以太坊智能合约闪电贷事件的全过程分析以及区块链闪电贷原理



一、Harvest闪电贷攻击事件
时间:2020年10月26日,
事件:著名的区块链智能合约流动性挖矿项目Harvest, 遭受到闪电dai的攻击,攻击者进行了30次的闪电dai攻击之后,总共获利约3400万美金。
事件过程:
1、闪电dai攻击者首先通过Uniswap的交易池进行闪电dai借款,借出了价值5000万美金的USDT和1700万美金的USDC。
2、攻击者利用cruve交易所将USDC换成USDT,这个时候,在cruve交易所中,USDC对USDT的价格就发生了变化,USDC价格下跌USDT的价格上涨
3、攻击者将手中5000万美金的USDT,存入到了Harvest项目中,铸造FUSDT,问题就出在FUSDT的铸造上,因为FUSDT相当于你的存款凭证,将来存款池获利之后,凭借存款凭证就可以取出更多的资产。
4、存款的数量对应的存款凭证的算法是依赖curve交易所的交易价格来决定的,刚才攻击者已经通过大额交易,将cruve交易所中USDT的价格拉高,这样子就会导致攻击者可以在Harvest中铸造更多的FUSDT。
5、当在Harvest中存款结束后,攻击者再到curve交易所中反向交易:用刚才获取到的USDT换回了USDC。这样USDC对USDT的价格就回归到正常值,当价格回归到正常值之后。
6、攻击者这时就可以到Harvest的存款池中用存款凭证取出他的USDT,在取出USDT时,要凭借刚才铸造的FUSDT取出,但是取出USDT时候的数量同样依赖curve交易所当前的价格,由于当前的价格已经回归到正常值,所以这时攻击者就可以取到更多数量的USDT。
7、在完成以上操作之后,攻击者向Uniswap的交易池归还借出的USDC和USDT,同时支付了千分之三的手续费,剩下的就是获利,这一次攻击,可以获利价值一千万美元的USDT。
8、攻击者重复执行了三十次攻击操作,最终获利3400万美金。
 
最终总结:通过以上这次最具代表性的攻击事件,我们可以看出来,攻击者通过闪电dai攻击了交易所的价格,但是交易所并不是损失对象,损失的对象是存款生息的金融机构,由于金融机构存入和取出时的份额占比计算方法中有一个分母,是和交易所的价格联动的,所以攻击者先拉高交易所的价格,再存入资产,之后磨平价格,最后取出资产,这样就可以从金融机构中,取出更多的资产。
 
二、MakerDao闪电dai操纵社区投票事件
时间: Harvest时间3天之后  
事件:利用闪电dai进行mkr投票
事件过程:
1、有一个项目叫做B协议的DeFi项目,希望进入MakerDao的白名单,由于B协议10月23日提交了一个社区提案,
2、B协议多次通过闪电dai借出以太坊,在MakerDAO中抵押以太坊,再借出用于投票用的Token:mkr。然后通过mkr进行投票,投票之后,再归还给借dai市场。
三、搬砖套利
闪电dai还可以用于搬砖操作,从A交易所买入,到B交易所卖出,从而通过价格差异,获利。这里不过多描述。
最后:很多区块链创业者、从业者会想,区块链不是可以溯源吗?每一笔交易,都可以追溯到,是的,没错,但是攻击最后使用了混淆转移的方式,即:app.tornado.cash,成功的把加密货币给转移了,谈到这里就要谈到区块链的匿名性和KYC(身份认证系统)。下一篇文章再探讨。

免责声明:本文由信比特作者原创文章,不构成投资建议,请谨慎对待。

版权声明:信比特作者保留原创权利。文章为作者独立观点,转载请注明出处

原文链接:http://www.bitpoa.com/BlockchainCollege/19.html

生成海报
收藏

相关推荐

币圈各行业大咖对于2021年的区块链关键词解读寄语

前言:2020年,对于全球经济而言,是充满机遇与挑战的一年。而对区块链行业来说,则是充满机会,充分证明其价值的一年。受新冠疫情及全球各国量化宽松政策的影响,以比特币为代表的数字资产逐渐成为传统市场投资者的避险资产。 ...

区块链可以推向主流的4种方式

前言:采用区块链技术很大程度上是自上而下的故事。这里有一些想法可能会获得更多的自下而上的吸引力。区块链革命是人民的产物,而不是精英的产物。  ...

关于以太坊智能合约ERC20代币精度

前言:在撰写本文时(Solidity v0.4.24),Solidity 不支持定点或浮点数。这意味着浮点表示必须用 Solidity 中的整数类型进行表示。如果没有正确实施,这可能会导致错误/漏洞。 ...

0 条评论

微信扫一扫

微信扫一扫

微信扫一扫,分享到朋友圈

以太坊智能合约闪电贷事件的全过程分析以及区块链闪电贷原理