被误读的闪电贷：它只是一个工具

雍和比特币 据 PeckShield 态势感知渠道数据显现，曩昔一个月，整个区块链生态共生 46 起较为杰出的安全工作。触及 DeFi 相关 25 起、买卖所相关 4 起、勒索相关 3 起，诈骗工作 10 起，钱包相关 2 起，智能合约相关 2 起。据 PeckShield 「派盾」统计数据显现，2021 年 5 月合计产生 23 起与 DeFi 相关的安全工作，丢失金额约 2.8 亿美元，其间，闪电贷进犯约 11 起，在 BSC 链上产生的与 DeFi 相关的安全工作 15 起，在以太坊链上的 3 起，在 EOS 上的 1 起。闪电贷进犯频现，从上一年的以太坊搬运到了本年大热的 BSC 上，不少人将“闪电贷”解读为“作恶的源头”“建立在 DeFi 之上的核弹”“进犯者空手套白狼的本金”。实际上，这些言辞是对闪电贷的误读，闪电贷仅仅使用区块链技能，将传统假贷商场无法完结的工作带来一种新的或许。理论上，闪电贷假贷答应用户经过无典当的方法借出流动性池内的一切通证，并要求用户在进行一系列交换典当清算操作之后、买卖完毕之前偿还所借通证以及固定的假贷本钱。在 BSC 初次呈现的闪电贷进犯是 5 月 2 日，PeckShield 「派盾」经过追寻和剖析发现，DeFi 协议 Spartan Potocol 遭到闪电贷进犯。之后闪电贷进犯呈现在 BSC 链上的频率呈上升趋势，包含 PancakeBunny、Bogged Finance、AutoShark、BurgerSwap、JulSwap。PeckShield 「派盾」调查发现，这些闪电贷进犯方法与以太坊上曾呈现的闪电贷进犯迥然不同，仅仅从以太坊搬运到 BSC。跟着年头 BSC 凭仗低手续费、出块速度快等优势招引了一批原以太坊上的 DeFi 协议和 Fork 以太坊上的 DeFi 协议，DeFi 的生态日益丰厚，绑定在 BSC 上的财物也越来越多，这也使其成为进犯者傲视的「收割场」。从上述 6 个闪电贷进犯事例中，咱们发现大部分进犯与之前产生在以太坊上的进犯十分相似。BurgerSwap 与 OUSD 的进犯方法有异曲同工之妙。根据 BSC 的 BurgerSwap 和根据以太坊上 OUSD 的闪电贷+重入进犯有相似之处，进犯者都是先从供给闪电兑换的去中心化买卖所借出一笔闪电贷，再在智能合约中存入假币和原生 Token（BURGER、OUSD），并在此过程经过重入进犯来进犯合约，最终偿还闪电贷完结进犯。操作 Curve yPool 的闪电贷进犯在 BSC 上重现。5 月 30 日，BSC 链上结合多战略收益优化的 AMM 协议 Belt Finance 遭到闪电贷进犯，PeckShield 「派盾」经过追寻和剖析发现，此次进犯源于进犯者经过重复买入卖出 BUSD，使用 bEllipsisBUSD 战略余额核算中的缝隙操作 beltBUSD 的价格进行获利。值得注意的是，Ellipsis 是以太坊上 DeFi 协议 Curve 授权 Fork 的项目，屡次操作 Curve yPool 的价格，以套取安稳币价差的套利工作重现，Fork Curve 的潘多拉魔盒是否现已翻开？综上，这些重现的闪电贷进犯都有迹可循，并非没有防护的方法。