一文解读什么是闪电贷以及其为何易遭受黑客攻击

08月08日 11:20

摘要

我们正逐渐摆脱由第三方、银行或其他金融机构参与的中心化融资时代，在如今的时代，想要成功获得贷款需要很多严格而漫长的程序。

去中心化金融（DeFi）最重要的进步之一是引入了“闪电贷”。它有助于简化、加快和提高金融交易的可靠性。

闪电贷最早可追溯到2018年，但于2020年1月在以太坊网络上正式推出。近年来，闪电贷越来越受欢迎，因为它提供了一种快速获取资金的方式，而无需经历传统贷款流程的麻烦。

在闪电贷中，没有信用审查、第三方、银行或严格的流程，因为所有程序皆由智能合约进行执行。

通过闪电贷中可用的借款、还款和仲裁技术，加密货币领域中的任何用户都有机会从事可赢利的业务运营。

但不幸的是，虽然闪电贷集复杂性和有益性于一身，但仍存在一些缺陷。就像任何其他技术一样，闪电贷款也有其缺点。

本文将探讨闪电贷的有关概念，其真正含义，获取贷款的一些过程，以及该贷款系统易受攻击的程度。

什么是闪电贷？

闪电贷是加密货币的一项贷款措施，由DeFi协议提供，允许用户在不提供任何抵押品的情况下获得一些资金。

正如前所述，中心化金融的发展趋势正迅速下降，而去中心化金融正逐渐取代中心化金融在市场的地位。

与传统的贷款方式一样，闪电贷也涉及借款人和贷款人，最终几乎没有利润。加密用户或借款人通过可用协议抵押贷款、接收贷款、使用贷款进行套利交易然后立即将贷款返还贷款人，从而获取利润。

与“闪电”一词一样，闪电贷也是在短时间内发生，整个借贷和归还过程在区块链上的单笔交易中进行。

闪电贷通常用于短期交易，贷款通常在同一天内归还。

为保证交易的透明度和遵守合约的指导条款，闪电贷利用了一种称为智能合约的技术。对于智能合约，如果在任何情况下，闪电贷中所需的一个步骤被中断，整个交易将被清零，这也意味着在此之前执行的所有步骤都将无效。

没有智能合约支持的闪电贷非常不安全，因为黑客很容易对用户进行恶意攻击。例如，一些黑客会试图操纵智能合约，用不同价格的“买卖”订单轰炸区块链，以提供套利的可能性。因此，智能合约的应用是闪电贷交易的一个显著特点，因为它有助于保持支票并将恶意攻击的可能性降至最低。而闪电贷的这一特点也使其比传统流程更受欢迎。

闪电贷的运作原理

任何希望获得贷款的用户须：

首先，向任何可用的贷款协议发出请求，指出所需的资金量。

请求被批准或不批准。如果用户的请求获得批准，资金将立即转移到借款人的钱包中。

借款人可以将该可用资金用于任何投资、业务或任何目的。

之后，借款人将须在约定的期限内偿还贷款，大多数时间不超过24小时。

然而，如果贷款未在约定的时间范围内偿还，贷款协议将承担抵押代币的所有权。

值得注意的是，在这种情况下，智能合约可以确保借款人在交易结束前偿还贷款。否则，交易将被清零并完全取消。

什么是闪电贷款攻击？

图源：Chainanalysis.com

在所有DeFi黑客攻击中，闪电贷攻击占了很大一部分。众所周知，针对DeFi项目的黑客攻击，如闪电贷，在过去几年中的攻击率有所上升，其中安全漏洞和代码攻击位居榜首。

闪电贷攻击是一种加密货币盗窃攻击，黑客使用闪电贷借出大量数字货币，然后将货币转发到公开市场，在那里他们可以转售货币以获利。

在一次闪电贷攻击中，黑客会套利他们从闪电贷中获得的贷款，然后在获利后立即返还资本。

该过程快速而简单，攻击者在完成攻击并撤手之前会多次重复该过程，中间不会留下任何痕迹。

随着加密货币的价值近年来持续增长，闪电贷攻击也随之急剧增加，且成为数字货币交易所面临的主要安全威胁之一。

闪电贷攻击的一些常见情况：

· DAO攻击
· bZx协议攻击
· dForce攻击
· MakerDAO攻击

闪电贷有多容易受到攻击?

