對各家 DeFi 協(xié)議而言，閃電攻擊意味著安全模式已經(jīng)改變；閃電貸也給以太坊帶來了新的動力，要盡快過渡到以太坊 2.0。

撰文：Haseeb Qureshi，加密貨幣風投機構 Dragonfly Capital 管理合伙人

閃電貸最近成為外界關注的熱點。兩名黑客利用閃電貸攻擊了保證金交易協(xié)議 bZx，第一起套利金額為 35 萬美元，之后又搞了一起套利金額 60 萬美元的翻版攻擊。

如果用一個詞來形容這些攻擊的話，可以說是「壯觀」。每次攻擊中身無分文的黑客貸到價值數(shù)十萬美元的 ETH，分散利用一系列鏈上協(xié)議的漏洞進行了一通操作，從所盜竊的資產(chǎn)中提走了數(shù)十萬美元，并成功堵上巨額 ETH 貸款窟窿。所有這一切在瞬間完成，就是說，在一個以太坊區(qū)塊中完成。

我們不清楚這些攻擊者是誰、身居何處。兩人都是空手套白狼，攻擊完成賺到數(shù)十萬美元，且沒有留下任何暴露身份的痕跡。

剛爆出這些攻擊消息時，我正在仔細思考閃電貸及 DeFi 的安全性問題。我認為這個問題值得公共討論。

簡單說一下我的觀點：我認為閃電貸存在重大安全威脅。但閃電貸不會消失，我們需要認真考慮未來它對 DeFi 的安全性影響。

什么是閃電貸？

閃電貸概念最早由 Marble 協(xié)議于 2018 年提出。Marble 自詡「智能合約銀行」，其產(chǎn)品是很簡單、但很具智慧的 DeFi 創(chuàng)新：通過智能化合約完成的零風險貸款。

貸款如何能零風險？

傳統(tǒng)信貸機構放貸時面臨兩種風險。第一種是違約風險：如果貸款人攜款潛逃，信貸機構會吞下苦果。但第二種是流動性風險：如果一家信貸機構在錯誤的時間放出太多貸款，或者借款人未及時還款，信貸機構可能意外遭遇流動性緊張，無法履行自己的義務。

閃電貸減緩了這兩種傳統(tǒng)放貸風險。閃電貸的基本工作原理是：在單筆交易中貸出借款人需要的金額。然而在交易結束時，借款人必須償還不少于貸款金額的數(shù)目。如果借款人做不到，貸款機構會自動回滾交易。（是的，智能合約能做到這一點?。?/p>

簡單講，閃電貸是自動的：如果借款人不能償還貸款，整個交易就會回滾，就像貸款根本沒發(fā)生一樣。

這樣的事情只有在區(qū)塊鏈中才能發(fā)生。比如你不能在 BitMEX 交易所進行閃電貸。因為智能合約平臺一次性處理交易，所以一次交易的所有元素是批處理執(zhí)行的。交易執(zhí)行時，可以把這個想成交易的「凍結時間」。而在中心化交易所中可能會出現(xiàn)激烈的競爭，可能導致你的交易部分失敗；在區(qū)塊鏈中，可以保障你的所有代碼一行行逐次執(zhí)行。

所以簡單考慮一下這里面的經(jīng)濟機制。傳統(tǒng)信貸機構因為兩個元素而賺到回報：他們承擔的風險（違約和流動性吃緊），以及他們所貸出資金的機會成本（例如，如果這筆錢原本可以讓貸款機構得到 2% 的存款利息，所以借款人必須支付比無風險回報率 2% 更高的利率）。

閃電貸則不同。閃電貸利率上沒有風險，也沒有機會成本！因為借款人在閃電貸過程中「凍結了時間」，所以在其他任何人眼中，該系統(tǒng)的資金從來沒有風險，從來沒有阻塞，因此你也賺不到利息（例如，它沒有任何機會成本）。

這意味著，成為閃電貸出借方感覺上不需要任何成本。這嚴重違反了直覺。所以均衡狀態(tài)下閃電貸的成本應該是多少？

基本上講，閃電貸應該是沒有成本費用的。或者更準確的說，一筆很小的費用，能補償讓一筆資產(chǎn)進入可放貸狀態(tài)而添加的三行代碼。

閃電貸不能收取傳統(tǒng)意義上的利息，因為貸款的持續(xù)時間為 0，（ APR * 0 = 0）。當然，如果任何放貸機構收取更高的利息，將會被利息更低的其他競爭對手碾壓。

