DeFi时代的攻击方式：喂价预言机操纵

2019 年末，我发表了一篇题为「Taking undercollateralized loans for fun and for profit」的文章。在这篇文章中，我描述了对依赖于一个或多个代币准确价格数据的以太坊 dApps 的经济攻击。不幸的是，截止 2020 年底，许多项目已经犯了非常类似的错误，最近的例子是 Harvest Finance 黑客套利攻击，导致协议用户集体损失 3300 万美元。 

尽管开发人员熟悉可重入性等漏洞，但很明显，人们并不经常考虑对预言机价格的操纵。相反，基于可重入性的漏洞开发数量近年来有所下降，而基于价格操纵的漏洞开发数量正在上升。因此，我认为是时候有人出版一本关于价格操纵的权威资源了。 

这篇文章分为三个部分。对于那些不熟悉这个主题的人，文章中准备了一个关于喂价预言机和预言机操纵的介绍。那些已经很了解相关信息的人可以直接跳到案例研究部分，在那里我们回顾了过去与预言机相关的漏洞和利用事件。最后，我们总结了一些方法，开发人员可以应用到保护他们的项目从而免受预言机的价格操纵。

现实生活中的喂价预言机操纵

2015 年 12 月 1 日，星期三。你的名字是大卫 · 斯巴格，你正在澳大利亚墨尔本的 Peking Duk 音乐会上。你想亲自见乐队，但在你和后台通道之间隔着两个保安，他们不可能让这些普通人走进去。

你知道，如果你表现得好像你属于这里，保安会怎么反应。家庭成员肯定会被允许参观后台，所以你所要做的就是让保安相信你是他们的亲戚。你想了一会儿，然后想出了一个只能用天才或者疯子来形容的计划。 

在迅速安排好一切后，你自信地走向保安。你自我介绍说你叫大卫 · 斯巴戈，是 Peking Duk 的家人。当警卫要求证据时，你给他们看无可辩驳的证据——维基百科。

警卫挥手让你过去，让你等着。一分钟过去了，两分钟过去了。五分钟后，你在迟疑否应该在执法部门出现之前逃跑。当你准备「越狱」之时，Reuben Styles（乐队成员） 走过来介绍了自己。你和他一起走到演员休息室，在那里乐队对你的聪明才智印象深刻，最后你们一起喝了几杯啤酒。之后，他们会在自己的 Facebook 页面上分享所发生的事情。

什么是喂价预言机？

喂价预言机，总的来说，就是任何你咨询的价格信息。当 Pam 向 Dwight 询问 Schrute Buck 的现金价值时，Dwight 就是在预测价格。（来源于美剧《Office》）

在以太坊网络中，一切都是智能合约，喂价预言机也是如此。因此，区分喂价预言机是如何获得其价格信息的更有用。首先，可以简单地从价格 api 或交易平台中获取现有的链外价格数据，然后将其引入链中。在另一种情况下，可以通过查询在链上的去中心化交易平台来计算瞬时价格。 

这两种选择各有优缺点。链外数据对波动性的反应通常较慢，波动性的好坏取决于您试图将其用于何处。它通常需要少数特权用户将数据推送到链上，因此必须相信他们不会作恶，也不会被迫推送奇怪的数据更新。链上数据不需要任何特权访问，并且总是最新的，但这意味着它很容易被攻击者操纵，从而导致灾难性的故障。

还能出什么岔子呢？

让我们来看一些例子，在这些例子中，集成不良的喂价预言机导致 defi 项目遭受重大资金损失。 

Synthetix sKRW 的预言机故障

Synthetix 是一个衍生品平台，允许用户将资产质押为其他资产。为了促进这一点，Synthetix (当时) 依赖于一个定制的链外价格供应源来实现，其中一个由一组秘密的价格供应源计算出来，并以一个固定的间隔发布在链上。然后，这些价格允许用户对平台支持的资产持有多头或空头头寸。

2019 年 6 月 25 日，Synthetix 依赖的一个价格反馈错误地报告了韩元的价格比实际价格高出 1000 倍。由于喂价预言机系统的其他地方出现了额外的错误，这个价格被系统接受并发布在交易机器人可以快速进出 sKRW 链上，此时交易机器人可以快速进出 sKRW 市场获利。

尽管 Synthetix 团队与这个交易者谈判，以 bug 奖金的形式交换回损失的资金。但理论上的来说，机器人本次能够获得超过 10 亿美元的利润。 

Synthetix 正确地执行了预言机合约，并从多个来源下调了价格，以防止交易商在价格变化发布之前预测价格变化。然而，一个上游价格源故障的案例导致了毁灭性的打击。这说明了使用链外数据的喂价预言机的风险: 不知道如何计算价格，因此系统必须仔细设计，才能确保所有潜在的故障模式都得到正确处理。

