DeFi的黑色星期四：在市场崩溃期间，熟练的黑客如何从MakerDAO撤回了800万美元

3月12日的市场崩盘对DeFi行业构成了真正的考验，并触及了其弱点。甚至是旗舰产品MakerDAO也无法抗拒-攻击者设法从系统中获得了800万美元，独立研究员Andrei Tokmunov特别告诉ForkLog他为DeFi“黑色星期四”教了什么课。

DAI如何稳定？

MakerDAO是一个由两个代币组成的生态系统：Maker的管理者和stablecoin DAI。后者以1：1的汇率与美元挂钩，并得到各种数字资产（主要是以太坊）的支持。

新的DAI：抵押优先权竞赛开始

要接收DAI，用户需要支付一份特殊的智能合约，然后系统会给他稳定币。此外，质押总会超过贷款额（在撰写本文时为150％）。如果抵押品中的代币价值低于贷款成本，则开始拍卖，网络参与者（即所谓的清算人）将抵押品赎回为DAI。之后，系统将燃烧收到的稳定币，从而减少排放。设计这种机制是为了与美元挂钩。

黑色星期四发生了什么事？

市场的恐慌激起了以太坊网络的沉重负担-交易费用大幅增加。

MakerDAO使用多个第三方资源（oracle）来跟踪资产价格。开始清算程序时，以平均价格为基础，每小时平均发布一次。由于以太坊拥塞，延迟时间为两个小时-在此期间，以太坊的成本从166美元降至136美元。

我们涵盖了黑色星期四市场崩溃事件的帖子现已上线，其中包括发生的详细信息以及计划中的自动化更新的简要介绍。

无论是在此处还是在我们的Discord中，我们都欢迎所有反馈和评论.https：//t.co/X9FejPQSbg

-DeFi Saver（@DeFiSaver）2020年3月18日

更新平均价格后，许多抵押品有清算的危险，但是清算人没有足够的DAI来购买所有头寸。其中一些人故意没有购买迅速下降的ETH。

由MakerDAO开发人员编写的Auction Keeper并非为高汽油价格而设计。许多清盘人无法履行职责。

攻击者填补了真空，他们设法以约零的价格赢得了几次拍卖。其他用户遵循他的示例。他们合计以一分钱的价格回购了价值800万美元的抵押品，而DAI中的400万美元却被证明是无抵押的。

开发人员如何回应？

开发商增加了拍卖的时间，使诚实的竞标者有机会。但是，更新协议需要24小时。

MakerDAO的创建者添加了这样的延迟来解决安全问题。攻击者可以自己替换系统的智能合约，然后从MakerDAO中提取资金。这需要MKR投票令牌。潜在攻击的成本大大低于系统中冻结的资金成本。延迟允许其他参与者撤消决策并提取资金。

项目团队还宣布了大规模出售MKR代币的交易，其收益将使漏洞得以解决。拍卖发生了，买家是开发团队的匿名投资者。

一些人推测它们可能包括Coinbase和Circle，因为随后将稳定币USDC添加到了DAI抵押品中。也许是来自Paradigm和Dragonlfy的投资者，他们之前曾向MakerDAO投资2750万美元。

一些监管机构认为MKR是一种证券。此次销售可能会吸引他们的注意力，并且MakerDAO的问题肯定会影响整个DeFi领域。

彩排

2月14日，一笔交易立即影响了七个DeFi项目。攻击者的费用总计约为每个网络佣金8美元，估计利润为35万美元。

在攻击期间，与Uniswap交易所的通话时间相关的比特币价格上涨了两倍。转储发起人和主要受害者是bzx保证金交易协议。

Uniswap是一个自动流动资金池，其价格是根据一个简单的公式计算的，并且正在迅速增长。

Uniswap 3月总交易量，zumzoom数据

在进行杠杆交易时，交易者会借贷购买资产，并依靠其增长。如果价格上涨，资产被出售，并且在偿还债务和支付利息后剩下的差额，交易员就放进了口袋。如果价格下跌，他将蒙受损失。同时，资金由智能合约控制。

智能合约以超过150万美元的价格购买了BTC，同时以五倍的杠杆率建立了空头头寸。 bzx开发人员没有检查位置，请确保没有人在他们的脑海中冒着1300 ETH的风险。

但是攻击者的想法是在Uniswap上操纵比特币的价格。他以高于市场63％的价格卖出112 BTC，获得70万美元。

解析攻击

攻击者使用了新的快速借贷工具-这是一种即时借贷，在签发它的同一笔交易中被返还。如果未退还款项，合同将自动取消所有更改。

这样就可以安全地发行无抵押贷款。通常，快速贷款用于仲裁或清算：您买得便宜一些，但卖得更多。在黑色星期四，还动用了一笔小额贷款来节省抵押物。

储存资料

但是，饼干的行为有所不同。他在dydx平台上借了10,000 ETH（当时为280万美元）的贷款，并将其分为两部分。他将第一部分定向到bzx进行操作，第二部分进行仲裁。

快速借贷使攻击者可以大大降低攻击成本。黑客不需要大量寻找，他省去了洗钱的麻烦。此外，贷款本身几乎是免费的。

在“黑色星期四”事件之后，接下来将如何构建#DeFi？ ????

