一、闪电贷风险

2020年11月15日，去中心化金融协议Value DeFi遭遇闪电贷款攻击。攻击者从价值金库协议中转移了大约700万美元。最糟糕的是，攻击者后来归还了200万美元和一条消息。

传达的信息是：你真的了解闪贷吗？就在这件事发生的前一天，Value DeFi公开声称这是DeFi领域最安全的协议，可以抵御闪电贷款攻击。

不得不说，黑客的“神仙操作”太神奇了！但与此同时，闪电贷又被推上了风口浪尖，那么这个让Value DeFi信心满满，快速变脸的闪电贷到底是什么？今天就来一探究竟吧！

01

闪贷到底是什么？借代和传统借代有什么区别？

关于闪贷最早的讨论来自于2017年建立的一个去中心化协议——Aave。闪贷可以在不提供任何抵押的情况下，立即放款。

只要营运资金在交易结束前归还给储备金，你就可以从储备金中借钱。如果这部分流动性未能及时回到储备库，交易将被撤回，从而保证储备库的安全。这有点类似以太坊的智能合约，自动执行，不会有信任顾虑。事实上，自从今年2月bZx被闪电贷攻击后，“闪电贷”就成了热门话题。

相比于传统的DeFi贷款需要用户前期过度抵押贷款，闪电贷实现了借款人无需抵押资产即可借款的需求。然而，如果他们不还钱，借款人可能“就像做梦一样”，一切都将回到贷款没有发生之前。

02

为什么闪贷有魅力也有危险？有什么用？

因为闪电贷有回滚整个交易的魔力，所以对于分散交易所之间的套利，多个借贷平台上的贷款清算，再融资等都很有用。

但目前大部分闪贷都是用来套利的。套利是一种利用市场之间的价格差异来获利的策略。套利机会在金融市场中以各种形式存在，有助于降低不同市场资产的价格差异，也有助于提高流动性。

至于闪电贷为什么有魅力？

首先，闪贷可以规避传统借贷的违约风险和流动性风险。如果大白有一家给用户贷款的银行，大白难免会担心：用户会不会携款潜逃，违约？再加上大白没把车停下来，突然银行多贷了钱。这时候给银行存钱的人来取钱了。结果周转不灵，崩盘了。

其次，闪电贷零成本的终极诱惑。

出借人：传统借代中，为什么大白愿意借给用户？自然是为了自己多赚钱。当然，为此不仅要承担资金回不来的风险，还要交出出借资金的机会成本。但在闪贷过程中，由于借款人使用了“神秘技术”冻结时间，在其他任何人看来，这个系统的资金从来没有风险，没有机会成本。

借款人：闪电贷款，不需要提供任何抵押就可以马上放款。这意味着每个人都有机会通过区块链获得资本，为自己赢得更多的时间成本和市场机会。

至于闪电贷为什么危险？仅在11月份，就发生了两起事件，即原产地协议、稳定货币OUSD和价值定义协议。回过头来看，今年的攻击事件已经超过十起，我们可以得到答案。

03

总结

闪贷的出现让人又爱又恨。一方面散发着零成本获得资本的迷人诱惑，另一方面闪贷攻击频频发生。闪贷未来如何发展还有待观察！

——端——

相关问答：

二、怎么洗闪电贷的钱

如果我跟你说，有人不需要你任何抵押物，也不需要做任何信用检查就可以借给你几百万美金，你会怎么想？

如果我又说，这笔钱只能借给你一秒钟，你又会怎么想？

在区块链上的去中心化金融领域，我刚才说的这些并不是逗你玩，而是真实存在的服务。并且已经有人利用这类服务，用少到几乎可以忽略不计的成本赚取了巨额利润。

这种服务就是闪电贷Flash Loan。

闪电贷的原理

要理解闪电贷的原理，我们先要了解以太坊交易的原子性。

所谓原子性就是，以太坊的一笔交易是不可分割的最小单位，要么成功，要么失败，不可能成功一半失败一半。

举个例子，张三向李四转一个以太币。如果交易成功，那么张三账户上少一个以太币，李四账户上多一个以太币。如果失败，那张三账户不变，李四账户也不变。

不可能出现交易成功一半失败一半，也就是张三少一个以太币但李四账户不变，或者李四多一个以太币但张三账户不变。

我们知道，以太坊的交易除了以太币转账外，还可以调用智能合约。

调用智能合约也具有原子性。如果一个智能合约改变了多个数值，那这个调用如果成功，这些数值都会被改变，如果失败则这些数值都不会被改变。不会出现一次调用改变了部分数值而另一部分数值保持不变。

