11月26日下午,去中心化借贷平台Compound遭遇黑客攻击,价值约9千万美元的加密资产被系统强制清算。除了用ETH等非稳定加密资产贷出DAI的用户遭受影响外,抵押其他稳定币借DAI的用户也被殃及。
Compound开创了今年DeFi流动性挖矿的先河,目前平台总锁仓的加密资产高达14.7亿美元,略高于Aave但低于Maker,在DeFi借贷平台中排名第二。
图:DeFi借贷平台TLV排名;来源:https://defipulse.com
Compound的此次巨额清算,罪魁祸首不是项目本身的代码漏洞,而是被很多人忽略的预言机数据源。事实上,在过去的几年里,因为代码漏洞遭遇黑客攻击的比例有所下降,但基于价格预言机操纵的漏洞攻击正在逐步上升。
无论是开发者,还是我们普通用户,都需要关注预言机的数据源,重视预言机的安全性。今天这篇文章,我们将通过通俗易懂的语言,带领大家了解:
Opside已上线Pre-alpha激励测试网,预计将运行大约三个月:5月24日消息,去中心化ZK Raas平台Opside宣布,已上线Pre-alpha激励测试网,预计将运行大约三个月,鼓励PoS验证者、PoW矿工、开发人员和所有最终用户的广泛参与。Opside旨在通过该测试网测试和完善以下功能:1.混合PoS和PoW共识机制的集成与有效性;2.成功适应并与ETH2.0共识模型保持一致;3.ZK-Rollup执行环境的操作性能和灵活性;4.实施各种策略,以实现不同层和ZK-Rollups之间顺利和安全的资产转移;5.代币经济学模型的实际应用。[2023/5/24 15:22:33]
1、什么是预言机?
2、黑客是如何操纵预言机数据源,导致Compound发生巨额清算?
3、普通用户如何自我保护?
什么是预言机?
匿名Twitter用户泄露3Commas数据库:金色财经报道,一位匿名Twitter用户声称已经获得了大约100,000个属于加密交易服务3Commas用户的API密钥。泄密者周三公布了10,000多个密钥,并表示其余密钥将在未来几天随机完整的公布。在3Commas的数十名用户声称他们的API密钥被用于在未经他们同意的情况下在Binance、KuCoin和Coinbase等交易所执行交易之后,泄密事件发生了。
此前消息,3Commas证实,从10月开始,用户因攻击者损失了至少600万美元,但据用户称,损失金额在最近几周至少翻了一番。[2022/12/29 22:13:43]
提到预言机,大家可能第一时间想到预测市场。事实上,预言机并不作任何预测,相反,它只是一个提供数据、提供信息的桥梁。
举一个生活中的常见例子。你早上刚睡醒睁开眼,想知道外面是否下雨,你对着iPhone说“HiSiri,今天的天气如何,会下雨吗?”语音助手Siri回复你:“主人,现在外面正下着小雨,出门请记得带伞。”
数据:2022年加密投资产品AUM下降55%:金色财经报道,根据研究公司CryptoCompare的数据,2022年数字资产投资工具的资管规模(AUM)相比年初的峰值损失了55%以上。由于FTX崩盘和Binance可能存在问题的传言,数字资产投资工具的平均每周净流出量在12月达到近千万美元,这是自2022年6月以来的最高水平。其中,比特币和以太坊投资工具的资管规模分别较2022年3月和2022年4月的峰值下降了61%和62.1%。此外,交易员对ETF形式的加密投资产品最感兴趣。2022年12月,以ETF为代表的AUM增长5.96%至17.8亿美元,占总市场份额的9.11%。[2022/12/28 22:12:11]
在这个例子中,Siri就扮演了预言机的角色,扮演了现实世界和你之间的桥梁,通过它,你知道了外面正在下雨。
在区块链领域,我们最常见的是价格预言机,即为区块链应用提供加密资产的价格信息。
Messari发布USDD Q3调研报告:Q3钱包数量增5倍:11月3日消息,加密数据研究机构Messari发布了USDD Q3调研报告,报告从供应量、质押资产、储备金、锚定、定性分析等多个维度对USDD进行了研究。Messari指出,在经过了二季度的震荡后USDD成功回锚,第三季度PSM的推出有助于维持锚定,并提升针对USDD稳定性的信心。
报告还指出,其中持有USDD的钱包数量在该季度增长了5倍,达到了12万个,且平均持有的USDD价值达到6000美元。USDD的累计交易量超过62亿,日均交易量的最低笔数为400。由于采用了兑换工具兼汇率稳定机制PSM,USDD目前仍然维持着300%的超额抵押率。
据悉,USDD由波场联合储备(TRON DAO Reserve)与区块链主流机构发起,5月5日正式上线,6月5日正式升级为去中心化超抵押稳定币,升级当日抵押率超过130%,目前的抵押率维持在300%左右。USDD运行波场、以太坊和币安链等全球主流公链,发行总额已达到7.25亿美元,总质押达到21亿美元。[2022/11/3 12:13:20]
需要注意的是,预言机本身并没有数据,它是通过采集不同渠道的数据,然后进行加工处理,其他应用调取预言机处理后的数据信息。就像上面的例子中,Siri本身并不知道外面的天气情况,它是采集了气象服务商的实时天气数据,而我们调取了Siri获得的这个天气数据。
消息人士:巴西众议院将加密法案投票推迟到10月总统选举之后:7月14日消息,消息人士透露,巴西众议院将加密法案的投票推迟到10月总统选举之后,而议员们本打算在下周国会休会前审议该加密货币法案。
就其法案本身而言,众议院尚未就最终文本达成共识,因为负责在下议院提交该法案的国会议员Expedito Netto(PSD-RO)从参议院的原始法案中删除了两项条款。第一个被删除的条款要求交易所将其资产与客户的资产分开,而第二个要求交易所已经在巴西拥有EIN才能申请许可证。但当地交流协会ABCripto要求众议院保留这两项条款。(CoinDesk)[2022/7/14 2:12:30]
价格预言机,按照获取价格的方式可以分为两种:一种是通过中心化交易所API获取加密资产的实时价格,并将这个链外价格数据带到区块链上;另外一种是直接读取去中心化交易所的实时数据来获取价格。这两种方式各有利弊。
此次Compound因为DAI的价格剧烈波动而触发巨额清算,它所使用的预言机就是采集的中心化交易所DAI的价格信息。
Compound为何会发生巨额清算?