閃電貸讓資金成為真正的商品。這種競爭到頭來不可避免的將成本壓低到 0 或者金額極小。dYdX 目前閃電貸手續(xù)費為 0。而 AAVE 收取本金的 0.09% 作為利息。我估計這種情況不會持續(xù)下去，實際上 AAVE 社區(qū)已經(jīng)開始呼吁 0 利息。（請注意，我們前文提及的兩次黑客攻擊都沒有選擇從 AAVE 獲得閃電貸）

閃電貸有什么用？

閃電貸最初的營銷標簽是主要用于套利交易。Marble 的亮相聲明表示：

「閃電貸可以幫助交易者從 Marble 銀行貸款，在一家去中心化交易所 DEX 中買幣， 然后在另一家 DEX 以較高價格賣出代幣，一筆自動化交易就可以讓您將套利收益收入囊中?！?/p>

而現(xiàn)實確實如此—— 從金額上講，我們目前看到的多數(shù)閃電貸都被用于此類套利交易。

但金額還很小。AAVE 自成立以來發(fā)起的閃電貸金額才剛剛超過 1 萬美元。與套利交易規(guī)模和 DeFi 市場流動性相比，不過九牛一毛。

這主要是因為多數(shù)套利交易是由運行復雜機器人的競爭性套利者完成的。他們進行鏈上優(yōu)先 gas 拍賣 ，然后利用 GasToken 來優(yōu)化交易費。這一市場競爭非常激烈，他們很樂意在賬面上保留部分代幣來優(yōu)化利潤。

另一方面，從 AAVE 借款的成本約為 8 萬 gas，并收取本金 0.09%，對利潤微薄的套利競爭而言，這一成本過高。實際上多數(shù) AAVE 套利交易中，借款人給貸款池支付的手續(xù)費多過其套利收益。

長期來看，除非是某些特殊情況，否則套利者不太可能使用閃電貸。

事實證明，閃電貸在 DeFi 中還有其他更引人注目的用例。一個例子是為貸款再融資。例如，假設我有一個 Maker 抵押債倉（CDP），在里面中鎖定了 100 美元的 ETH，我從其中借了 40 個 DAI 幣的貸款，因此減去債務后我在 CDP 中的凈頭寸為 60 美元。假設我想再融資放在 Compound 換取更高的利率，通常我需要回購 40 DAI 才能關閉 CDP，這需要一些前期資金。相反我可以利用閃電貸借入 40 個 DAI 來關閉 CDP，將 60 美元的未鎖定 ETH 存入 Compound，通過 Uniswap 將其余的 40 美元 ETH 轉換回 DAI，并用來償還閃電貸。一氣呵成，自動化 0 成本再融資。

這太神奇了！這就是資本樂高運行的偉大范例。1x.ag 實際上搭建了一個保證金交易聚合應用，利用閃電貸自動實現(xiàn)這類交易。

盡管這些很酷，但 bZx 攻擊者讓我們清楚看到，閃電貸能帶來多大的傷害。

閃電攻擊對安全的重大意義

我越來越相信閃電貸真正解鎖的是閃電攻擊——利用閃電貸進行高額資金攻擊。近期的 bZx 黑客攻擊讓我們管中窺豹，我懷疑這僅僅是個開頭而已。

為何閃電貸成為攻擊者的利器？主要有兩個原因。

1. 很多黑客攻擊需要大量的前置資金（例如操縱 Oracle 幣價格）。如果你 1000 萬美元的 ETH 取得正收益，那應該不是什么套利交易。

2. 短期貸款可以最大程度地減少攻擊者的污點。如果我有一個如何以 1000 萬美元的 ETH 操縱 Oracle 幣 的想法，即使我擁有那么多的 ETH，我可能也不想用自己的資金來冒險。我的 ETH 可能沾染污點，交易所可能會拒絕我的存款，洗錢難度大大增加。有風險！但是，如果我用閃電貸貸出 1000 萬美元，誰在乎呢？各方都會有收益。我的貸款來源——dYdX 的抵押池不會被污染， dYdX 的污染某種程度上消失了。

