過去兩個月最大的兩起 DeFi 攻擊有一個共同點:它們都使用了 XRP 帳本上不存在的工具。
Thorchain 於 5 月 15 日因跨鏈攻擊損失約 $10.8 百萬,資金被從比特幣、以太坊、BSC 和 Base 抽走。基於 Solana 的去中心化永續交換平台 Drift Protocol,以及以太坊上的流動再質押協議 KelpDAO,僅在四月就合計造成超過 $6 億的損失。
根據 Chainalysis 的數據,自 2021 年以來,跨鏈橋樑因攻擊損失超過 $2.8 億美元,而這些攻擊中相當大一部分都使用了某種形式的閃電貸款。
閃電貸款是一項智能合約功能,允許交易者在無需抵押的情況下借入數百萬美元,但條件是必須在同一次交易中還款。合法用途包括交易所之間的套利、在不平倉的情況下交換抵押品,以及維持借貸市場償付能力的強制平倉機器人。
攻擊模式是相同的機制,只是方向錯誤。
借方取得貸款,利用資金操縱或acles 或耗盡設計不良的池子,從操縱中獲利,並在交易結算前還幣。若任何一步失敗,整個序列將回滾,因此攻擊者僅承擔網絡費用的風險。
XRP 帳本不允許這種操作。本週早些時候提交至 XRPL 標準儲存庫的一份草案修訂案,提議為該鏈的原生自動化市場製造商引入集中流動性和 StableSwap 式池,其安全考量部分包含一行文字:「閃電貸款攻擊在結構上是不可能的。XRPL 交易是原子性的,且不支援可組合的交易內呼叫。」
這意味著 XRPL 交易要么完全成功,要么完全失敗,就像以太坊交易一樣。但與以太坊不同的是,XRPL 交易在執行過程中無法調用另一個合約。定義閃電貸款攻擊的借入-操縱-還幣序列,至少需要在單一交易封裝內包含三個嵌套操作。
這是一個有意義的架構選擇,但也有其成本。閃電貸款不僅是一種攻擊工具,它已成為以太坊去中心化金融的結構性組成部分,Aave、dYdX 及其他主要協議均將其作為產品提供。套利交易者使用閃電貸款,在單一原子操作中清除交易所之間的價格差異。
強制平倉機器人使用它們來維持過度抵押貸款持倉的償付能力。複雜的去中心化金融用戶則用它們進行抵押品交換,否則這些交換需要凍結數小時的資金。XRPL 則放棄了所有這些,以徹底關閉此類攻擊。
在 XRPL 的大部分歷史中,這種取捨並不明顯,因為該鏈的去中心化金融(DeFi)影響力較小。但這正在改變。在 XRP 帳本上代幣化的現實世界資產總價值已超過 30 億美元,其中包括上個月 Ripple、JPMorgan、Mastercard 和 Ondo Finance 的試點項目,成功在不到五秒內處理了一筆代幣化的美國國庫券贖回。
若通過,此 AMM 修訂草案將縮小 XRPL DeFi 與 以太坊 之間的資本效率差距,使該鏈能夠支援更廣泛的交易和收益策略。
如果 AMM 修訂案獲得通過,且 XRPL 的 DeFi 流動性逐漸成長至足以讓機構資本大規模部署,那麼問題就變成:結構性漏洞抵抗是否真的是一種競爭優勢,還只是一個機構為了現有流動性而忽略的特徵。