学院 热点聚焦 文章

Compound 一日内清算逾 9 千万美元,Coinbase 预言机难辞其咎?

2020.11.30 monicadiao

来源:链闻 ChainNews 作者:rekt,匿名作者 翻译:Perry Wang
链接:https://www.chainnews.com/articles/766330515697.htm

最近的多起攻击中,有黑客将数百万美元归还给受害者,也有人在原本可以卷走更多钱的时候,干脆把钱留在桌子上。

黑客攻击泛滥成灾,黑客采用了各种方法窃取资金,但自始至终一直与一个字眼有关……

回顾一下《黑客帝国》剧情,引领主人公尼奥探索 Matrix 的墨菲斯(Morpheus)说,预言机(The Oracle)从「一开始就」服务于抵抗运动。预言机是一个人类直觉测试程序,帮助人类抵抗运动者摆脱机器的压迫。

最近,预言机不断受到匿名特工的攻击,他们旨在操纵她对现实的看法,进而最大化自己的利润。

对价格预言机的信任问题普遍存在,链上或链下都是如此。

著名白帽 samczsun 写道:

两种选择都各有利弊。

链上价格预言机,例如 Uniswap、 Kyber 或 Balancer,不需要特权访问,一直保持及时更新,不过这也意味着很容易受到攻击者操纵。

链下预言机,例如 Coinbase,对波动性的反应通常较慢,同时它们需要:

「少数特权用户将数据推送到链上,因此你必须相信他们不会变得邪恶,也不会被迫推送不良信息。」

今天,Compound 上的大规模清算是由于 Coinbase 预言机发生了错误或遭到了操纵。

由于 Compound Finance 将 Coinbase 作为其唯一依赖的预言机,我们看到该协议贷款清算额超过 1.1 亿美元。

随着 DAI 价格飙升至 1.3 美元,人气极高的收益耕种交易对 DAI/USDC 因此下跌,导致大规模清算,而等待清算这些头寸的匿名代理人则获得巨额利润。

Sam Priestley 解释了清算是如何发生的,以及人们如何从中获利:

「今天有人在 compound 协议中对 4900 万美元资产进行了清算。清算人通过一种手法就赚到了 370 万美元。

受害人是一位借用了杠杆交易的收益耕种农夫。他们借出 DAI 和 USDC,借入 DAI 和 USDC。当 DAI 的价格改变时,将其账户进入清算。如果他们分别将 DAI 和 USDC 放在单独的钱包里,这种损失就不会发生。

当你的帐户正在清算时,清算人可以选择接受你的任何抵押品,以换取偿还你的债务。所以清算人拿走了 DAI。从 Uniswap 借入 DAI 。偿还 DAI 债务。从清算中获取更多 DAI。偿还 Uniswap。坐收利润。

巨鲸可能认为自己的资产很安全,因为他们从来没有调用 USDC 的『enter-markets』函数。但是通过借入 USDC,他们激活了 USDC 作为其 DAI 债务的抵押品。」

感谢@arbingsam 做出的这一分析。

以下图表显示 DAI 价格的飙升——对所谓稳定币而言,这是很大的涨幅。

当 Coinbase 推出其预言机,他们当时注意到依赖线下预言机可能导致的这一问题:

「使用来自链下来源的数据,需要信任发布者发布正确的价格并保持签名密钥的安全」

然而,他们采取的做法不是试图减少对信任的需要,而是向读者做出保证:他们值得这种信任。

Compound 创始人兼 CEO Robert Leshner 当时似乎很相信 Coinbase 的说法,他当时表示:

所以到底出了什么问题?

如果「预言机使用来自链下来源的数据,需要特权发布者将数据推送至链上」,这究竟是怎样完成的呢?

Coinbase 状态页面 当前显示如下:

上述事件是否是操纵或技术问题尚不清楚,但我们确实知道,没有使用闪电贷款。

操纵 Coinbase 订单簿实现这样的状态只需要花费 10 万 DAI,因为订单簿深度为 30 万 DAI,而 DAI 的价格偏离锚定的一美元价格,达到 1.3 美元。

上述事件是恶意还是无心行为,还是技术到期导致?无论是哪种方式,清算机器人都从这一事件中获利丰厚。

使用任何单一的中心化数据源作为价格预言机都是不明智的,Coinbase 尤其糟糕,特别是如果你能用 10 万美元就可以擦除订单簿。

「到处有程序在运行。那些运转良好、尽心尽力做着本职工作,它们是隐形存在的。你永远不会知道它们在这里。但其他的,嗯,我们总是会听到它们的故事。」

加⼊欧科云链社群

和全球数字资产投资者交流讨论

扫码加入欧科云链社群

相关推荐

hot-news