您可能不喜歡，但交易所審查制度如今已成為區(qū)塊鏈安全模式的一部分——相當模糊且中心化。但我認為對一個攻擊者而言，閃電貸實質(zhì)上改變了這種風險。在比特幣白皮書中，中本聰發(fā)出了著名的宣言：比特幣不會遭受安全攻擊，因為：

「（攻擊者）應該會發(fā)現(xiàn)按照規(guī)則參與的話比毀壞系統(tǒng)更有利可圖，而毀壞系統(tǒng)就是毀壞他自己的資產(chǎn)。」

而在閃電貸中，攻擊者與閃電貸游戲絲毫沒有利益捆綁。閃電貸從本質(zhì)上改變了攻擊者的風險。

另外請記住，閃電貸可以累積！鑒于 gas 的限制，你可以在一筆交易中從所有能放貸的資金池中貸款（最高可達 5000 萬美元） ，然后將所有資金捆綁到一個可攻擊合約中?，F(xiàn)在攻擊者手里有了 5000 萬美元的重磅大錘，只要砸出重金，任何弱不禁風的鏈上協(xié)議都承受不了其巨大沖擊。這太可怕了。

當然攻擊者不是僅憑大量金錢就可以對這些協(xié)議實施攻擊。如果所有 DeFi 堆棧都像它聲稱的那樣安全，這應該不是個問題——面對富鯨哪種協(xié)議是不安全的？您可能會說，這些協(xié)議沒有考慮到那種情況，僅僅是疏忽了。

不過據(jù)稱每小時用不到 20 萬美元的資金就可以讓以太坊本身遭受 51% 攻擊**。這個金額也并不很大！如果以太坊自身的安全模式僅僅能防止資金匱乏的攻擊者，我們何必那么苛責那些防不住 1000 萬美元攻擊的 DeFi 應用呢？

（**說明一下，我個人并不相信這個數(shù)字，這個數(shù)字忽略了 ETH 短缺等情況的影響 ， 不過它展示了一個思路。）

如何減緩閃電攻擊？

假設你是一家衍生品平臺，想避免受到閃電攻擊。自然會問：我是否能檢測出與我交易的用戶是不是在用閃電貸？

簡單的答案是：你做不到。

以太坊的 EVM 設計方式不允許你從任何其他合同中讀取存儲。因此，如果你想知道另一個合同中發(fā)生的事情，只能通過該合同告訴你。如果你想知道客戶是否正在使用閃電貸合同，則必須詢問該閃電貸合同。目前許多放貸協(xié)議都無法對此類查詢做出回應（而且一般來說，也沒有辦法強制閃電貸放貸方執(zhí)行這一查詢）。

即使你的衍生產(chǎn)品平臺試圖檢查已知的閃電貸協(xié)議，協(xié)議平臺使用代理合同或通過跨閃電貸協(xié)議鏈接，也很容易將任何此類查詢誤導。通常根本無法判斷用戶是否正在使用閃電貸。

短短的一秒鐘，如果有人要用 1000 萬美元敲開你家交易平臺的大門，無法判斷這是他們自己的資金，還是一筆閃電貸。

所以我們要防范閃電攻擊，真正的選擇是什么？我想到三種方法。

說服閃電貸協(xié)議停止提供這種服務

開個玩笑而已。伙計們，這可是加密世界?。?/p>

嚴肅地講，試圖讓貸款池停止提供閃電貸，就像試圖阻止噪聲污染一樣，這是公共領域的經(jīng)典悲劇。提供閃電貸款符合每個協(xié)議的利益，并且其用戶有合理原因的希望使用此功能。因此，我們可以放心地消除這一選項。閃電貸不會消失。

迫使關鍵交易跨越兩個區(qū)塊

要記住，閃電貸允許你在單筆交易時間內(nèi)借入資本。如果一個資本密集型交易需要跨越至少兩個區(qū)塊，用戶需要至少在兩個區(qū)塊時間段取出貸款，閃電攻擊就成為不可能。（注意：要達到這一效果，兩個區(qū)塊之間用戶價值必須鎖定，以防止其償還貸款。如果你沒有正確地設計，則用戶可能會在兩個區(qū)塊進行閃電攻擊）

