The 15-Second Digital Heist: How a SINGLE DeFi Transaction Can Steal Millions from You

在傳統金融世界，借款必須有抵押或信用審查，因為放款方承擔違約損失。然而 DeFi 的閃電貸完全顛覆了這個邏輯。閃電貸的核心是區塊鏈的「原子性（Atomicity）」：一筆交易中的所有操作，要嘛全部執行成功，要嘛全部取消，不存在中間狀態。這意味著只要借款人在同一筆交易結束前還清資金，放款方幾乎零風險——若還款失敗，整筆交易自動回滾，彷彿從未發生。這讓任何人都能瞬間借出數千萬美元，只需付得起交易手續費。

然而這個「魔法鑰匙」很快成為攻擊者的武器。其中最典型的是價格預言機操控攻擊（Price Oracle Manipulation）。攻擊流程可拆解為六步：首先借出巨額閃電貸（如 7,500 ETH）；接著在特定協議大量拋售某資產，人為壓低其市場價；趁低價買入該資產；再到另一個依賴此價格資料的協議，以「錯誤便宜價」換取更高價值的資產；然後歸還閃電貸；最後保留套利利潤。2020 年 11 月 18 日，一名攻擊者真實執行了這套流程，在單筆交易內獲利約 600 萬美元。倫敦帝國理工的研究員後來分析發現，若攻擊者策略更優化，最多可獲利 1.1 億美元，意味著那次攻擊「效率不足五分之一」。

這些攻擊的真正受害者並非交易所，而是普通的流動性提供者——那些把積蓄存入 DeFi 平台、期待賺取利息的散戶。當攻擊者操控市場並抽走價值，損失由這些用戶的存款吸收，而他們對整個過程毫不知情。2021 年，此類攻擊所涉及的 DeFi 協議資金規模高達 364 億美元，顯示威脅之廣。

面對這波攻擊，DeFi 社群開始反制，最主要的防禦機制是 TWAP（時間加權平均價格），透過對一段時間內的價格取均值，讓單一區塊內的砸盤操控難以立即影響到合約報價。然而，隨著以太坊從工作量證明（PoW）轉向權益證明（PoS），新的風險面浮現：在 PoW 下，攻擊者無法預知誰出下一個區塊，競爭者可以搶跑（front-run）並攔截利潤；但在 PoS 下，驗證者提前知道自己何時出塊，若攻擊者本身就是驗證者，可以確保自己的攻擊交易優先打包，杜絕任何人搶先，使攻擊成功率大幅提升。這個趨勢讓研究者憂慮：金融工具越來越強大、越來越自動化，但防禦者能否永遠跑在前面，仍是未解之問。