過去兩個月最大的兩起 DeFi 漏洞攻擊有一個共同點:它們都使用了一種在 XRP Ledger 上根本不存在的工具。
5 月 15 日,Thorchain 在一場跨鏈攻擊中損失約 1080 萬美元,資金橫掃比特幣、以太坊、BSC 和 Base 鏈。基於 Solana 的去中心化永續合約交易所 Drift Protocol 與以太坊上的流動性質押協議 KelpDAO,僅在 4 月就合計損失超過 6 億美元。
根據 Chainalysis 數據,自 2021 年以來,跨鏈橋已因攻擊損失超過 28 億美元。其中相當大比例的漏洞利用都使用了同一種機制的變體:閃電貸(flash loans)。
閃電貸是一項智慧合約功能,允許交易者在無抵押的情況下借入數百萬美元,條件是必須在同一筆交易內還款。其合法用途包括交易所間的套利、無需平倉的抵押品交換,以及維持借貸市場償付能力的清算機器人。
攻擊模式只是將相同的機制用錯了方向。
借款人提取貸款,利用資金操縱預言機或掏空設計不良的流動性池,從操縱中獲利並償還貸款,所有動作都在交易結算前完成。若任何一步失敗,整個序列將回滾,攻擊者僅損失 Gas 費。
XRP Ledger 讓這種攻擊無法得逞。本週早些時候提交至 XRPL 標準儲存庫的草案修正案,提議為鏈上原生自動做市商(AMM)引入集中流動性與 StableSwap 風格的流動性池,其「安全考量」部分僅有一句話:「閃電貸攻擊在結構上是不可能的。XRPL 交易具有原子性,且不支援交易內的可組合呼叫。」
這意味著 XRPL 交易與以太坊一樣,要麼完全成功,要麼完全失敗。但與以太坊不同的是,XRPL 交易在執行期間無法呼叫其他合約。定義閃電貸攻擊的「借款-操縱-還款」序列需要在單一交易封包內至少進行三次巢狀操作。
這是一個有意義的架構選擇,但也付出了代價。閃電貸不僅是攻擊工具,它們已成為以太坊 DeFi 的結構性組件,Aave、dYdX 等主要協議都將其作為產品提供。套利交易者使用閃電貸在單一原子操作中清除交易所間的價差。
清算機器人使用它們來維持超額抵押借貸頭寸的償付能力。進階 DeFi 使用者利用它們進行抵押品交換,否則這些操作需要鎖定資金數小時。XRPL 放棄了所有這些功能,以換取徹底關閉此類攻擊途徑。
在 XRPL 的大部分歷史中,這種權衡並不重要,因為該鏈的 DeFi 規模很小。但情況正在改變。XRP Ledger 上的代幣化現實世界資產(RWA)總價值已突破 30 億美元,包括上個月 Ripple、JPMorgan、Mastercard 與 Ondo Finance 的試點專案,在不到五秒內處理了一筆代幣化美國國債贖回。
如果該 AMM 修正案通過,將彌合限制 XRPL DeFi 落後於以太坊的資本效率差距,為該鏈開啟更廣泛的交易與收益策略。
如果 AMM 修正案通過且 XRPL 的 DeFi 流動性增長至機構資金可大規模部署的水平,問題將變成:結構性的漏洞防禦究竟是真正的競爭優勢,還是機構為了追逐現有流動性而忽略的一項功能?