知名協(xié)議 Badger DAO 發(fā)生了一起 DEFI 安全事故，用戶總損失約為 2100 BTC 和 151 ETH，約 1.2 億美元，是今年被盜金額最高的安全事故之一。
其實(shí) DEFI 安全事故早已屢見不鮮，僅僅在今年，Cream Finance 就受到兩次攻擊，最近的一次是 10 月 27 日，損失約 1.3 億美金。首次是 8 月 30 日損失約 1800 萬美元。
在 90 天的時(shí)間里連續(xù)兩次遭受閃電dai攻擊，讓其生態(tài)系統(tǒng)的脆弱性暴露了出來，黑客們攪亂的渾水里，讓從業(yè)者重新把目光放在了安全性上。
更為嚴(yán)重的是其弱點(diǎn)屢屢被暴露，包括 NFT 市場(chǎng)和 Gamefi 市場(chǎng)，都將會(huì)因其安全性受到質(zhì)疑而發(fā)展停滯。我們并不擅長(zhǎng)技術(shù)分析，但可以通過對(duì)比歷次黑客攻擊從邏輯層面嘗試解讀 DEFI 平臺(tái)目前面臨的安全困局。
在了解閃電dai攻擊之前，我們先要了解什么是閃電dai。
頻繁被黑客利用的“創(chuàng)新金融”閃電dai
在閃電dai中，出借者和借代者之間的一切協(xié)議和風(fēng)險(xiǎn)都由平臺(tái)控制，借代的發(fā)生和效率遠(yuǎn)高于普通銀行借代方式，省去了很多資產(chǎn)審查和資質(zhì)審查環(huán)節(jié)，因其便捷程度所以被稱之為閃電dai。
在區(qū)塊鏈領(lǐng)域，去中心化金融作為中心化金融在區(qū)塊鏈中的映射，其生態(tài)系統(tǒng)大量套用了現(xiàn)實(shí)中的銀行管理體系，借代和質(zhì)押規(guī)則等大多與中心化金融的規(guī)則體系一致。
只不過中心化的金融體系是由中心化機(jī)構(gòu)制定的規(guī)則來執(zhí)行，有可能出現(xiàn)失誤，而 DEFI 的金融規(guī)則的執(zhí)行均交由智能合約。分布式的結(jié)構(gòu)和完全由智能合約掌控的資產(chǎn)安全性促進(jìn)了該領(lǐng)域的發(fā)展速度。
2021 年初至今，DEFI 生態(tài)系統(tǒng)已經(jīng)快速發(fā)展到了千億美元級(jí)別，隨著質(zhì)押池和用戶資金量的指數(shù)級(jí)增長(zhǎng)，于是也自然出現(xiàn)了DEFI閃電dai形式。
閃電dai作為其金融的一種創(chuàng)新型模式，可以實(shí)現(xiàn)與互聯(lián)網(wǎng)閃電dai一樣的借代速度和快捷體驗(yàn)，可以實(shí)現(xiàn)無抵押借代，但要求在同一個(gè)區(qū)塊內(nèi)還款，否則成交將回滾無效。

于是，在閃電dai的模式之下，大多數(shù)從業(yè)者體驗(yàn)到了無需任何努力和付出的情況下，就能在該平臺(tái)中秒變“富豪”，利用龐大的資金量和高頻交易挖掘市場(chǎng)收益的感覺。同時(shí)，也有大量早期從事閃電dai的用戶獲得了巨額的財(cái)富。
但是，閃電dai其中的利益也被黑客們看在了眼里。惡意攻擊其協(xié)議的誘因變的越來越大，以至于出現(xiàn)了更多的黑客，以犧牲普通用戶的資產(chǎn)為代價(jià)，通過反復(fù)測(cè)試，利用協(xié)議漏洞盜取閃電dai質(zhì)押池內(nèi)資金的事件。
那么，黑客究竟是如何進(jìn)行閃電dai攻擊的呢？
DEFI閃電dai攻擊
一般認(rèn)為，閃電攻擊通常利用閃電dai協(xié)議和平臺(tái)漏洞，通過技術(shù)手段繞過回滾機(jī)制，進(jìn)行套利或操縱價(jià)格，進(jìn)而通過影響市場(chǎng)價(jià)格牟利。
我們通常認(rèn)為，黑客一般都有兩個(gè)目的.一種是為了竊取對(duì)方系統(tǒng)中的資料（包括數(shù)字資產(chǎn)和其他資料），另一種是為了純粹的技術(shù)炫耀，通過攻破對(duì)方的防御系統(tǒng)來彰顯自己的技術(shù)實(shí)力。
然而，DEFI 領(lǐng)域內(nèi)的閃電攻擊卻并不像是一個(gè)真正的黑客行為，他既不通過暴力破解（其實(shí)分布式結(jié)構(gòu)的系統(tǒng)少量黑客幾乎無法破解），也不去尋找系統(tǒng)的漏洞彰顯實(shí)力。
從原理上說，DEFI 領(lǐng)域的閃電攻擊通常不像是黑客的手法，使用更多的是利用金融和資金杠桿，以極低的成本撬動(dòng)市場(chǎng)，在多個(gè)協(xié)議間進(jìn)行價(jià)格操縱的金融手段。
因此，閃電攻擊的目的一般較為明確，并非是黑客為了顯示直接的技術(shù)有多么厲害的無意識(shí)攻擊，而其目的就是大量的數(shù)字資產(chǎn)。從這方面說，與其說進(jìn)行 DEFI 閃電攻擊的是“黑客”，倒不如說這些人是深諳數(shù)字資產(chǎn)交易規(guī)則的資金巨鱷。
除了上述通過技術(shù)手段和金融手段操縱市場(chǎng)進(jìn)行牟利，致使用戶產(chǎn)生直接的資產(chǎn)損失之外，DEFI 閃電攻擊也會(huì)通過操縱治理架構(gòu)，通過閃電dai攻擊獲取大量生態(tài)選票，以更低的成本變更平臺(tái)的治理規(guī)則，從而讓規(guī)則無限契合自己的利益，以此來達(dá)到牟利的目的。
從資金操縱和治理架構(gòu)操縱這兩點(diǎn)來說，DEFI 平臺(tái)一旦被閃電dai攻擊成功，沒有中心化進(jìn)行干預(yù)的 DEFI 智能合約就成了印鈔機(jī)，黑客可以通過嚴(yán)格遵守合約機(jī)制的智能合約源源不斷地從平臺(tái)中“套出”資金。
為了便于理解，我們可以參考今年以來的歷次閃電dai攻擊事件，從中找出攻擊者的切入點(diǎn)，同時(shí)也能看出 DEFI 閃電dai模式最薄弱的部分在何處！

熱點(diǎn)：BTC ETH NFT 區(qū)塊鏈 數(shù)字資產(chǎn) 智能合約 金融 銀行