作为工具，你永远无法想象下一次闪电贷款会引发什么样的攻击。根据已知信息，过去一周发生了4起闪电贷款袭击事件，包括value defi(540万美元)、cheese bank(330万美元)、akropolis(200万美元)和ousd today(700万美元)。

我们特意查了一下记录，发现从今年年初开始，每个月都有几次闪电贷攻击。说明闪电贷袭已经不是偶然了。

之前的闪电贷款攻击

最近的一次是在OUSD。攻击方案的核心是闪电贷再入攻击。一般程序是。

1.攻击者首先通过闪电贷款借入了ETH等大量主流资产，然后注入到各种DeFi协议中进行铸币、流动性挖掘等操作。

2.然后，因为攻击者有大量资金，可以操纵价格，利用一些设计漏洞来操纵系统的判断。(很多合同都是以价格或者资产价值比作为判断具体行为的依据)

3.最终的结果是系统会因为这样的操作付给攻击者比初始资产更多的钱。最后，攻击者将重复这些操作，并最终取回合同中获得的多余资产或在DEX出售它们。

4.然后攻击者拿了一部分钱去还之前闪电贷借的钱，结束了整个攻击过程。

本质上，这些攻击的核心逻辑是利用巨额资金进行非正常套利操作。

闪电贷款不是漏洞，而是扩大了漏洞的风险

其中，我们发现虽然在最近的事件中使用了“闪电贷款”这个概念作为关键词，但是闪电贷款本身与攻击本身并没有直接的联系。

在袭击的前一天，Value DeFi项目仍然声称是最安全的协议

但不可否认的是，闪电贷款已经成为一种极其重要的攻击工具。用一句话描述它的作用：“它让你在交易过程中表现得像条鲸鱼。”最可怕的是，如果资金雄厚的人更容易成为攻击的来源，闪电贷款可以让一个一无所有甚至基本信用都没有的人，在短时间内变成一条拥有大量资金的鲸鱼。最重要的是，这些人不需要任何许可，不需要好的信用证明，也不需要付出同等或过多的抵押物作为代价。它们完全是空手套和白色的。

闪电贷款本身并不是漏洞，但它无形中扩大了那些漏洞被攻击的风险，因为第一个攻击者不需要任何成本，第二次攻击的来源也大大增加，任何对漏洞有洞察的人都有可能将其作为攻击工具。

危险创新：闪电贷款怎么了？

事实上，闪电贷款在受到批评之前被认为是DeFi最伟大的创新之一。闪电贷款的概念最早是2018年由《大理石协议》提出的，当时开发商的想法是通过智能合同实现零风险贷款。智能合同平台一次办理交易，如果借款人不还款，整个交易就会回滚，就好像贷款从来没有发生过一样。

关键是区块链事务回滚的特性。用户用合同发起交易，合同借给用户一笔钱，然后同一个用户偿还借出的金额和本次交易相应的利息。如果不偿还，交易将被判定无效，然后回滚，因此不存在贷款转移。这在传统观点下是完全不可思议的，因为借贷既不需要信用，也不需要抵押品。

其实，闪电贷款最初的目的是为套利者提供便捷的套利资金工具，比如分散交易所之间的套利、多个借贷平台的贷款清算或再融资等。最简单的就是闪电贷款可以帮助交易者从大理石银行借钱，在一个分散的交易所DEX买入硬币，然后在另一个DEX以更高的价格卖出代币，然后获得差价收益。这样的目的很正常，传统金融会出现这样的场景。唯一不同的是闪电贷款零门槛零成本。

但不幸的是，我们可以堵塞漏洞，但我们永远无法阻止人心。黑客或潜在攻击者会发现闪电贷款可以为攻击提供足够的启动资金。这样做的另一个后果是，因为黑客的钱是借来的，所以钱和黑客本身没有直接关系，他们的身份更难追踪。

所以一句话总结：闪电贷降低了攻击者的风险，攻击会更随机。

闪电贷款：另一个潜在的攻击目的

作为一个工具，我们永远无法想象和预测闪电贷款的用途。我们根本不能低估“科学家”的智慧。除了经济攻击之外，闪电贷款还适用于其他领域的攻击，如操纵分权社区的治理。

最近Maker Foundation的smart contract开发团队在MakerDAO治理提案中检测到一个投票违规，一般是指社区中的一个提案要求持有治理令牌的用户投票，然后一个人用闪电贷的方式将总资产借出去，然后作为抵押物在借贷平台上获得大量治理令牌，参与投票，投票后再归还。

很多人听到这里可能会惊出一身冷汗，因为如果采用有利于攻击者的战略方案，后果会远比套利攻击严重，而且这样的攻击显然更加隐秘。

闪电贷本身在这场风暴中没有错。而是一种让人眼前一亮的创新。通过闪电贷的产品可以看出DeFi的想象力有多大。但由于目前DeFi还处于实验阶段，大量的漏洞和攻击者会利用闪电贷款进行各种非法目的，所以很多人认为闪电贷款是一种极其危险的创新。从另一个角度看，闪电贷款的存在正式让所有项目方更加注重安全，这也是一种价值。