更重要的是，如果一笔交易调用了多个智能合约，那所有这些调用也具有原子性，要么这些调用都成功，要么都失败。不会出现部分成功，部分失败。

闪电贷就是利用了以太坊交易的原子性。

闪电贷规定，你可以从我这里借出任意多的代币，只要我有。随便你用它干什么，但是必须要保证在同一个交易里归还本金和利息。

由于这笔交易有原子性，要么成功、要么失败。如果成功你还本付息，放贷机构赚利息。如果失败，就等于这笔操作从来没有发生过，也就是你从来没有借过钱。

由于这里我们用技术保证了，放贷机构稳赚不赔，所以就根本不需要抵押物和什么信用检查。

而且由于你只是瞬间占用了这些资金，所以利息是很低的。比如aave每笔闪电贷只收万分之九的手续费。

由于所有的借和还是在一个交易里瞬间完成，所以这种贷款方式就有了这个名字，闪电贷。

套利

刚才我们讲了闪电贷对于放贷机构的好处。那就是稳赚不赔。

那这种只能借一瞬间的贷款对于借款者有什么用呢？

显然，你用这些钱去买一套房子，或者进行其它区块链下的投资是不可能的。但是我们可以在一借一还之间，通过调用其它智能合约来赚钱。

一种比较简单的赚钱方法是套利交易（Arbitrage）。

假设有一种代币T，它在去中心化交易所DEX A的价格是50USDT，而在去中心化交易所DEX B的价格是55USDT。

那我们就可以构建这样一笔交易。

从闪电贷合约F中借出100,000USDT

在去中心化交易所DEX A以50USDT的价格买入2000个代币T

在去中心化交易所DEX B以55USDT的价格卖出2000个代币T，得到110,000 USDT，赚取差价

还给闪电贷合约F，100,000USDT本金，加利息，假设是100USDT。那剩下的9900USDT就是我们的利润。

通过以上这波操作，我们只需要付出十几美元最多几十美元的以太坊gas费就能空手套白狼，赚取近一万美元的利润。大家觉得是不是很妙呢？

闪电贷攻击

当然，上面那个例子都是假设一切都是理想情况。有经验的币圈老韭菜都知道，实际上这种套利机会是很少的。

正当的方法赚不到钱，有人就动歪脑筋，通过不正当的方法赚钱。

有一些黑客就利用某些智能合约的漏洞。他们通过闪电贷获取资金，然后利用这笔巨资攻击有漏洞的智能合约窃取利益。这就是臭名昭著的闪电贷攻击。

在2020年情人节晚上，黑客利用闪电贷和bZx协议的漏洞，用不到100美元的成本获利超过350，000美元。

攻击的过程是这样的。280

黑客从dYdX协议，0成本借出 10,000 ETH，当时价值2，800，000美元

他把其中的5500ETH抵押到Compound协议借出112WBTC

他又把其中的1300ETH转入bZx，并用5倍杠杆卖出ETH买入WBTC。bZx为了完成这笔交易，他通过另一个协议kyber network在去中心化交易所uniswap里大量抛出ETH购买WBTC。由于uniswap相应池子深度不够，导致在uniswap上WBTC/ETH的价格由正常的38.5被推高到109.8。

然后黑客利用这个被推高的价格，抛出第二步中借出的WBTC，以高于市场平均价两倍的平均价格：61.4获得6871ETH

利用这6871ETH加上手里没用的3200ETH，还掉从dYdX借出的1000ETH。

这样仅仅一个交易，黑客手里凭空多出了71ETH。

这还没完，大家还记得黑客在compound这条线的操作吗？黑客之前质押5500ETH最后砸出了6871ETH，用来归还闪电贷。

但是，归还闪电贷之后，这5500ETH的仓位还在黑客手里。

由于其它市场上WBTC/ETH只有38.5，黑客立马在其它交易市场用4300ETH换取了112WBTC，从compound里换出了5500ETH的押金，又赚了1200ETH，总共1271ETH。

按当时价格计算，黑客空手获利$355,880。而他付出的成本只是一些以太坊的gas费，估计不会超过100美元。这简直都不是空手套白狼，而是空手套大象了。

老实说，看这起攻击的报告时，我真是忍不住拍案叫绝。虽然君子爱财取之有道。黑客偷钱肯定是不对的，但是他的手法的确是高，实在是高。

这次攻击，简单来说就是bZx协议里有个bug没有检测出风险，于是用五倍资金在uniswap上把钱对敲给了黑客。

由于发起这类攻击需要百万美金级别的资金。如果没有闪电贷，黑客不容易筹集到如此多资金来攻击，即使有那么多钱，黑客可能也不愿冒风险，万一一个手滑攻击不成，还赔了夫人又折兵。

有了闪电贷，黑客可以凭空借出大量资金，而且如果攻击失败，他可以放弃这笔交易回滚所有操作，就当什么事情也没发生过，除了一些以太坊gas费，也不会损失什么。黑客和闪电贷dYdX协议没有任何风险稳赚不赔，compound协议上也是一次正常的借贷和还款。

倒霉的就是bZx了，谁叫你有bug呢。

总结

从这我们也可以看出，闪电贷攻击一般并不是攻击闪电贷，而是利用闪电贷提供的资金攻击其它有漏洞的去中心化金融协议。

有些人一听闪电贷攻击，就以为闪电贷是什么洪水猛兽，把闪电贷批评一通。我说这纯粹是瞎比比。

我认为闪电贷用技术手段提供了无风险借贷，提高了资金利用率，这绝对是一种创新。

黑客用它来干坏事，坏的是黑客而不是闪电贷。就好像坏人借了银行钱去干坏事，你总不能骂银行吧。

听了我讲那么多，你是不是有点心潮澎湃，也想用闪电贷套个白狼啥的？

不过利用闪电贷需要编写智能合约代码，有一定的技术门槛。要想赚钱，先学写代码吧。