对各家 DeFi 协议而言, 闪电攻击意味着安全模式已经改变; 闪电贷也给以太坊带来了新的动力, 要尽快过渡到以太坊 2.0.
撰文: Haseeb Qureshi, 加密货币风投机构 Dragonfly Capital 管理合伙人
闪电贷最近成为外界关注的热点. 两名黑客利用闪电贷攻击了 保证金交易协议 bZx , 第一起套利金额为 35 万美元 , 之后又搞了一起 套利金额 60 万美元 的翻版攻击.
如果用一个词来形容这些攻击的话, 可以说是「 壮观 」. 每次攻击中身无分文的黑客贷到价值数十万美元的 ETH, 分散利用一系列链上协议的漏洞进行了一通操作, 从所盗窃的资产中提走了 数十万美元 , 并成功堵上巨额 ETH 贷款窟窿. 所有这一切在瞬间完成, 就是说, 在一个以太坊区块中完成.
Carmine Infantino 设计的漫画封面
我们不清楚这些攻击者是谁, 身居何处. 两人都是 空手套白狼 , 攻击完成赚到数十万美元, 且没有留下任何暴露身份的 痕迹 .
刚爆出这些攻击消息时, 我正在仔细思考闪电贷及 DeFi 的安全性问题. 我认为这个问题值得公共讨论.
简单说一下我的观点: 我认为闪电贷存在重大 安全威胁 . 但闪电贷不会消失, 我们需要认真考虑未来它对 DeFi 的安全性影响.
什么是闪电贷?
闪电贷概念最早由 Marble 协议 于 2018 年提出. Marble 自诩「 智能合约银行 」, 其产品是很简单, 但很具智慧的 DeFi 创新: 通过 智能化合约 完成的零风险贷款.
贷款如何能零风险?
传统信贷机构放贷时面临两种风险. 第一种是 违约风险 : 如果贷款人携款潜逃, 信贷机构会吞下苦果. 但第二种是 流动性风险 : 如果一家信贷机构在错误的时间放出太多贷款, 或者借款人未及时还款, 信贷机构可能意外遭遇流动性紧张, 无法履行自己的义务.
闪电贷 减缓 了这两种传统放贷风险. 闪电贷的基本工作原理是: 在单笔交易中贷出借款人需要的金额. 然而在交易结束时, 借款人必须偿还 不少于贷款金额 的数目. 如果借款人做不到, 贷款机构会自动回滚交易. (是的, 智能合约能做到这一点! )
简单讲, 闪电贷是自动的: 如果借款人不能偿还贷款, 整个交易就会回滚, 就像贷款根本没发生一样.
这样的事情只有在区块链中才能发生. 比如你不能在 BitMEX 交易所进行闪电贷. 因为智能合约平台一次性处理交易, 所以一次交易的所有元素是批处理执行的. 交易执行时, 可以把这个想成交易的「 冻结时间 」. 而在中心化交易所中可能会出现激烈的竞争, 可能导致你的交易部分失败; 在区块链中, 可以保障你的所有代码一行行逐次执行.
所以简单考虑一下这里面的经济机制. 传统信贷机构因为两个元素而赚到回报: 他们 承担的风险 (违约和流动性吃紧) , 以及他们所贷出资金的 机会成本 (例如, 如果这笔钱原本可以让贷款机构得到 2% 的存款利息, 所以借款人必须支付比无风险回报率 2% 更高的利率) .
闪电贷则不同. 闪电贷利率上没有风险, 也没有机会成本! 因为借款人在闪电贷过程中「 冻结了时间 」, 所以在其他任何人眼中, 该系统的资金从来没有风险, 从来没有阻塞, 因此你也赚不到利息 (例如, 它没有任何机会成本) .
这意味着, 成为闪电贷出借方感觉上不需要任何成本. 这严重违反了直觉. 所以均衡状态下闪电贷的成本应该是多少?
基本上讲, 闪电贷应该是没有成本费用的. 或者更准确的说, 一笔很小的费用, 能补偿让一笔资产进入可放贷状态而添加的三行代码.
来自 0x 研发人员 Remco Bloemen
闪电贷不能收取传统意义上的利息, 因为贷款的 持续时间为 0 , ( APR * 0 = 0) . 当然, 如果任何放贷机构收取更高的利息, 将会被利息更低的其他竞争对手碾压.
闪电贷让资金成为真正的商品. 这种竞争到头来不可避免的将成本压低到 0 或者金额极小. dYdX 目前闪电贷手续费为 0. 而 AAVE 收取本金的 0.09% 作为利息. 我估计这种情况不会持续下去, 实际上 AAVE 社区已经开始呼吁 0 利息. (请注意, 我们前文提及的两次黑客攻击都没有选择从 AAVE 获得闪电贷)
闪电贷有什么用?
闪电贷最初的营销标签是主要用于 套利交易 .Marble 的亮相声明表示:
「闪电贷可以帮助交易者从 Marble 银行贷款, 在一家去中心化交易所 DEX 中买币, 然后在另一家 DEX 以较高价格卖出代币, 一笔自动化交易就可以让您将套利收益收入囊中.」
而现实确实如此 -- 从金额上讲, 我们目前看到的多数闪电贷都被用于此类套利交易.
来源: http://www.tuicool.com/articles/AjYz2ya