15秒内通过“DeFi乐高”获取数十万美元，“bZx事件”会成为DeFi新阶段的起点么？

原创：一颗杨树

2月18日，以太坊爱好者、Ethhub 创始人Eric Conner在社交平台上表示，bZx闪电贷（FlashLoan）攻击疑似时隔数日再次出现，最终确认的话，这一次“攻击者” 可能获利2388个ETH，约64.4万美金。

某种意义上，如果黑客通过钓鱼、撞库等手段来从中心化交易所盗取资产，是道德有缺，不义之财人人讨之；那类似这名“攻击者”通过DeFi的规则来光明正大套利，就堪称明火执仗地赚钱，手段高明但无可置喙。

01 智商压制的“攻击” 狡猾且光明正大的DeFi“套利”

现实中还就真的上演了这样神奇的戏码，虽然不同于“黑客盗取“，但的确是实实在在的“套利”，而且 手段高明、操作犀利：

2月15日，某位“攻击者”利用 开放式金融（DeFi） 借贷协议bZx的“合约漏洞”，在一个以太坊区块时间内（不足15秒），充分利用“DeFi乐高”——5个DeFi产品之间（dydx、Compound、bZx、Uniswap、kyber）互相的合约调用， 在未曾动用自有资金的前提下，一环紧套一环，最终通过在漏洞间操纵价格，成功“套利”数十万美元。

而整个过程才十几秒，完整发生在2020年2月15日以太坊区块高度9484688期间，堪称经典的教科书式案例。这里为大家简单复盘 “攻击者”的操作逻辑，体会一下满满的智商压制的感觉：

1，“攻击者”先通过闪电贷（Flashloan）从dydx上 无抵押贷款了1万个ETH ； 2，然后“攻击者”将其中 5500个ETH 在Compound上做抵押，借出了 112枚wBTC （基于以太坊链上的BTC）； 3，同时“攻击者”将另外 1300个ETH 存入bZx，发起bZx保证金交易，5倍做空ETH的永续空单（ETH/wBTC）——借入 5637.6个ETH ，通过Kyber的Uniswap储备库，兑换获得 51.3个wbtc ； 4，由于Uniswap内wBTC深度相对太浅，导致产生极大的滑点，Uniswap内wBTC价格暴涨3倍，大幅偏离正常值； 5，然后将第2步中借出的 112枚wBTC 在Uniswap中以大幅偏离正常值的价格集中出售，获得 6871.4个ETH ； 6，最终6871.4个ETH+3200ETH（从未动用）=10000ETH（归还dydx贷款）+ 71.4ETH（落袋为安） ，而且由于wBTC在第5步中被打低，所以“攻击者”用大约4300ETH便可兑换112枚wBTC还清第2步的5500ETH抵押，从而再净利 1200ETH ；

最终71.4+1200= 1271.4ETH ，“折合30多万美元。一言以蔽之， “攻击者”通过操控Kyber和Uniswap上WBTC/ ETH的价格，完美利用了bZx中的“BUG”——可以单一依赖Uniswap上的价格，从而可以以偏离正常值的3倍虚高价格卖出wBTC。

而整个过程只有十几秒，正如某媒体所言：它本质上更像是利用DeFi协议和产品的一次套利操控。全程都是光明正大的交易，逻辑压制，明火执仗地从市场中牟利，单从操作角度，妙不可言。

不过“攻击”发生后bZx也及时锁定了管理权限，“攻击者”并没有成功提取其中那51.34 BTC的盈利。当然，这样的做法虽然有助于帮助用户锁定损失，但确实有违“Code Is Law”的精神，Litcoin创始人 李启威 在社交平台就发推直言：

这就是为什么我不相信DeFi——既然目前的大多数“DeFi”可以由某个管理部门关闭，那它和我们现在拥有的（CeFi）又有什么区别？

02 bZx这次的攻击操作 暴露了什么问题

严格讲，这次不是黑客或任何形式的不道德举动，“攻击者”只是发现了一个规则漏洞， 从生态的意义上讲，此类事件也只会推动 DeFi 协议实现更好的标准，将大大提高 DeFi 的整体稳健性。

