闪电贷攻击的原理是什么？

今天主要解说的是闪电贷，这就不得不让投资者想到闪电贷攻击，而闪电贷是一种金融技术，同时也是一把双刃剑，既为人们提供了极大的便利性，也为别有用心者提供了一把利器，通过闪电贷，黑客可以利用智能合约中的漏洞，用极低的成本，从闪电贷协议借得大量资金，用于攻击操作，获得巨大的利益。这样来讲，大家可能对闪电贷攻击有一些基本的了解，但是依旧不知道闪电贷攻击的原理是什么？下文211Coin小编详细解说。

闪电贷攻击的原理是什么？

闪电攻击是指利用闪电贷和其他漏洞结合后，进行套利和操纵价格等攻击。

闪电贷本身的存在是没有漏洞的，但有心之人将其利用，以极低的成本撬动巨量资金，在多个协议间进行价格操纵或套利，就存在风险。

之所以会有黑客利用闪电贷来对DeFi平台进行攻击，获取利益，主要有一下两个原因：

1、黑客攻击需要大量的前置资金(例如操纵Oracle币价格)。如果你在1000万美元的ETH投资获取为正的投资回报，这可能不算作是套利交易。

2、短期贷款可以最大程度地减少攻击者的污点。如果你有一个如何以1000万美元的ETH操纵Oracle币的想法，即使个人拥有足够数量的ETH，但可能也不想用自己的资金来冒险。如果自己的ETH可能沾染污点，交易所有可能会拒绝我的存款，洗钱难度大大增加、有风险!但如果用闪电贷贷出1000万美元，就没有太多人在意？各方都会有利益，且dYdX的抵押品池不会被认为是有问题的，dYdX的污染在某种程度上消失了。

如何减少闪电贷攻击？

假设你是一家衍生品平台，想避免受到闪电攻击。自然会问：我是否能检测出与我交易的用户是不是在用闪电贷？

简单的答案是：你做不到。

以太坊的EVM设计方式不允许你从任何其他合同中读取存储。因此，如果你想知道另一个合同中发生的事情，只能通过该合同告诉你。如果你想知道客户是否正在使用闪电贷合同，则必须询问该闪电贷合同。目前许多放贷协议都无法对此类查询做出回应(而且一般来说，也没有办法强制闪电贷放贷方执行这一查询)。

即使你的衍生产品平台试图检查已知的闪电贷协议，协议平台使用代理合同或通过跨闪电贷协议链接，也很容易将任何此类查询误导。通常根本无法判断用户是否正在使用闪电贷。

短短的一秒钟，如果有人要用1000万美元敲开你家交易平台的大门，无法判断这是他们自己的资金，还是一笔闪电贷。

所以我们要防范闪电攻击，真正的选择是什么？我想到三种方法。

1、说服闪电贷协议停止提供这种服务

开个玩笑而已。伙计们，这可是加密世界啊！

严肃地讲，试图让贷款池停止提供闪电贷，就像试图阻止噪声污染一样，这是公共领域的经典悲剧。提供闪电贷款符合每个协议的利益，并且其用户有合理原因的希望使用此功能。因此，我们可以放心地消除这一选项。闪电贷不会消失。

2、迫使关键交易跨越两个区块

要记住，闪电贷允许你在单笔交易时间内借入资本。如果一个资本密集型交易需要跨越至少两个区块，用户需要至少在两个区块时间段取出贷款，闪电攻击就成为不可能。(注意：要达到这一效果，两个区块之间用户价值必须锁定，以防止其偿还贷款。如果你没有正确地设计，则用户可能会在两个区块进行闪电攻击)

显然这是以大幅牺牲用户体验下进行的：这意味着交易将不再是同步的，很像commit/reveal方案。用户体验很糟糕，需要谨慎三思。

很多开发者抱怨智能合约异步操作，例如与Layer2或以太坊2.0的跨片通信协议的互动。具有讽刺意味的是，异步性使得这些系统更安全，避免遭遇闪电攻击。因为攻击者无法在一次自动化交易中同步完成主链与Layer2或分片的操作。这意味着ETH2.0分片或Layer2DEX不会遭遇闪电攻击。

3、要求提供链上证明，证明完成闪电贷后用户的账户余额未出现变化

如果可以通过某种方法来检测用户的实际余额是多少(即在他们贷款之前和还款之后的余额分别是多少)，我们就可以战胜闪电攻击。

在原生EVM机制中无法执行此操作，但是可以对其进行修改。你要做的是：在用户与你的协议进行交互之前，你要求其提供Merkle证明，证明在上一个区块末尾时他们有足够的余额来偿还当前使用的资金。你需要针对每个区块中的每个用户跟踪此情况。(感谢康奈尔大学教授AriJuels向我概述了这种方法)

这种方法一定程度上是奏效的。当然，它还很粗糙，有一些问题：验证这些链上证据在链上的成本极高，思维正常的用户没有人愿意提供这类证明，并为整个过程支付gas费用。

上述内容详细解答了闪电贷攻击的原理是什么？并且还为大家分析如何减少闪电贷攻击，理想情况下，你不想让治理代币进入闪电贷款池，但这并非由发币者决定，它是由市场决定的，因此，所有治理行动应该要求代币锁定期，以阻止闪电袭击，更关键的是，所有治理代币必须有时间锁，时间锁迫使所有的执行决策在生效前都有一段等候期，但如果遭遇意料之外的治理攻击，这一机制让系统有了容错时间，甚至尽管MKR目前大量未进入闪电贷资金池，近期已经有人称MakerDAO很容易遭遇此类攻击，MakerDAO当前正加快修复。