2020年圣诞节之际，便发生了一次针对DeFi贷款协议AAVE的闪存贷攻击。

此类攻击不断频繁发生，其中最近一次遭受闪存贷攻击的项目是DeFi平台Beanstalk。该次攻击中，该平台的1.82亿美元被洗劫一空，损失额超过了此前2021年发生的最大规模攻击活动的损失金额——1.67亿美元。

然而，这些残酷而真实的事件在很大程度上显示了如果使用不当，闪电贷的不稳定性和脆弱性。

闪电贷易遭受攻击有多个原因，包括：

1. 易于执行：

对于闪电贷，您只需要获得流动性池和相当数量的抵押品，即可申请借贷。一旦您通过申请，即刻便可以很容易地获得一笔可观的贷款资金，您还可利用该笔资金再购买一些额外资产。然后，这两种资产之间的价差可以立即变现。这使得闪电贷非常容易受到网络欺诈的攻击。

2. 非常便宜：

闪电贷非常便宜，黑客只需几秒钟到几分钟便可轻松实施攻击计划。而且没有中介，因为DeFi协议是去中心化的。因此，成本相当低(通常在0.1%到5%之间)。

3. 风险较低：

闪电贷攻击者并不害怕被抓到，因为这种情况很少发生，而且还可以轻易地从DeFi协议中窃走加密资金。开放性网络的性质和无身份验证即可访问的技术也导致大多数网络黑客在攻击成功后便卷款潜逃，溜之大吉，消失得无影无踪。

4. 无抵押品：

抵押品不是闪电贷的关键要求，这也是一个不利因素，因为借款人可能决定不偿还贷款。

由于不存在不向贷款人偿还贷款的风险，这些贷款也没有任何抵押品担保。您要么完全完成交易并向贷款人偿还初始贷款金额，要么交易失败，初始贷款仍在DeFi协议范围内。

5. 开发人员的失误：

由于区块链仍属于新兴技术，开发人员无法保证能提前发现并解决所有潜在缺陷是第一个问额。另一个问题是，系统创建速度很快，而且每一项计划都要花费大量资金，前期投入成本十分巨大。因此，许多开发人员会尝试各种技术来识别系统错误。一些闪电贷的攻击者会利用错误的流动性池计算数据，进行攻击活动。其他的系统错误还包括编码有误或矿工攻击。

如何减少闪电贷攻击的发生

使用合约提供的不同代币来计算价格是评估资产的“最纯粹”方法，这也使得合约容易被操控和攻击。

但是，我们可以通过采取以下措施，以尽量减少或完全避免闪电贷攻击的发生：

使用去中心化的市场。因为不需要去中心化交易所来保留您的资产，也就没有遭受攻击的风险。
使用非托管型钱包，使用该种钱包可以确保您密钥的安全性，能由您自己完全控制资金。
使用去中心化的借贷协议，该类协议不太可能受到威胁，因为它们不持有用户资产。
持续关注DeFi领域的最新动向和相关发展信息，为任何潜在威胁提前做好规划和准备。
验证相关平台的信任度和可靠性。

结语

闪电贷是推动金融资产交换进入安全和去信任协议需求旺盛时代的绝佳工具。

尽管闪电贷目前或许较为脆弱，但相信，在未来闪电贷一定能发展得更好。随着开发人员开始提供更优化和完善的智能合约，越来越多的系统开始部署安全工具和去中心化的Oracle进行定价，此举也有助于降低DeFi领域的攻击频率。

然而，仅靠开发人员一方的努力可能无法完全解决此类问题。还需用户也加入进防卫和抵制此类攻击活动的队伍中。用户须时刻谨记，仔细检查和权衡闪电贷所涉及的风险，确保投入的资金损失率处于自己能承受的范围之内，也就是不要一次性投入大笔资金，因为一旦亏损，有可能损失惨重，甚至血本无归。

作者：Gate.io研究员M. Olatunji 译者： Joy Z.
*本文仅代表研究员观点，不构成任何交易建议。
*本文内容为原创，版权为Gate.io所有，如需转载请注明作者和出处，否则将追究法律责任。

BTC/USDT + 2.61%

ETH/USDT + 1.50%

GT/USDT + 0.88%

解锁盲盒最高获$6666奖励

立即注册