去中心化借贷平台 HopeLend 是一个基于以太坊的 DeFi 协议,用户可以为协议提供流动性或者超额抵押借贷赚取收益。2023 年 10 月 18 日,HopeLend 的借贷池受到了基于闪电贷实施的攻击,导致协议中的资产被清空。攻击者利用了 HopeLend 的代码实现中的一个漏洞,通过错误的整数除法问题,实现了销毁比预期少的存款凭证,获得和预期一致的价值代币,下文详细介绍。
去中心化借贷平台HopeLend遭受借贷攻击
一、事件背景
1、去中心化借贷平台HopeLend是一个基于以太坊的DeFi协议,用户可以为协议提供流动性或者超额抵押借贷赚取收益。HopeLend的目标是为用户提供一个安全、高效、透明的去中心化金融服务平台。
2、然而,2023年10月18日,HopeLend的借贷池受到了基于闪电贷实施的攻击,导致协议中的资产被清空。闪电贷是一种在以太坊上实现的智能合约,允许用户在同一笔交易中借入和归还任意数量的资产,而无需提供任何抵押。闪电贷被用于实施各种复杂的攻击策略,利用DeFi协议中的漏洞或者市场机制来获得利润。
二、攻击过程
根据对攻击交易的分析,攻击者利用了HopeLend的代码实现中的一个漏洞,通过错误的整数除法问题,实现了销毁比预期少的存款凭证,获得和预期一致的价值代币。具体来说,攻击者通过以下步骤完成了攻击:
1、攻击者从闪电贷合约借入1000个以太币(ETH)。
2、攻击者将1000ETH存入HopeLend的ETH借贷池,获得1000个存款凭证(hETH)。
3、攻击者将1000hETH转换为1000个价值代币(vETH),并将其发送到一个空借贷池(没有任何存款或借款)。
4、攻击者从空借贷池借出1000vETH,并将其转换为1000hETH。
5、攻击者将1000hETH销毁,并从ETH借贷池取出1000ETH。
6、攻击者将取出的1000ETH还给闪电贷合约,并结束交易。
这样,攻击者就利用了整数除法问题,使得每个hETH的价值等于每个ETH的价值,而不是按照ETH借贷池中的资产总量和存款凭证总量来计算。这导致了攻击者可以用相同数量的hETH兑换相同数量的ETH,并从协议中提取资产。
此外,攻击者还利用了一个空借贷池,通过一系列复杂操作,操纵了贴现率,使得每单位存款的价值大幅增加。具体来说,攻击者通过以下步骤完成了操纵:
1、攻击者从闪电贷合约借入500ETH,并将其存入空借贷池,获得500vETH。
2、攻击者将500vETH转换为500hETH,并将其销毁,从ETH借贷池取出500ETH。
3、攻击者将取出的500ETH还给闪电贷合约,并结束交易。
这样,攻击者就利用了空借贷池的特性,使得每个vETH的价值等于每个ETH的价值,而不是按照借贷池中的资产总量和存款凭证总量来计算。这导致了攻击者可以用相同数量的vETH兑换相同数量的ETH,并从协议中提取资产。通过这两种方式,攻击者从HopeLend盗取了合计526个以太币(ETH),截至发稿时价值约82.5万美元。
三、攻击结果
1、然而,攻击者没有获得漏洞利用的资金,他的攻击交易被另一个抢跑者发现,抢跑者模仿其攻击行为并成功抢走了所有攻击收益资金。抢跑者是指一种在以太坊上实现的策略,通过监测未确认的交易,并在其之前提交更高手续费的交易,来优先执行自己的交易。抢跑者利用了以太坊的共识机制,即矿工可以自由选择打包哪些交易到区块中。
2、抢跑者在获得收益后,将一半的资金(263ETH)用于贿赂打包区块的矿工,另一半的资金(264ETH)被保留。贿赂矿工是指一种在以太坊上实现的策略,通过向打包区块的矿工发送一定比例的资金,来激励矿工优先打包自己的交易。贿赂矿工利用了以太坊的激励机制,即矿工可以根据自己的利益最大化来选择打包哪些交易到区块中。
四、事件影响
1、该事件对 HopeLend 的用户造成了严重的损失,他们无法从协议中取回自己存入的资产 。该事件也对 HopeLend 的声誉造成了不良影响,他们被指责没有进行充分的代码审计和测试,导致了漏洞的存在和被利用 。
2、HopeLend 的开发者表示,他们致力于确保受影响用户的权益得到保护,并称该事件不会影响平台上运行的其他各种产品和协议 。他们还表示,他们已经修复了漏洞,并将进行更严格的代码审计和测试,以防止类似事件再次发生 。
3、该事件也引起了社区对 DeFi 安全性和可靠性的关注和讨论,一些人认为 DeFi 协议需要更多的监管和标准化,以保护用户和投资者的利益 。另一些人认为 DeFi 协议需要更多的创新和竞争,以提高用户和投资者的选择和参与度 。
以上的内容就是关于“去中心化借贷平台HopeLend遭受借贷攻击”的详细整理介绍,该事件是由于 HopeLend 的代码实现中存在一个整数除法问题的漏洞,导致攻击者可以用比预期少的存款凭证兑换相同数量的价值代币,从而从协议中提取资产,也暴露了闪电贷、抢跑者和贿赂矿工等策略的风险和挑战,这些策略利用了以太坊的共识机制和激励机制,来优先执行自己的交易或者影响其他交易的执行。
