“闪电贷” 的多米诺骨牌效应或加快以太坊2.0的到来|亚博电子竞技

本文摘要:雷电债,是近来人们仍然注目的焦点。

雷电债,是近来人们仍然注目的焦点。近日,两名黑客利用雷电债(flash loans)反击了保证金交易协议 bZx,趁此机会一次牵涉到金额为 35 万美元的反击,随后是一次牵涉到金额为 60 万美元的仿效反击(copycat attack)。

总而言之,这些反击令人惊叹。在每次反击中,一个身无分文的攻击者可以瞬间买入价值数十万美元的以太币(ETH),通过一系列易受攻击的链上协议,从被盗资产中萃取数十万美元,然后偿还债务他们的以太币巨额贷款。所有这些操作者都在一瞬间已完成,也就是说,在以太坊的一个交易中已完成。

我们不告诉这些攻击者是谁,也不告诉他们来自哪里。两个攻击者基本上都是空手而来,然后卷走了价值几十万美元的资产,没留给任何痕迹。

自从这些反击再次发生后,我仍然在思维有关雷电债以及其对去中心化金融(DeFi)安全性的影响。我指出,这必须拿出来与你们联合思维。简而言之:雷电贷是一个极大的安全性威胁。

但雷电债并没消失,我们必须细心思维它们对未来去中心化金融安全性带给的影响。什么是雷电债?2018 年,以太坊区块链上的开源银行 Marble 首次明确提出雷电债的概念。

Marble 将自己称作 “智能合约银行”,它明确提出了一个虽非常简单但十分精妙的去中心化金融创新:通过智能合约构建零风险贷款。如何做零风险贷款?传统的贷方必须分担两种形式的风险。一个是债权人风险:如果借款人卷钱跑路了,那似乎很差劲;另一个所谓流动性风险:如果贷方在错误的时间里无偿了过于多资产,或者没及时接到偿还,贷方可能会丧失流动性,从而无法遵守自己的义务。雷电债减低了这两种风险。

雷电债的基本工作原理如下:在这笔交易中,你想多少资金,我都会赠予你。但是,在这笔交易完结之前,网卓新闻网,你必须最少将借走的资金偿还。如果你不了偿还,我会自动回滚你的交易!非常简单地说道,如果你没偿还贷款,整件事情就不会被还原成,就样子这笔贷款未曾再次发生一样。这种操作者不能再次发生在区块链网络上。

你无法在中心化交易所上构建雷电债。因为智能合约平台一次只处置一笔交易,交易中再次发生的所有事件都作为一项批量操作者被串行继续执行。你可以将其视作交易继续执行期间的 “失效时间”(freezing time)。另一方面,中心化交易所中有可能不存在竞态条件,以至于你的交易订单无法长时间继续执行。

在区块链网络上,所有代码都能一行相接一行地运营。雷电债漏洞检测代码,来源:0x 研发人员雷姆·科布洛门(Remco Bloemen)让我们思维一下这其中牵涉到的经济学原理。传统的贷方不会获得两方面的补偿:他们分担的风险(债权人风险和非流动性风险)以及租用资本的机会成本(例如,如果我可以从其他地方取得该租用资本 2% 的利息,借款人必需缴纳给我多达 2% 的无风险利息)。

雷电债不一样。雷电债没风险,也没机会成本!这是因为借款人在其雷电债期间享有 “失效时间”,在其他人显然,该系统的资金未曾正处于风险之中,也未曾颇受其累官。

因此,它不有可能在其他地方赚利息(它没机会成本)。这意味著,从某种程度上说道,沦为一个雷电债贷方很更容易,且需要成本。这几乎相左常理。那么,在市场供求平衡时,一笔雷电债的成本应当是多少?基本上,雷电债应当是免费的。

或者,更加合理地说道,不会有一笔较小的费用,主要用来分摊包括额外的三行代码在以太坊上继续执行的成本,以使得资产可以较慢租用。雷电债无法缴纳传统意义上的利息,当然,如果雷电债贷方缴纳更高的利率,就不会迅速被其他缴纳更加低利率的雷电贷池所代替。雷电贷使资本沦为确实的商品。

这种恶性竞争不可避免地会造成零收费或少量的象征性收费。目前,交易平台 dYdX 的雷电债费用为零。

而 AAVE 对雷电债本金缴纳 0.09% 的费用。我指出,这是不可持续的,事实上,他们的社区也早已开始敦促将费用缩减为零。雷电反击对安全性的影响我更加坚信,雷电债的最重要影响是关卡了雷电反击,即由雷电债展开资本密集型反击。我们在最近的 bZx 黑客攻击中就需要看见这一点,我指出这只是一个开始。

· 为什么雷电债对攻击者尤其有吸引力?主要有以下两个原因。· 许多反击必须大量的前期资金(例如应验机操控反击)。如果你在价值 1,000 万美元的以太币上取得于是以投资回报率(ROI),这有可能不是套利。

雷电债最大限度地增加了攻击者的污名。就算我告诉如何用 1,000 万美元的以太币来操控应验机,如果我享有那么多以太币,我也想用自己的资金去冒险。

我的以太币将被标上污点,交易所可能会拒绝接受我的存款,很难再行展开洗黑钱。这真是过于冒险了!但是,如果我用雷电债贷出的 1,000 万美元,有谁不会介意呢?一切都会顺利进行。dYdX 的抵押池,基本上没有可能被污染,而那就是我的贷款来源。如今,交易所黑名单早已沦为了区块链网络安全模型的一部分,你有可能不讨厌这一点。

