闪电贷攻击
闪电贷攻击 是什么?
闪电贷攻击DeFi 攻击者在一笔交易中借入巨额无抵押闪电贷,以操纵价格或治理,在贷款偿还前盗取资金。
Aave 和 dYdX 使闪电贷流行起来,允许借款人借走任意数量的流动性,只要在同一笔原子交易内归还即可。攻击者将闪电贷与有漏洞的协议串联,用来操控链上价格、操纵基于 AMM 的预言机、滥用奖励公式或劫持治理提案。由于整个操作发生在单笔交易中,攻击者只承担 Gas 风险,并可同时组合多个协议。防御手段包括使用时间加权平均价(TWAP)、Chainlink 等专用预言机、基于快照的治理、重入防护以及不变量测试。自 2020 年以来,这类攻击已成为 DeFi 最常见的攻击形式之一。
● 示例
- 01
2020 年 2 月 bZx 闪电贷事件通过操纵预言机攫取约 100 万美元。
- 02
2022 年 4 月 Beanstalk Farms 攻击利用 10 亿美元闪电贷通过恶意治理提案,转走约 1.82 亿美元。
● 常见问题
闪电贷攻击 是什么?
DeFi 攻击者在一笔交易中借入巨额无抵押闪电贷,以操纵价格或治理,在贷款偿还前盗取资金。 它属于网络安全的 Web3 与区块链 分类。
闪电贷攻击 是什么意思?
DeFi 攻击者在一笔交易中借入巨额无抵押闪电贷,以操纵价格或治理,在贷款偿还前盗取资金。
闪电贷攻击 是如何工作的?
Aave 和 dYdX 使闪电贷流行起来,允许借款人借走任意数量的流动性,只要在同一笔原子交易内归还即可。攻击者将闪电贷与有漏洞的协议串联,用来操控链上价格、操纵基于 AMM 的预言机、滥用奖励公式或劫持治理提案。由于整个操作发生在单笔交易中,攻击者只承担 Gas 风险,并可同时组合多个协议。防御手段包括使用时间加权平均价(TWAP)、Chainlink 等专用预言机、基于快照的治理、重入防护以及不变量测试。自 2020 年以来,这类攻击已成为 DeFi 最常见的攻击形式之一。
如何防御 闪电贷攻击?
针对 闪电贷攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
闪电贷攻击 还有哪些其他名称?
常见的别称包括: 闪电贷利用。
● 相关术语
- web3№ 1056
智能合约安全
通过设计、审查和运维链上程序,防止其被利用以盗取资金、冻结逻辑或违反业务规则的实践。
- web3№ 765
预言机操纵
通过扰乱智能合约所依赖的价格或数据源,使合约在借贷、清算或结算中做出严重错误决策的攻击。
- web3№ 910
重入攻击
智能合约漏洞,外部调用使攻击者在状态更新前再次进入原函数,通过递归循环不断转出资金。
- web3№ 675
MEV(最大可提取价值)
区块构建者、验证人或 Searcher 通过对所产生区块中的交易进行排序、插入或审查所能提取的利润。
- web3№ 1055
智能合约审计
由独立第三方对智能合约源代码、部署配置与经济设计进行的安全评审,通常在上线或升级前完成。
- web3№ 106
区块链安全
保护分布式账本、共识机制、智能合约及其周边基础设施免受攻击、欺诈与盗窃的综合学科。
● 参见
- № 435区块链抢跑(Front-Running)
- № 965三明治攻击
- № 300DeFi(去中心化金融)