Curve Finance:已启动sDOLA LlamaLend攻击事件调查,攻击者获利有限 | 加密百科深度分析
加密百科独家解读
这件事本质上是一次“精准狙击”,攻击者利用了特定借贷市场的一个设计漏洞,让部分用户被意外清算,但整体破坏力被控制住了。下面为你拆解关键点:
1. 漏洞根源:价格预言机被“人为操纵”
这次出问题的是 sDOLA 这个资产。它采用的价格预言机机制可能被一种叫“捐赠攻击”的手法影响了。简单说,攻击者通过向一个流动性很小的资金池里“捐赠”或大量买卖某种资产,短时间内人为地“制造”出一个扭曲的市场价格。借贷协议如果直接采用这个被操纵的价格,就会错误地判断抵押品的价值。
2. 连锁反应:抵押品价值虚高导致清算
在 LlamaLend 中,有些用户是用 sDOLA 作为抵押品借出其他资金的。当攻击者通过上述手法短暂地将 sDOLA 的价格“打高”时,系统会误以为这些用户的抵押品更值钱了,从而允许他们借出更多。然而,当价格迅速回归真实水平时,他们的抵押品价值瞬间缩水,跌破了安全线,从而触发了系统的自动清算,造成了损失。
3. 为何“获利有限”且出借人没事?
攻击规模小:这次被攻击的 sDOLA 市场本身总量不大,攻击者能撬动的资金有限。
目标明确:攻击者针对的是特定抵押品(sDOLA)的借款人,通过触发他们的清算来获利。而将资金存入协议、扮演银行角色的出借人,其本金和利息并未受到直接影响,因为协议本身的坏账规模很小。
4. 暴露的核心问题与后续行动
这件事敲响了一个警钟:将金库类资产(Vault Tokens) 这类衍生品或生息资产作为抵押品时,如果其价格预言机设计不够健壮,极易被操纵。Curve 团队现在的应对方向很清晰:
全面排查:检查 LlamaLend 其他市场是否存在同类隐患。
升级方案:正在为 LlamaLend V2 设计更强大的安全机制,目标是即使某些抵押品本身容易受“捐赠攻击”影响,协议也能在不同市场规模下保持稳定,从系统层面缓解此类风险。
机制整合:计划在未来所有使用金库抵押品的市场中,都融入这套更强的安全方案。
对普通用户的启示:在参与 DeFi 借贷,尤其是使用一些小型或衍生资产(如生息代币、LP代币等)作为抵押品时,需要格外关注其价格来源是否去中心化、是否抗操纵。协议层面的风控设计直接关系到你的资产是否会因市场微小波动而被清算。
背景资料 (原快讯)
针对 Inverse Finance 疑似遭受攻击损失约 24 万美元资金,Curve Finance 在 X 平台发文宣布已启动 sDOLA LlamaLend 攻击事件调查,初步显示本次攻击成因与 sDOLA 所采用的价格预言机机制(或受“捐赠攻击”影响)以及该市场中未作为抵押品存在 sDOLA 数量有关。虽然此次攻击者获利相对有限,但事件凸显在 LlamaLend 中以金库类资产(vault collateral)作为抵押品时需采取更为严格的处理方式,主要影响是以 sDOLA 作为抵押借款的用户被清算,出借未受影响人(lenders)未受影响,目前 Curve 团队正进一步排查是否存在其他类似市场可能在未来受到影响,并确保 LlamaLend V2 即便在面对“易受捐赠攻击”的金库类抵押资产、且在不同市场规模下能保持安全性,或可对类似攻击形成有效缓解,目前正进行相关方案详细评估,计划在未来所有采用金库抵押品的市场中整合相关机制。
注:以上背景资料自公开行业资讯,加密百科网仅作科普解读。