原文:XRP Ledger's new proposal blocks the flash loan attacks costing DeFi hundreds of millions
过去两个月最大的两次 DeFi 攻击有一个共同点。他们使用了 XRP 账本上不存在的工具。
5 月 15 日,Thorchain 因跨链攻击损失了约 1080 万美元,导致比特币、以太坊、BSC 和 Base 的资金流失。仅在 4 月份,基于 Solana 的去中心化永续交易所 Drift Protocol 和以太坊上的流动性重新抵押协议 KelpDAO 就造成了超过 6 亿美元的损失。
根据 Chainaanalysis,自 2021 年以来,跨链桥因攻击造成的损失超过 28 亿美元。这些漏洞利用中很大一部分使用了同一机制的某些变体:闪贷。
闪电贷是一项智能合约功能,允许交易者在没有抵押品的情况下借入数百万美元,条件是在同一笔交易中偿还贷款。合法的用例包括交易所之间的套利、不平仓的抵押品互换,以及维持借贷市场偿付能力的清算机器人。
攻击模式是相同的机制,但指向了错误的方向。
借款人取出贷款,使用资金操纵预言机或耗尽设计不良的资金池,从操纵中获利,然后偿还贷款,所有这些都在交易结算之前进行。如果任何步骤失败,整个序列都会回滚,因此攻击者除了汽油费之外没有任何风险。
XRP 账本不允许这种情况发生。本周早些时候在 XRPL 标准存储库上提交的一项修正案草案,提议为该链的本地自动做市商提供集中的流动性和 StableSwap 式的池,其中在安全考虑部分中包含一行:“闪贷攻击在结构上是不可能的。XRPL 交易是原子的,没有可组合的交易内调用。”
这意味着 XRPL 交易要么完全成功,要么完全失败,就像以太坊交易一样。但与以太坊不同的是,XRPL 交易在执行过程中无法调用另一个合约。借入-操纵-偿还