当然提高的前提是要反思事件中暴露出来的问题： 1，首先还是要强调，这和传统的黑客钓鱼、盗取资产很不一样，是光明正大的规则性盈利，手段高明，凭实力、技巧赚钱，无可置喙；

2，其次，wBTC等以太坊上的BTC稳定币 ，目前体量太小，价格极易操纵 ，从而暴露牟利漏洞，所以以后要对此抱有警惕，尤其是我们普通人在参与相应的DeFi理财、交易时；

3，bZx既允许5倍的保证金交易，同时又 对Uniswap上的价格太过单一依赖 ，两相作用下，导致攻击者通过在Uniswap上大量吃单就轻易地达到了自己影响wBTC价格的目的；

这也证明了在DeFi中 预言机 （Oracle）的重要性——任何一个交易所应该只占交易（或参考的）一部分（尤其是像Uniswap这样池子浅的交易所），可以根据头部交易所不同的交易深度与体量做相应的加权，避免类似集中单一打击某深度不佳的小所，从而滑点极大使得有利可图，甚至内部人员针对类似漏洞进行操作；

另一个角度讲，bZx次的经典操作，也起到了蛮好的教育意义：区块链上的智能合约就是这样， 冷冰冰地不知变通，但却最为公平 ——开发者需要尽力避免规则漏洞，而我们普通用户也可以用自己的知识正当“牟利”，而一切终究会在这种互相的博弈中达到均衡，妙不可言。

03 DeFi不易，但已有曙光

历史总会压着相似的韵脚，此类操作恐怕不会是最后一次，DeFi的“攻防战”或由此进入了新时代，而数据层面似乎也在佐证DeFi可能渐现的曙光。

据这次“攻击套利”的抵押协议Compound网站数据显示，截至2020年2月18日，市场贷方体量近2亿美元，借方总额也已高达3756万美元，整个DeFi市场也已不可小觑—— 目前锁仓总额是16.8亿美金 （DAPPTOTAL数据，包含EOS和其它公链，但占比极小）。

包括前不久， 以太坊上各类稳定币的流转价值量已超过ETH的流转价值量 。要知道上一次似曾相识的场景，应该还是ETH链上的ERC20代币流转价值总量超过ETH自身，当时正是Token融资火爆之时，后续直接催动牛市和以太坊到达高光时刻。

所以，可能这次不同以往的“似曾相识”，也说明了以太坊DeFi生态的稳健和潜力—— 除资金流动的需求外，链上价值转移需求越大， 说明网络受认可程度越高，而目前以太坊链上稳定币等金融创新占主体，更说明了DeFi的蓬勃发展。

尤其是这次闪电贷的出现和针对“多个协议的DeFi乐高”的攻击，也从另一个侧面让我们看到了DeFi应用场景的无限可能——多种 DeFi 金融工具结合，以自动化算法为驱动，价值在整个区块链网络中以更加迅速的方式流动。

这次bZx事件中所谓的“攻击”就是最好的体现，在一个原子交易中抹平价值和信息的差距。正如有位网友对此次事件的评价：“黑客”赚了多少钱，那就是说明价值和信息的不对称有多么巨大。当某一天不会在出现这样巨额的利润时，价值才能真正流动，这是一种传统金融无法想象的速度和效率。

“这是一种传统金融无法想象的逻辑与应用效率”， 对于我们而言，DeFi时代可能已然到来，当其整体到了一定体量，后续就会如同遇到临界点，基于各式金融创新的嬗变会如化学反应般迅速发生，无论从业者是否已经做好了准备。

让我们一起期待。

你看好以太坊的DeFi生态吗？为什么？欢迎在留言区分享你的观点。

——End——

『声明：本文为作者独立观点，不代表白话区块链立场，本内容仅供广大加密爱好者科普学习和交流，不构成投资意见或建议，请理性看待，树立正确的理念，提高风险意识。文章版权和最终解释权归白话区块链所有。』