低担保贷款

如前所述，我在 2019 年 9 月发表了一篇文章，概述了使用依赖于链上数据的喂价预言机所带来的风险。虽然我强烈推荐阅读原文，但是这篇文章篇幅很长，技术细节很多，可能很难理解。因此，我将在这里提供一个简单的解释。

想象一下，你使用去中心化的借贷平台。用户可以将资产作为抵押品存入平台，也可以借入其他资产，但最高金额取决于他们存入的资产的价值。让我们假设一个用户想用 ETH 作为抵押品借入美元，ETH 的当前价格是 400 美元，抵押比率是 150%。 

如果用户存款 375 ETH，意味着存入了 150,000 美元的抵押品。他们可以每 1.5 美元的抵押品借入 1 美元，所以他们可以从系统借入最多 100,000 美元。

但是当然，在区块链上它不是简单的声明 1 ETH 值 400 美元，因为恶意用户可以简单的声明 1 ETH 值 1000 美元，然后从系统中拿走所有的钱。因此，对于开发者来说，寻找最适合的喂价预言机是很诱人的，比如当前 Uniswap、Kyber 的现货价格，或者另一个去中心化的交易平台。 

乍一看，这似乎是正确的做法。毕竟，只要你想买进或卖出 ETH，Uniswap 的价格总是大致正确的，因为任何偏离都会被套利者迅速纠正。然而，事实证明，去中心化交易平台的现货价格在交易过程中可能严重不正确，如下面的例子所示。

想想 Uniswap 储备系统是如何运作的。价格是根据储备金持有的资产数量计算的，但储备金持有的资产随着用户在 ETH 和 USD 之间的交易而变化。如果恶意用户在从你的平台贷款之前和之后进行交易会怎么样？

在用户申请贷款之前，他们需要花费 200 万美元购买 5000 个 ETH。Uniswap 交易所现在计算的价格是 1 ETH = 2,600 美元。那么现在，他们的 375 ETH 可以作为抵押品，抵押出价值高达 650,000 美元的资产。最后，他们用 200 万美元换回原来的 5000ETH，这将重新调整价格至正常状态。结果是，贷款平台损失了 550,000 美元。

这个案例研究说明了在使用去中心化的交易作为喂价预言机时最常见的错误——攻击者在交易过程中几乎完全控制价格，并试图准确地操纵价格就像在天平安定下来之前读出秤上的重量。这样的话，你可能会得到错误的号码，并根据情况它可能会造成很大的损失。

Synthetix MKR 操纵

2019 年 12 月，Synthetix 因为预言机价格操纵而再次遭受攻击。值得注意的是，它跨越了链上价格数据和链外价格数据之间的障碍。

Reddit 用户 u/MusaTheRedGuard 注意到，一个攻击者正在对 sMKR 和 iMKR (反 MKR) 进行一些非常可疑的交易。攻击者首先购买了 MKR 上的一个多头仓位，然后从 Uniswap eth/MKR 对购买了大量 MKR。等了一段时间后，攻击者以 iMKR 的价格卖掉了他们的 MKR，并把它们卖回了 Uniswap。然后他们重复了这个过程。 

在幕后，攻击者通过 Uniswap 进行的交易允许他们随意调整 Synthetix 上 MKR 的价格。这可能是因为 Synthetix 所依赖的非链式价格源实际上依赖于 MKR 的链上价格，而且没有足够的流动性让套利者将市场重新调整到最佳状态。 

这个事件说明了一个事实，即使你认为你使用的是链外价格数据，实际上你可能仍然在使用链上价格数据，而且你可能仍然暴露在使用这些数据所涉及的复杂性中。

The bZx 黑客攻击

2020 年 2 月，bZx 在几天时间内两次遭到黑客攻击，攻击金额约为 100 万美元。你可以在这里找到 palkeo 对这两次攻击给出的技术分析，但是现在让我们分析一下第二次黑客攻击。

在第二次攻击中，攻击者首先使用 ETH 购买了 Kyber 上几乎所有的 sUSD。然后，攻击者从 Synthetix 购买了第二批 sUSD 并将其存放在 bZx 上。攻击者用 sUSD 作为抵押，借来了 ETH 的最大数量。然后他们又把 sUSD 卖回给了 Kyber。