顯然這是以大幅犧牲用戶體驗下進行的：這意味著交易將不再是同步的，很像 commit / reveal 方案。用戶體驗很糟糕，需要謹慎三思。

很多開發(fā)者抱怨智能合約異步操作，例如與 Layer 2 或以太坊 2.0 的跨片通信協(xié)議的互動。具有諷刺意味的是，異步性使得這些系統(tǒng)更安全，避免遭遇閃電攻擊。因為攻擊者無法在一次自動化交易中同步完成主鏈與 Layer 2 或分片的操作。這意味著 ETH 2.0 分片或 Layer 2 DEX 不會遭遇閃電攻擊。

要求提供鏈上證明，證明完成閃電貸后用戶的賬戶余額未出現(xiàn)變化

如果可以通過某種方法來檢測用戶的實際余額是多少（即在他們貸款之前和還款之后的余額分別是多少），我們就可以戰(zhàn)勝閃電攻擊。

在原生 EVM 機制中無法執(zhí)行此操作，但是可以對其進行修改。你要做的是：在用戶與你的協(xié)議進行交互之前，你要求其提供 Merkle 證明，證明在上一個區(qū)塊末尾時他們有足夠的余額來償還當前使用的資金。你需要針對每個區(qū)塊中的每個用戶跟蹤此情況。（感謝康奈爾大學教授 Ari Juels 向我概述了這種方法）

這種方法一定程度上是奏效的。當然，它還很粗糙，有一些問題：驗證這些鏈上證據(jù)在鏈上的成本極高，思維正常的用戶沒有人愿意提供這類證明，并為整個過程支付 gas 費用。另外用戶完全可能有合法合理的理由，在上個區(qū)塊想調(diào)整其余額。所以，盡管這種方法理論上有些作用，它不是一種可行的解決方案。

很清楚，我上面所舉的三種解決方案都不夠理想。我相信面對閃電攻擊沒有真正好的解決辦法。但有兩個特別應用確實能減緩閃電攻擊：市場價預言機和治理代幣。

像 Uniswap 或 OasisDEX 等市場價預言機 ， 由于閃電攻擊的可能性，你任何情況下不能把當前市價中位數(shù)當成喂價。攻擊者只需要一筆交易就能輕而易舉地大幅改變市價中位數(shù)，讓預言機失靈。對此最好的解決方案是通過時間加權平均價格（TWAP）或成交量加權平均價格（VWAP）計算上一批 X 區(qū)塊的加權平均數(shù)。Uniswap v2 會自帶這一功能；經(jīng)濟學家 Max Wolff 的著作 《Polaris》為其它協(xié)議提供了一種通用方法。

鏈上治理則是則會帶來一連串令人頭疼的問題。鏈上治理通常由治理代幣持幣人按權重投票決定。但如果這種治理代幣進入某一貸款池，任何攻擊者可以偷走大量選票，得到自己想要的結果。

當然，多數(shù)治理協(xié)議要求這些治理代幣在投票期間鎖定，這讓閃電攻擊無計可施。但有些治理協(xié)議并非如此，例如「Carbon Vote」和 Maker 的行政投票。在閃電攻擊的陰影之下，這些治理機制完全可能被攻陷。

理想情況下，你不想讓治理代幣進入閃電貸款池。但這并非由發(fā)幣者決定，它是由市場決定的。因此，所有治理行動應該要求代幣鎖定期，以阻止閃電襲擊。更關鍵的是，所有治理代幣必須有時間鎖（timelocks）。時間鎖迫使所有的執(zhí)行決策在生效前都有一段等候期。（例如 Compound 的時間鎖是 2 天 ）。如果遭遇意料之外的治理攻擊，這一機制讓系統(tǒng)有了容錯時間。甚至盡管 MKR 目前大量未進入閃電貸資金池，近期已經(jīng)有人稱 MakerDAO 很容易遭遇此類攻擊。MakerDAO 當前正加快修復。

