1000倍于常規(guī)區(qū)塊獎勵的特殊超級區(qū)塊是同構(gòu)的，正如你預期的那樣，這樣的超級區(qū)塊的理性結(jié)果應該是礦工競相競爭以孤立鏈的打賞并為自己偷取該區(qū)塊。

在均衡狀態(tài)下，所有閃貸攻擊應該最終會被礦工提取。（請注意，他們也應該會最終竊取所有鏈上套利和清算）具有諷刺意味的是，這會阻止閃貸攻擊的發(fā)生，既然它會導致攻擊者無法利用這些漏洞來獲利。或許最后礦工會通過私人渠道征集攻擊代碼，并向潛在的攻擊者支付發(fā)現(xiàn)者費用。從技術上講，可以使用零知識證明無須信任地完成此類操作。

但這一切現(xiàn)在都還是科幻小說。顯然礦工今天還沒有這么做。

他們?yōu)槭裁床荒兀?/p>

有大量的原因。它很難，需要很多工作。EVM很難模擬，它有風險，可能會有漏洞導致?lián)p失資金或孤塊，流氓礦池可能會面臨PR危機，被人們冠以“以太坊敵人”的烙印。就目前來看，相對于這么做的收益，礦工可能會在業(yè)務、R&D以及孤塊上損失更多。

今天是如此。未來不一定永遠如此。

這為以太坊提供了另外一個動力，以加速并過渡到ETH2.0。盡管以太坊上的DeFi總是很有趣，但它是絕對和不可撤銷的。DeFi在PoW鏈上不穩(wěn)定，因為所有高價值交易都受制于礦工的重新分配（也稱時間劫匪攻擊）。

為了讓這些系統(tǒng)大規(guī)模運行，你需要最終性——讓礦工無法重寫已確認的區(qū)塊。這將保護先前區(qū)塊的交易免遭重新分配。此外，如果DeFi協(xié)議存在于單獨的ETH2.0分片中，它們不容易遭到閃貸攻擊。

據(jù)我估計，閃貸攻擊給我們一個小的但有用的提醒，那就是現(xiàn)在還很早期。我們還遠沒擁有可持續(xù)的架構(gòu)，一個可為未來金融系統(tǒng)構(gòu)建的架構(gòu)。

目前，閃貸會是新常態(tài)。也許從長期看，所有以太坊上的資產(chǎn)都可用于閃貸：交易所持有的所有抵押品，Uniswap中的所有抵押品，也許所有ERC-20代幣本身。

誰知道呢？這只是幾行代碼的事。
責任編輯；zl