Compound突現9000萬美元巨額清算,預言機安全應受重視

11 月 26 日又是不平凡的一天,高歌猛進多日之后,加密貨幣市場今日突遭大幅回撤,各大交易所的報價頁面內猩紅一片,BTC、ETH、XRP 等主流幣種均出現了兩位數以上的百分比跌幅,24 小時合約爆倉高達 13.73 億美元,

然而,故事并未就此結束,

屋漏偏逢連夜雨

韭菜們上一把淚還沒擦干,新的噩耗再次傳來。Debank 數據顯示,DeFi 借貸龍頭 Compound 內今日下午突然出現了高達 87837568 美元的清算數據,

Debank 創始人 hongbo 向 Odaily 星球日報表示,此次 Compound 巨額清算事件其實是因預言機數據源 Coinbase Pro 的 DAI 價格劇烈波動而導致,通過操控預言機所依賴的資訊源可以實現短時間的價格操縱,以誤導鏈上價格,

成都鏈安方面也表示,本次清算事件與 Compound 本身合約無關,疑似線下預言機數據源遭遇攻擊,其中 Coinbase Pro 的 DAI 波動比較大,超過了其他交易所的波動范圍。

有意思的是,除了拿 ETH 等非穩定資產貸出 DAI 的用戶遭遇影響外,拿穩定幣借貸穩定幣的用戶也被殃及。

Debank 徐勇貼出了遭此次清算事件影響較大的一名用戶的地址,數據顯示,該用戶通過存入穩定幣(DAI+USDC+USDT)借出穩定幣(DAI+USDC+USDT)在 Compound 內進行 COMP 挖礦,雖然理論上說拿穩定幣去借穩定幣一般不會受到幣價波動影響,清算風險也相對較小,但極端的情況還是發生了。

一份流傳于社區內的圖片顯示,Compound 的報價系統內美元穩定幣 DAI 的價格曾達到了 1.22 美元的異常值。

Coinbase Pro 上,DAI/USD 的價格自 15:30 起開始逐步攀升,峰值達到了更是一度高達 1.34 美元。

穩定幣價格的大幅波動導致即便是平時看起來比較安全的抵押率(債務價值/抵押資產價值)出現了大幅波動,因此觸發了清算線—— Compound 內不同幣種的抵押率最低要求各不相同,DAI 一般是 75%。

舉個例子來計算,如果某用戶使用 200 DAI + 100 USDC 貸出了 200 DAI + 10 USDC(主要為了進行 COMP 挖礦),若 DAI 和 USDC 的價格均能穩定在 1 美元左右,其抵押率是 70%,但如果 DAI 漲至 1.5 美元,那么其抵押資產價值及借款價值均會發生變化,此時的抵押率將會升至約 77.5%。

清算后會發生什么?

清算發生了,這意味著什么?

首先需要明確的是,清算程式其實是借貸協議的固定組成部分,其設計是為了確保資金的提取和借出總是有超額的兌現能力,同時保護借款人免受違約風險,

在 Compound 的清算機制中,會有一種特殊的身份叫作清算人,任何人都可以成為清算人,只要清算人發現某筆借貸的抵押率過低,即可觸發清算程式,這時候清算人能夠以一定的折扣價格拿走借款人的抵押資產,其支付的資金也等于為借款人償還了貸款,避免平臺出現壞賬,維持了償付能力。

PeckShield 結合本次事件舉了個例子來加以說明,比如某用戶拿價值 100 萬美元的房子在 Compound 內貸出了 75 萬美元的 DAI,這時候 DAI 的價格意外出現了上漲,用戶需要存入更多的抵押品才能保證 75% 的抵押率,如若不然,即可觸發清算程式。清算執行后,用戶所抵押的房子便不再歸其所有了,清算人可以從別的地方拿出一筆正常價格的 Dai 來幫助貸款人還錢,然后把房子拿走,

Hongbo 解釋稱,在本次事件中,攻擊者可以通過扮演清算人的角色,拿到 Compound 系統提供的 5% 抵押資產價格折扣作為激勵。

預言機操控攻擊正肆虐

這并非近期首起針對報價系統進行的攻擊,

成都鏈安此前也發文指出,事實上,近期肆虐幣圈的「閃電貸攻擊」,其本質就是對預言機進行操控,造成內外價格差并從中套利,閃電貸只是被攻擊者利用的新型金融工具,

10月末,DeFi 項目 Harvest Finance 遭到攻擊,黑客僅使用了 20 個 ETH 的成本(主要是用于支付 gas 費,方便快速完成攻擊)便撬動了 3000 萬美元的收益,該協議在 fToken 鑄幣時采用了 Curve y 池為喂價源,攻擊者通過巨額兌換,操縱價格數據,控制鑄幣數量,從而多次套利。

上周,Value DeFi 協議同樣遭遇了攻擊,黑客通過一系列協議間操作操縱了 Curve 資產池價格,最終導致 Value DeFi 出現了超過 700 萬美元的損失。

相似的例子的數不勝數,Cheese Bank、Origin Protocol 近期也先后遭黑客毒手,

從 Compound 的例子上來看,之所以出現巨額清算,其根本原因也在于其預言機取價數據源過于單一,

成都鏈安就此建議,DeFi 開發者應加強預言機的針對性測試,特別是在項目上線前,盡可能模擬價格操控攻擊的各類場景,及時發現問題并找出解決方案,切實提高項目抗預言機攻擊的能力,

項目上線后,開發者也應根據情況選擇接入第三方預言機服務、安全測試服務等;舉辦相關漏洞賞金活動,做到及時查缺補漏,優化整體結構,在最大程度上降低同類型事件再度發生的可能性,

0 条回复 A文章作者 M管理員
    暫無討論,說說你的看法吧