8月30日，DeFi质押平台xToken称在29日遭到闪电贷攻击，此次攻击系xSNX合约漏洞被利用，并称本次持有人的损失约为450万美元，并将停止提供xSNX产品。

紧接着，Cream Finance也出现闪电贷攻击，损失约1800万美元。而Cream Finance会遭到闪电贷攻击，也和代币合约引入了一个可重入漏洞有关。

看完之后感觉币圈最近真不平静，前不久白帽攻击Poly Network盗取6.1亿美元的事情才告一段落，这不一天不到两个DeFi都因黑客使用闪电贷攻击，利用漏洞导致平台损失超2300万美元，钱包的安全性真的都没了。

闪电贷及DeFi的安全性问题再一次被摆在台面，让人不得不去思考怎么如何避免或者降低自身的风险。

什么是闪电贷？

闪电贷就是在一笔链上交易中完成借款和还款，无需抵押。由于一笔链上交易可以包含多种操作，使得开发者可以在借款和还款间加入其它链上操作，使得这样的借贷多了很多想象空间，也变得具有意义。

闪电贷概念最早由Marble协议于2018年提出。Marble自诩「智能合约银行」，其产品是很简单、但很具智慧的DeFi创新——通过智能化合约完成的零风险贷款。

闪电贷最初的营销标签是主要用于套利交易。Marble 的亮相声明表示：

「闪电贷可以帮助交易者从Marble银行贷款，在一家去DEX（去中心化交易所）中买币， 在另一家DEX以较高价格卖出代币，一笔自动化交易就可以让您将套利收益收入囊中。」

从实际的情况来看，目前看到的多数闪电贷也多被用于此类套利交易。

什么是闪电攻击

闪电攻击是指利用闪电贷和其他漏洞结合后，进行套利和操纵价格等攻击。

闪电贷本身的存在是没有漏洞的，但有心之人将其利用，以极低的成本撬动巨量资金，在多个协议间进行价格操纵或套利，就存在风险。

为什么闪电贷会成为黑客攻击的工具

之所以会有黑客利用闪电贷来对DeFi平台进行攻击，获取利益，主要有一下两个原因：

1、黑客攻击需要大量的前置资金（例如操纵 Oracle 币价格）。如果你在1000万美元的ETH投资获取为正的投资回报，这可能不算作是套利交易。

2、短期贷款可以最大程度地减少攻击者的污点。如果你有一个如何以1000万美元的ETH操纵Oracle币的想法，即使个人拥有足够数量的ETH，但可能也不想用自己的资金来冒险。如果自己的ETH可能沾染污点，交易所有可能会拒绝我的存款，洗钱难度大大增加、有风险！但如果用闪电贷贷出1000万美元，就没有太多人在意？各方都会有利益，且dYdX的抵押品池不会被认为是有问题的，dYdX的污染在某种程度上消失了。