它非常薄弱和中心化。但这是一个很最重要的现实,因为它说明了了这些反击背后的基本原理。

中本俊(Satoshi)在比特币白皮书中说道过,比特币会受到安全性反击,因为:“攻击者不会找到遵守规则不会比毁坏财富的体系和合法性更加有利可图。”有了雷电债,攻击者在反击游戏中仍然必须展开伪装成。雷电债彻底转变了攻击者所分担的风险。忘记,雷电债可以积累!但受限于 gas 的限额,你可以在一次交易中(多达 5,000万美元)将每个雷电债的可贷资金池集合起来,然后将所有资金投入到一个更容易遭到反击的合约中。

这是一个价值 5,000 万美元的重锤,现在任何人都可以去扔一个链上糖果盒,可以很更容易就扔借钱来。这过于可怕了。从将来来看,这一切意味著什么?我指出对 bZx 的反击转变了一切。

这会是最后一次雷电反击。第二次 bZx 反击是对第一次反击的仿效,我指出,在未来几个月内,将不会引发一波反击浪潮。

现在,来自世界最偏远地区的数千名聪慧的青少年,正在砍推倒这些去中心化金融乐高积木,用显微镜对它们展开搜寻,尝试找到其中否有某种漏洞,可以让它们发动雷电反击。如果他们需要顺利地寻找并利用一个漏洞,他们就可以赚到到几十万美元,这对世界大多数地区的人来说,都是一笔需要转变人生命运的资金。

而对于协议来说,雷电反击意味著威胁模型早已再次发生了转变。bZx 遭雷电反击,与 DAO 黑客侵略后遭到轻进反击(re-entrancy)一样令人失望:你将沦落加密货币行业的笑柄。你应当早已看见这种情况再次发生了。这些事件也让我想起了密码学中的一个杨家概念:矿工可托价值(MEV)。

MEV 是矿工可以从区块链系统中取得的总价值,还包括区块奖励和手续费,但也还包括更加恶性的价值萃取方式,比如对交易展开新的排序或将蓄意交易放入区块等。归根结底,应当把这些雷电反击都看做是内存池中可以赚大钱的单笔交易。例如,在第二次的 bZx 反击中,黑客在单笔交易中取得了价值 64.5 万美元的以太币。如果你是一名矿工,并且你即将开始挖矿一个新的区块,想象一下,想到前一个区块包括的交易,然后对自己说道:“等等,什么?上一个区块包括 64.5 万美元的利润?我还要凿一个约只有 500 美元交易的新区块?”与其对区块链网络展开拓展,不如返回过去尝试改写历史,沦为雷电攻击者。

想想看:只是这一笔交易,就比矿工老老实实挖矿 4 个多小时赚得多!就样子有一个类似的超级区块,里面包括 1,000 倍的长时间区块奖励。如你所料,这样的一个超级区块,长时间情况应当是一堆矿工竞争,然后某个矿工自己取得这个区块。

平衡状态下,所有的雷电反击最后都应当由矿工来已完成。(请注意,最后他们也应当窃取所有的链上套利和流动性。

)但具备嘲讽意味的是,这将对雷电反击起着威慑起到,因为这将使得攻击者无法利用他们找到的漏洞来利润。或许矿工们最后不会通过私人渠道来搜集反击代码,并向未来的攻击者们缴纳一笔中介费。从技术上谈,这可以通过零科学知识证明来构建。这些都非常科幻,矿工们似乎会这么做到。

为什么?有很多理由。首先,操作者一起很艰难,不会牵涉到大量的工作,以太坊虚拟机(EVM很难被仿真,风险也很高,不存在造成资金损失或导致孤块的漏洞,从而引起轩然大波,流氓矿业池可能会经常出现公关危机,并被冠上 “以太坊敌人” 的称号。

目前,如果矿工这么做到了,可能会在商业层面以及在孤块上损失更加多,这比他们尝试反击的成本更高。这是目前的真实情况,但会持续很幸。这为以太坊加快过渡到以太坊 2.0 获取了另外一个动力。

以太坊上的去中心化金融,虽然令人惊叹和著迷,但早已意味著和不能挽救地被超越了。去中心化金融在基于工作量证明的区块链上不平稳,因为所有低价值交易都会被矿工重新分配。

对于可以大规模运营的系统,往往必须最后性(finality),即矿工无法对已证实的区块展开改写。这将维护以前的区块不被重新分配。另外,如果去中心化金融协议不存在于独立国家的以太坊 2.0 分片上,它们将不更容易受到雷电反击。据我估算,雷电反击给了我们一个较小但简单的救赎,即:这只是一个开始,我们离建好未来金融体系的可持续架构还有很长的一段路要回头。

目前,雷电债仍不会是新的常态。或许从将来来看,以太坊上的所有资产,还包括交易所、Uniswap 持有人的所有抵押品,甚至 ERC-20 本身,都可以用作雷电债。但谁告诉呢?却是也只是写出几行代码的事。哈西布·库雷希(Haseeb Qureshi)是跨国加密货币风险基金蜻蜓资本(Dragonfly Capital)的管理合伙人。

本文系由作者本人观点,不代表 CoinDesk 中文版立场。

本文关键词:亚博游戏网站,亚博电子竞技

本文来源:亚博游戏网站-www.kickspricer.com