在我们的博客上阅读@lemiscate的热门照片：https://t.co/XJFdKjtsML

-Aave（@AaveAave）2020年3月14日

恢复后的2月17日，bzx协议再次受到攻击。这次，在一笔小额贷款的帮助下，攻击者操纵了稳定币sUSD的价格。该协议最终发行了无抵押贷款。损失估计为65万美元。

甲骨文是如何工作的？

为了计算DeFi中的抵押品，经常使用加密货币课程，这些课程通常会从分散交易中收紧。由于此类网站的流动性低，报价易于操作。

bzx开发人员使用了来自Kyber流动性聚合器的信息，但是在攻击后决定连接到Chainlink oracle网络。在其中，参与者从各种交流中收集课程并记录在以太坊网络中。对价格进行平均以保护系统免受错误信息的侵害。

在市场恐慌的背景下，Chainlink占用了以太坊带宽的22％，并且必须将达成共识所需的票数从21减至7。

有一次，请求者（Chainlink团队）提交了如此多的请求交易，以至于实际上消耗了以太坊总带宽的22％，这使问题更加复杂了https：//：//t.co/sSuwgJyrW6

-ChainLinkGod.eth（@ChainLinkGod）2020年3月14日

在黑色星期四的以太坊网络拥塞问题之后，看起来某些https://t.co/hO9I0FPjb2价格供稿的参数已更改

ETH / USD＆BTC / USD
偏差更新：
0.5％-> 1％
开始聚合的最低阈值：
14-> 7个节点$ ETH $ LINK
以下更多内容。pic.twitter.com/2OiiaRFq0Q

-ChainLinkGod.eth（@ChainLinkGod）2020年3月14日

MakerDAO使用其自己的Oracle网络，该网络从各个交易所收集数据并在智能合约中进行平均。该系统非常昂贵，开发人员希望对其进行更新。这将影响整个行业，因为许多DeFi协议都使用MakerDAO oracle。

对DeFi部门做什么？

所描述的攻击表明，在增加波动性的情况下，DeFi协议不稳定。在这样的时期，基于其算法的复杂公式不再起作用。

此类协议的安全审核的重要部分应该是负载测试，这将显示智能合约在极端情况下的行为。

猴子测试-检查系统的行为，使它们做出看似毫无意义的动作。此类检查有助于发现可能与新方案（例如快速借贷）的出现相关的新攻击媒介。

DeFi意味着集体管理。权力下放的程度越高，决策所需的时间就越多。

某些系统可以暂停以获取资金。但是，当市场不稳定时，任何止损都将遭受损失。许多团队已经更改了限制，使操作变得困难。

您应该始终有一个备份计划，以防造成损失。

暂停三周后，bzx开发人员发布了一篇文章，描述了攻击和缓解措施。该文件提前265年提供了相当大胆的预测。该文本是在市场下跌前三天发布的，估计可能需要调整。

交易者现在可以平仓。已进行了审核的更改。

Mea Culpa：攻击后报告，新的开始已经发布。您可以将其与审核报告????https一起阅读：//t.co/vMG6d1eTsI#defi #ethereum

-bZx（@bzxHQ）2020年3月10日

总结

攻击MakerDAO的清盘人没有应付他们的责任。通用代码中的错误不允许用户参加拍卖。负面的经验可能会刺激替代客户端的出现，因为对于大多数DeFi协议而言，现在仅编写官方库。

可以假定，对负责系统性能的参与者的惩罚也将成为一种额外的安全措施。

诸如快速贷款之类的工具的出现很可能导致限额的引入，并因此导致对KYC的需求。但是，在DeFi中，智能合约也是参与者，因此您可以更多地谈论信任和声誉市场的出现。

主要协议的开发者将尝试填补资金上的损失，以防将来遭受攻击。许可成员可以是一种获利的方法。

做出决策将需要更多数据，预言将变得更加复杂并承担风险控制职能。

所有这些将在性能方面带来新的挑战，DeFi可以迁移到第二层解决方案。

添加新手交流群：币种分析、每日早晚盘分析

添加虎哥微信，一对一亲自指导：hugelunbi02

—-

原文链接：https://forklog.com/chernyj-chetverg-v-defi-kak-umelye-hakery-vyveli-8-mln-iz-makerdao-na-fone-obvala-rynka/

原文作者：Nick

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。