這些有什么深遠意義？

我認為 bZx 攻擊事件徹底改變了局面。

這不會是最后一起閃電攻擊事件。第二起 bZx 攻擊只是第一次翻版而已，我懷疑未來幾個月還有一波類似攻擊?，F(xiàn)在全球各個角落有數(shù)千名聰明的青少年對所有這些 DeFi 樂高虎視眈眈，用顯微鏡尋找任何漏洞，試圖找出發(fā)動閃電攻擊的辦法。如果攻陷一個漏洞，他們也會賺到數(shù)十萬美元，對全球多數(shù)國家和地區(qū)而言，這一數(shù)字足以改變?nèi)松?/p>

對各家 DeFi 協(xié)議而言，閃電攻擊意味著安全模式已經(jīng)改變。在 bZx 黑客事件后如果再遭到類似攻擊，會和 DAO 黑客事件后再遭重入式攻擊一樣，會成為加密世界的笑話。不過你可以預期，這是會出現(xiàn)的。

最后，這些事件讓我去思考加密世界的古老概念：礦工可提取價值（MEV ）。MEV 指礦工可以從一個區(qū)塊鏈系統(tǒng)中可以提取的總價值，包括出塊獎勵和費用，但也包括其它不那么正大光明的收益，例如交易重新排序或向塊中插入流氓交易。

從根本上講，應該將所有這些閃電攻擊都視為海量資金內(nèi)存池（mempool）中的單筆交易。例如，第二次 bZx 攻擊在單筆交易中產(chǎn)生了價值 64.5 萬美元的 ETH 利潤。如果你是礦工，并且打算開始開采新區(qū)塊，請想象一下查看先前區(qū)塊的交易并對自己說：「這算怎么回事兒？上一個區(qū)塊中包含 64.5 萬美元的利潤，我為什么要開采一個只換來 500 美元的新區(qū)塊？」

更符合你利益的做法不是繼續(xù)開采新區(qū)塊，而是試圖重寫歷史，讓你自己成為那個閃電攻擊者。想一下：這一筆交易就相當于以太坊誠實挖礦四個小時的所得！這與擁有一個包含正常塊獎勵 1000 倍的超級塊是同樣的原理——這種超級塊帶來的合理結果是大批礦工瘋狂爭奪，為自己竊取那個超級塊。

均衡狀態(tài)下，所有閃電攻擊應該最終被礦工提取價值。（注意他們應該也會最終竊取了所有鏈上套利和清算）。諷刺的是，這會成為阻止閃電攻擊的一個重要元素，因為會讓攻擊黑客無法將竊取成果折現(xiàn)。也許最終礦工們會開始私下懸賞攻擊代碼 ，為黑客提供線人費。技術上講，利用零知識認證是可以在無需信任的情況下完成。（這樣想是不是有點怪？）

在今天這還都是科幻。礦工們明顯沒有這么做。

他們?yōu)槭裁礇]這么干？有無數(shù)的理由。首先它很難，需要大量工作， EVM 很難模擬，風險很高，存在漏洞可能造成資金流失或孤塊，會招致口誅筆伐，整個礦池會遭遇公關危機，可能被列為「以太坊公敵」。在目前情況下，礦工如果這么做更有可能帶來更多經(jīng)濟損失和孤塊，而不是拿到這筆錢。

在目前這是真的，但這種情況不會持續(xù)很久。

這給以太坊帶來了一個新的動力去盡快過渡到以太坊 2.0。以太坊上的 DeFi 盡管令人驚嘆且令人著迷，但毫無疑問是漏洞百出的。DeFi 在 PoW 鏈上不穩(wěn)定，因為所有高價值交易都會由礦工重新分配（也被稱為時間匪徒攻擊）。

對于大規(guī)模運營的系統(tǒng)，你需要的是不可改變性——礦工不能重寫已確認的區(qū)塊。這將會保護之前的區(qū)塊不會被重新分配。另外，如果 DeFi 協(xié)議存在于單獨的以太坊 2.0 分片上，它們不會在閃電攻擊面前弱不禁風。

依據(jù)我的估計 ， 閃電攻擊帶給我們很小、但很有用的一個提醒是，這僅僅是個開局。我們還沒有擁有出色的架構來構建未來的金融系統(tǒng)。

目前閃電貸款會是新常態(tài)。也許在長遠來看，以太坊上的所有資產(chǎn)都可以被投入閃電貸。交易所所持有的所有抵押物， Uniswap 的抵押物，也許所有 ERC-20 標準代幣。

誰知道呢，不過是幾行代碼的事兒。