原文標(biāo)題：《ValueDeFi遭攻擊始末，閃電貸這次又帶走了700萬美元》

撰文：rekt

編譯：隔夜的粥

北京時(shí)間11月15日凌晨，去中心化金融協(xié)議ValueDeFi遭遇閃電貸攻擊。攻擊者通過復(fù)雜的方式，從Value協(xié)議的金庫中轉(zhuǎn)移走了大約700萬美元。隨后再歸還了200萬美元，并附上了一條嘲諷性言論：“你們真的懂閃電貸嗎？”。在攻擊發(fā)生前一天，ValueDeFi公開宣稱自己是DeFi領(lǐng)域最安全的協(xié)議，并且能夠抵抗閃電貸攻擊。

此次詳細(xì)分析由rekt完成。

他們真的理解閃電貸（flashloan）嗎？

聲譽(yù)的價(jià)值是不穩(wěn)定的，謙虛能夠帶來穩(wěn)定，而吹噓過多最終只會(huì)自降身份。

ValueDeFi今天因?yàn)殚W電貸攻擊損失了700萬美元，再次給我們帶來了對閃電貸的痛感教訓(xùn)。

黑客攻擊前代幣價(jià)格為2.73美元，攻擊后降至1.87美元。

令人啼笑皆非的是，就在黑客攻擊前一天，項(xiàng)目方發(fā)布了以下推文：“我們的協(xié)議是安全的。”

盡管ValueDeFi團(tuán)隊(duì)大膽宣稱自己的協(xié)議很安全，但他們似乎并不知道提款不僅可以通過主合約進(jìn)行，還可以通過代理從金庫合約中提取。ValueDeFi使用了Curve現(xiàn)貨價(jià)格第7步的取款使用了錯(cuò)誤的Curve函數(shù)進(jìn)行數(shù)學(xué)運(yùn)算。

攻擊者選擇了對ValueDeFi團(tuán)隊(duì)非常不利的時(shí)機(jī)，攻擊發(fā)生在他們要開始AMA活動(dòng)的20分鐘前。

在攻擊發(fā)生后，一位用戶在15:41提問為什么協(xié)議鎖倉值（TVL）下降，而當(dāng)天早些時(shí)候ValueDeFi的鎖倉值曾超過1100萬美元。

到15:49時(shí)，人們的擔(dān)憂越來越大，協(xié)議團(tuán)隊(duì)成員則告知他們這是一個(gè)UI漏洞。

然后在15:49，有人在聊天室分享了etherscan鏈接。

攻擊者轉(zhuǎn)移了價(jià)值700萬美元的ValueDeFi金庫資金，并歸還了200萬美元，并附上了這樣一段話：“你們真的懂閃電貸嗎？”

在16:00，就在AMA活動(dòng)即將開始時(shí)，StaniKulechov發(fā)布了一條推文，告知大家發(fā)生了什么。

同時(shí)，在AMA活動(dòng)中，Value團(tuán)隊(duì)在16:05承認(rèn)了這次攻擊。AMA的問題則在40分鐘內(nèi)持續(xù)討論，但都和攻擊無關(guān)，直到......

$FARM、$AKRO以及$VALUE都成為閃電貸攻擊的受害者，它們因?yàn)閰f(xié)議薄弱遇到了嚴(yán)重教訓(xùn)。攻擊者通過返回一些金額來似乎表達(dá)一些“善意”。

這些攻擊想要教給我們什么呢？

閃電貸在DeFi領(lǐng)域是一個(gè)有爭議的話題，近幾個(gè)月來，它們一直是很多攻擊及漏洞的主要原因。但可以說，閃電貸只是在加速我們的學(xué)習(xí)過程，并有助于消除薄弱的協(xié)議。

如果沒有閃電貸，未來也可能會(huì)有“鯨魚”來實(shí)施類似行動(dòng)。最好是在去中心化金融（DeFi）的起源階段經(jīng)歷這個(gè)過程，因?yàn)闇?zhǔn)備冒險(xiǎn)的人每天都在試驗(yàn)、嘗試和發(fā)布新產(chǎn)品。

閃電貸正是來教導(dǎo)那些冒進(jìn)者的，告訴他們?yōu)楹我t卑。它們處在DeFi的頂點(diǎn)，這在其他地方是不可能的。閃電貸是DeFi技術(shù)帶來新功能的完美例子。

這是DeFi的一個(gè)特性，而不是對代碼的利用。

最強(qiáng)大的協(xié)議不會(huì)受到這些攻擊的影響，有些甚至能夠從中受益。

可以說，閃電貸加劇了DeFi開發(fā)者的門檻。

在新標(biāo)準(zhǔn)得到滿足之前，人們和協(xié)議會(huì)遭到攻擊。這將是痛苦的，但也將是公開的。但正因?yàn)槿绱?，我們需要學(xué)習(xí)。DeFi將變得更強(qiáng)，我們將為未來的用戶開發(fā)更好的實(shí)踐、更強(qiáng)的代碼以及更安全的環(huán)境。

熱點(diǎn)：交易平臺(tái) 幣網(wǎng) 平臺(tái)