DeFi安全風險解析：閃電貸、價格操縱攻擊和降低風險的協議設計思路

撰寫：Revelo Intel

編譯：深潮 TechFlow

在加密貨幣領域，DeFi 成為了一個重要的發展方向。然而，隨著其市場份額的增長，DeFi 平臺也面臨著越來越多的安全威脅。

最近，Moremoney 的聯合創始人兼產品負責人 Sirmoremoney 在 Twitter Spaces 上討論了一些關於 DeFi 安全的話題，特別是針對抵押品價格操縱和閃電貸攻擊等方面的風險。Revelo Intel 總結了此次 Spaces 的發言，並討論如何採取措施來緩解這些風險。

涉及合約漏洞的攻擊/閃電貸攻擊

閃電貸攻擊涉及利用短時間內無需抵押即可借款的能力來操縱價格或竊取資金。以 Platypus 攻擊為例來說明涉及合約漏洞的攻擊。  

攻擊者從 Aave 借出了 4400 萬美元的閃電節點，將其存入 Platypus，並借出 4200 萬美元。然後，他們利用合約中的漏洞進行了緊急提款，提取了初始存款並保留了貸款。這次攻擊導致了 Platypus Finance2 億美元的資金損失。

然而，他們只能以大約 850 萬美元的價格交換剩餘的 4200 萬美元的 USB。Platypus 的安全顧問和內部團隊能夠收回 240 萬美元，而 Feather 和 Circle 則凍結了卡在合約中的資金。攻擊者後來也在法國被逮捕。

這次攻擊是由低級黑客發起的，到目前為止已經有 70%的被盜資金已經被追回。

從這次攻擊中得到的教訓是，協議需要有適當的安全措施，例如限制誰可以調用緊急提款功能，並實施債務上限以限制可能造成的損失。

緊急提款功能

例如，Moremoney 有一個只能由協議本身或治理調用的救援功能。

他們強調了限制誰可以調用此功能的重要性，就像在 Platypus 的此次情況中並沒有這樣做。

抵押品價格操縱攻擊

價格操縱攻擊涉及操縱去中心化交易所（DEX）上代幣的價格，以借出比抵押品實際價值更多的資金。

以 Mango 和 Loadstar 的攻擊為例子。這些攻擊導致用戶遭受了重大損失，並顯示了監控抵押品價格和實施措施以防止價格操縱的重要性。

在這兩種情況下，攻擊者操縱了 DEX 上代幣的價格，以借出比抵押品實際價值更多的資金。選擇價格預言機對於協議的安全性至關重要，使用現貨價格預言機總是一個糟糕的主意，因為閃崩或其他價格波動可能導致重大損失。

減輕風險的措施

這些措施包括對智能合約進行徹底審計，實施多因素認證和其他安全措施，以及隔離與不同資產和借貸池相關的風險。

隔離的 CDP 池

隔離的 CDP（抵押債務頭寸）池對於幫助減輕與多因素池相關的風險非常重要。

他們指出，每個抵押資產都是隔離的，這意味著如果攻擊者能夠利用其中一個資產，他們將無法從整個池中提取資金。

隔離的負債上限

隔離的負債上限可以限制針對每個抵押資產可以借入的金額。

他們認為，這有助於防止攻擊者借入大量資金，並減輕與多因素池相關的風險。

全局負債上限

協議可以實施全局負債上限，限制平臺上所有資產的借入總額。

這有助於防止平臺過度槓桿化，並減少任何單個攻擊的潛在影響。

原文鏈接