在介绍黑客是如何操控预言机数据源导致Compound触发巨额清算之前,我们先来了解一下DeFi借贷平台的借贷规则。
无论是Compound还是Maker、Aave,主营业务都是抵押贷,即贷款之前你需要有加密资产进行抵押。这个很容易理解,现实生活中你去银行贷款,也需要抵押。如果你偿还不上银行的贷款,银行会把你的抵押物拿去拍卖,用拍卖的钱偿还你的欠债。DeFi借贷平台也一样,如果你偿还不上,平台会卖出你抵押的加密资产用来还债。
DeFi是去中心化的应用,由智能合约自动执行。为了防范风险,这些DeFi借贷平台都会设置:
抵押率
清算门槛
抵押率,指的是你抵押加密资产后,可以贷出多少比例的其他资产。不同的加密资产,因为波动性和市场认可度不同,最大抵押率也可能不同。举个例子,在Compound和Aave上,ETH的最大抵押率都是75%,即你抵押价值100美元的ETH到Compound或者Aave上,你最多可以贷出价值75美元的其他加密资产;UNI最大抵押率,Compound上是60%而Aave上是40%,即抵押价值100美元的UNI在Compound可贷价值60美元的其他加密资产,而Aave上最多只能贷40美元。
清算门槛,指的是你的债务与你抵押的资产之间的比例达到某个数值后,平台会强制卖出你的抵押资产以偿还债务。同样,不同的加密资产,因为波动性和市场认可度不同,清算门槛也可能不同。举个例子,ETH在Aave平台上的清算门槛为80%,意味着当你的债务达到抵押资产价值的80%时,系统就会把你的抵押资产卖出还债。
发生清算时,借贷平台会给清算人奖励,以激励清算人代表借款人去偿还债务,防范后续出风险。举个例子,Aave上ETH的清算奖励为5%,隔壁老王抵押了1ETH,借出了300DAI。过了几天,ETH价格跌到了375USDT,隔壁老王的抵押率达到了80%,就要被清算了。矿矿作为清算人,以5%的优惠折扣,即356.25USDT的优惠价购买被系统清算的价值375USDT的1ETH,系统收到货款后,扣除隔壁老王的债务300DAI,剩余的56.25USDT还给隔壁老王。这个例子为了计算方便没有考虑利息,在实际操作中,因为利息的存在,ETH价格还没跌到375USDT就会被清算。
接下去说是昨天发生的Compound巨额清算。
Compound上的DAI价格来源于预言机,而该预言机的DAI价格采集自单一的交易所——CoinbasePro。根据目前的分析,黑客操纵了CoinbasePro上DAI的价格,下图我们可以看到,DAI的价格短时间内最高拉到了1.34USD。
CoinbasePro交易所DAI价格的上涨,让Compound上抵押其他资产借出DAI的用户债务增加了,一些杠杆率高的用户触发了清算门槛,被Compound清算,而黑客此时扮演清算人的角色,获取系统给的5%清算奖励,最终获利约355万美元。
SamPriestley在推文中分析道:当你的帐户正在清算时,清算人可以选择接受你的任何抵押品,以换取偿还你的债务。所以清算人拿走了DAI。从Uniswap借入DAI,偿还DAI债务,从清算中获取更多DAI,偿还Uniswap,坐收利润。
我们普通人应该如何自我保护?
Compound发生巨额清算,主要是预言机只采集单一交易所DAI的价格惹的祸。其他借贷平台上的DAI,比如Aave,因为采用的是Chainlink预言机,Chainlink采用的是多家运营商的报价,因而避开了此次事故。
对我们普通人而言,在使用借贷平台时,一定要先了解借贷平台的预言机数据源。数据源越多,黑客操控预言机的难度越大,相对而言越安全。
另外,在抵押借贷时,适当降低自己的抵押率。加密资产价格波动剧烈,黑客操纵价格或是插针砸盘往往在短短几分钟内完成,如果抵押率高了,很多人根本没有时间增加资产抵押,那面临的结果只能是被清算。
最后,也是最重要的一条建议,能场外借贷就不要场内借贷。场内借贷,场内杠杆,被恶意操控、恶意爆仓的例子数不胜数。
风险提示:本文内容仅为作者个人观点,不代表知矿大学的看法或立场,亦不构成任何投资意见或建议。
参考资料:1、《Compound突现9000万美元巨额清算,预言机安全应受重视》2、《Compound一日内清算逾9千万美元,Coinbase预言机难辞其咎?》3、《细数DeFi预言机攻击套路,这六种安全措施你需要了解》4、《什么是区块链预言机》
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。