如果你一直在关注，你会发现这本质上是同样的低抵押借贷攻击，只是使用了不同的抵押品和不同的去中心化交易平台。

Harvest Finance 遭套利事件

2020 年 10 月 26 日，一个匿名的用户使用一种你现在可能已经猜到的技术入侵了 Harvest Finance 的资金池。可以在这里阅读官方的事后剖析，但是我再次总结一下: 攻击者通过执行交易降低了 Curve 池中 USDC 的价格，以降低后的价格进入了 Harvest 池，通过逆转早期的交易恢复了价格，并以更高的价格退出了 Harvest 池。这造成超过 3300 万美元的损失。

我该如何保护自己？

到目前为止，我希望你已经学会了识别共同的线索-它并不总是明显的，你正在使用一个喂价预言机，如果你没有遵循适当的预防措施，攻击者可以欺骗你的协议，把你所有的钱寄给他们。虽然没有可以规定的一刀切解决方案，但是这里有一些解决方案在过去曾经对其他项目起过作用。也许其中一个也适用于你。 

浅水市场，不要下潜

就像一头扎进游泳池的浅水区一样，一头扎进没有流动性的市场是痛苦的，而且可能会导致永远改变你的生活的巨大开销。在您考虑计划使用复杂的特定价格预言机之前，请考虑该标记是否具有足够的流动性以保证与平台集成。

一鸟在手胜过两鸟在林

看到 Uniswap 的潜在代币汇率可能会让人着迷，但只有当你真正点击交易并且交易成功后代币在你的钱包里的时候，才是最终的结果。同样，要确定两种资产之间的汇率，最好的方法就是直接进行资产互换。这种方法很好，因为没有后悔和假设。然而，它可能不适用于那些要求持有原始资产协议，如贷款平台。 

几乎去中心化的预言机

总结依赖于链上数据的预言机模型的问题的一种方法是，它们有点太新了。如果是这样的话，为什么不人为地推迟一下呢？编写一份合约，在 Uniswap 这样的去中心化交易平台上用最新的价格更新自己，但只有在一小群特权用户提出要求时才这样做。现在，即使攻击者可以操纵价格，他们也不能让你的协议真正使用它。

这种方法实现起来非常简单，而且速度快，但也有一些缺点——在链上拥堵的时候，你可能无法按照自己的意愿快速更新价格，而且仍然容易受到内外夹击。此外，现在你的用户需要相信，你实际上会保持价格更新。

减速带

操纵价格预言是一个时间敏感的操作，因为套利者总是在观望，并且喜欢优化任何次优市场的机会。如果攻击者想要最小化风险，他们会想要在一个交易中操纵一个喂价预言机，这样套利者就不可能在中间跳跃。作为一个协议开发人员，如果系统支持它，那么在用户进入和退出系统之间实现短至 1 区块的延迟就足够了。 

当然，这可能会影响可组合性，而且矿商与交易员的合作正在增加。在未来，坏的参与者可能会在多次交易中操纵价格，因为他们知道与他们合作的矿商将保证没有人能跳到中间，从他们的收益中分一杯羹。 

时间加权平均价格 Time-Weighted Average Price (TWAP)

Uniswap V2 为链上开发人员引入了 TWAP 预言机。文档对预言机提供的确切安全保证进行了更详细的描述，但是一般来说，对于长时间的大型交易池，没有区块拥塞的情况下，TWAP 预言机对预言机操纵攻击具有很强的抵抗力。然而，由于其实施的性质，它可能无法对市场高度波动的时刻作出足够迅速的反应，而且只适用于已经具有流动性的资产。

M-of-N 记者

如今许多大型项目都采用这种方法: Maker 运行一系列由可信实体操作的价格信息提要，Compound 创建了 Open 预言机，并提供 Coinbase 等记者功能，Chainlink 收集来自 Chainlink 运营商的价格数据，并在链上发布。请记住，如果您选择使用这些解决方案之一，那么您现在已经将信任委托给了第三方，您的用户也必须这样做。要求记者手动在网上发布最新消息也意味着，在市场高度波动和链上拥堵的时候，价格可能无法及时更新。 

总结

喂价预言机是一个至关重要的，但经常被忽视的组成 DeFi 安全的部分。安全地使用喂价预言机是困难的，有很多方法可以把你自己和你的用户都搞砸了。在这篇文章中，我们讨论了过去的价格预言者操纵的例子，并且确定在交易过程中阅读价格信息可能是不安全的，并且可能导致灾难性的金融损失。我们还讨论了其他项目过去用于打击价格 Oracle 操纵的一些技术。不过最终，每种情况都是独一无二的，你可能会发现自己不确定是否正确地使用了喂价预言机。如果是这样的话，尽管去寻求建议吧！