又一起 DeFi 闪电贷攻击：详解 Value DeFi 被盗 700 万美元始末

宣称是 DeFi 领域最安全协议的 Value DeFi 遭闪电贷攻击，他们真的理解闪电贷吗？

原文标题：《Value DeFi 遭攻击始末，闪电贷这次又带走了 700 万美元》
撰文：rekt
编译：隔夜的粥

北京时间 11 月 15 日凌晨，去中心化金融协议 Value DeFi 遭遇闪电贷攻击，攻击者通过复杂的方式从 Value 协议的金库中转移走了大约 700 万美元，随后归还了 200 万美元，并附上了一条带有嘲讽意味的信息 :「你们真的懂闪电贷吗？」，而在攻击发生前一日，Value DeFi 公开宣称自己是 DeFi 领域最安全的协议，并且能够抵抗闪电贷攻击。

原文来自 rekt，作者对这次攻击进行了分析。

他们真的理解闪电贷（flashloan）吗？

声誉的价值是不稳定的，谦虚能够带来稳定，而吹嘘太多，最终只会搞砸。

Value DeFi 今天因为闪电贷攻击被黑了 700 万美元，这又是一次关于闪电贷的惨痛教训。

1. 黑客攻击前的代币价格 - 2.73 美元
2. 黑客攻击后的代币价格 - 1.87 美元

让人啼笑皆非的是，在黑客攻击前一天，项目方发布了这样一条推文：

这条推文后来被删除了，但我们的截图还活着

尽管 Value DeFi 团队大胆宣称自己的协议很安全，但他们似乎并不知道提款不仅可以通过主合约进行，还可以通过代理从金库合约中提取。
Value DeFi 使用了 Curve 现货价格作为预言机。

而攻击的详细步骤如下：

操纵发生在第 5 步和第 6 步。

第七步的取款使用了错误的 Curve 函数进行数学运算；

功劳来自 @FrankResearcher

15：24- 这次攻击选择了对 Value DeFi 团队非常不利的时间点，时间是在他们要开始一次 AMA 活动的 20 分钟前。

在 15:41，一名用户提问为什么协议锁仓值（TVL）出现了下降，当天早些时候，Value DeFi 锁仓值一度超过了 1100 万美元。

到了 15:49，人们的担忧越来越大，而协议团队成员则告知大家这是一个 UI 漏洞。

然后在 15:49，有人在聊天室放出了 etherscan 链接。

价值 700 万美元的 Value DeFi 金库资金被转移，之后攻击者归还了 200 万美元，并附上了下面这样一段话：

「你们真的理解闪电贷？」

在 16:00，就在 AMA 即将开始的时候，Stani Kulechov 发布了以下这条推文，告知了大家发生了什么。

同时，在 AMA 活动中；

Value 团队在 16:05 的时候，在 Discord 聊天室承认了这次攻击，而 AMA 的问题持续了 40 分钟，讨论的都是无关主题，直到……

$FARM、$AKRO 以及 $VALUE 都成为了闪电贷的受害者，它们因为弱协议而遭到了严厉的教训，并且攻击者都通过返回一些金额来表达一些「善意」。

这些攻击是想要教我们什么吗？

闪电贷在 DeFi 领域是一个有争议的话题，近几个月来，它们一直是很多攻击及漏洞的主要原因，但是可以说，闪电贷只是在加速我们的学习过程，并有助于消除薄弱的协议。

如果没有闪电贷，未来也可能会有「鲸鱼」能够这样做，我们最好就在去中心化金融（Defi）的起源阶段经历这个过程，因为准备冒险的人每天都在试验、尝试和发布新产品。

闪电贷是来教导那些冒进者的，告诉他们为何要谦卑，它们处在 DeFi 的顶点，这在其他任何地方都是不可能的，闪电贷是 DeFi 这项技术带来的新功能的完美例子。

这是 DeFi 的一个特性，而不是对代码的利用。

最强大的协议不会受这些攻击的影响，有些甚至能够从中受益。

可以说，闪电贷强行提高了 DeFi 开发者的门槛。

在新标准得到满足之前，人们和协议会遭到攻击，这将是痛苦的，而它也将是公开的，但正因为如此，我们需要学习。DeFi 将变得更强，我们将为未来的用户开发更好的实践、更强的代码以及更安全的环境。

来源链接：rekt.ghost.io