由於bZx協議最近遭受了幾輪攻擊，我們目前正與Chainlink團隊共同甄別協議中存在的安全漏洞並通過Chainlink卓越的解決方案提升協議的整體安全。2020年2月18日，bZx的價格預言機遭受攻擊，一名用戶使用閃電貸操控流動性較低的鏈上預言機，向其傳輸嚴重偏離真實水平的虛假價格，以不當謀利。

在經過多輪商討並權衡利弊後，我們決定立即接入Chainlink的去中心化預言機網絡，並將其作為我們長期的價格預言機解決方案。Chainlink去中心化預言機網絡由眾多獨立節點組成，這些節點從7個以上的獨立數據聚合商獲取數據，這套方案將覆蓋我們所有的關鍵價格數據，並提供安全保障。在Chainlink的幫助下，我們的價格預言機將從流動性最高的數據源獲取最準確的市場價格數據。由於Chainlink在預言機和數據源層面都實現了去中心化，我們總體的安全水平將大幅提升。在去中心化網絡中，不僅攻擊成本會大幅上升，而且對多方協調的要求也會更高，因此該方案將消除所有可以被輕易利用的攻擊向量。

為了更好地幫助大家理解這種新型預言機模式所具有的優勢，本文將詳細闡述鏈上預言機的安全隱患，並探討接入Chainlink去中心化預言機網絡為何會為bZx帶來關鍵的安全保障，並幫助其重新贏得市場的信任。由於所有DeFi協議都可能遭受此類攻擊，因此這次事件應為所有人敲響警鐘，大家應該認真思考如何提升整個DeFi生態圈的安全水平，並持續推動DeFi應用實現完全去中心化的目標。

鏈上價格預言機的瓶頸

在深入討論之前，我們先來講講數據在DeFi生態圈中的重要地位。智能合約是由數據推動的，它基於數據輸入產生數據輸出。以DeFi為例，DeFi金融合約必須依靠優質的實時市場數據才能準確進行交割。即使底層智能合約代碼編寫得天衣無縫，最終合約產生的結果也完全取決於輸入的數據。也就是說，數據與底層智能合約一樣，都從根本上決定著去中心化金融的安全水平。

去中心化交易所（DEX）是區塊鏈領域頗具潛力的應用，它可以繞過中間方直接點對點交易數字化資產。目前存在兩種交易模式：

1. 訂單簿交易所（如Kyber Network），這類交易所負責撮合買賣雙方；
2. 非訂單簿交易所（如Uniswap），這類交易所使用鏈上資金池和簡單的聯合曲線進行交易。這兩種模式極大推動了DeFi行業的發展，並具有無限潛力。

而現在問題是鏈上去中心化交易所還是一個相對比較新穎的概念，因此流動性總體偏低。這也導致各種主流數據源聚合出來的鏈上價格可能與真實市場價格相去甚遠。因此，鏈上價格預言機並不是最可靠的解決方案，無論是鏈上預言機直接獲取數據還是聚合數據，都無法做到完全可靠。

在這種模式下，任何用戶都可以輕易操縱鏈上價格預言機。而閃電貸的推出則加劇了這個問題。閃電貸用戶可以快速獲得貸款，而且前期幾乎無需成本。用戶可以用這筆貸款輕易操控流動性較低的價格預言機，這樣一來，從這臺預言機上獲取價格數據的Dapp也就被操控了。bZx第二次遭受攻擊中的就是這個陷阱，這也是bZx決定選擇Chainlink的原因。

使用Chainlink的價格參考數據獲得安全真實的市場價格

為了解決鏈上價格預言機的安全漏洞，我們目前已接入了Chainlink去中心化預言機網絡。我們將接入Chainlink針對DeFi產品推出的價格參考數據，其中許多都是我們需要的關鍵數據。目前，Synthetix、Aave、Nexus Mutual和Loopring等DeFi項目都已接入Chainlink價格參考數據，而且未來會有更多項目加入進來，共同分享並貢獻市場主流的通用價格數據。該模式將真正實現關鍵價格數據的去中心化維護。

Chainlink價格參考數據合約是由多個獨立節點組成的去中心化預言機網絡，這些節點都通過了安全評估，並具有抗女巫攻擊的能力，節點操作者包括業內主流的區塊鏈DevOps團隊以及安全團隊，其中許多團隊都有豐富的POS節點運營經驗，並在多個區塊鏈網絡中守護著價值幾百萬美元的資產。

這些去中心化的預言機網絡提供各種主流的鏈上價格數據，其中包括BTC/ETH、DAI/ETH以及SNX/ETH等。每個預言機網絡中都有多個獨立的數據聚合商，每個獨立節點分別從十個數據聚合商中選一個獲取數據，所有節點獲取的數據會被聚合成單一數據點，併發送至鏈上的參考合約。可以按固定時間更新價格（如每小時或每天更新一次）；按價格偏差範圍更新價格（如價格每上下浮動1%更新一次）；也可兩者結合。

由於預言機的數據傳輸模式和數據源的去中心化水平都得到了極大提升，而且準確性高於所有鏈上預言機模式，因此Chainlink的模式將有效提升智能合約的安全。網絡中存在許多獨立的預言機保障每個價格數據的安全性，因此不會在節點層面出現單點失效。這能在很大程度上優化網絡運行時間，並避免預言機成為單一數據源或受到操縱或收買。同理，網絡中眾多獨立節點從多個值得信賴的獨立數據聚合商獲取數據，這樣做能確保Dapp用於觸發智能合約的價格數據能夠真實地反應市場價格。

bZx集成Chainlink後能更好地獲取真實的價格數據，而且不再會輕易遭受外部攻擊。除了少部分流動性過低的通證外，大多數通證在結合了市場上各大數據源後流動性都會大幅提升。因此要同時攻擊所有數據源不僅耗時耗力，而且成本巨大。接入Chainlink後，bZx可以訪問市場上所有價格數據，這將大幅提升我們的抗攻擊能力。

如果某一去中心化交易所中某個交易對流動性非常高，那麼它很有可能在整個市場中都具有同樣高的流動性。因此，即使是流動性較高的交易對，從眾多主流數據源聚合數據也比單一數據源更加有安全保障。主流價格數據需要更多的安全保障，因為這些價格數據會出現在更多組合中，而且有可能會撬動更大的資金池。

“我們很高興能夠與技術實力雄厚的Chainlink團隊共同解決bZx的預言機安全隱患。Chainlink去中心化預言機網絡從多個主流數據源聚合數據，極大提升了關鍵價格預言機的可靠性。我們將智能合約接入安全的去中心化預言機網絡，可獲得全面的市場價格數據，並在最大程度上保障安全。我們相信集成Chainlink將為bZx帶來準確的價格數據，提升其安全水平，並最終使bZx成為DeFi生態圈中值得信任的協議。” ——Tom Bean，bZx創始人兼CEO

關於Chainlink

如果你是開發者，並希望將智能合約連接至鏈下數據和基礎設施，請點擊此處聯繫我們。我們將幫你快速在主網上發佈自己的應用或Chainlink價格參考數據合約。你還可以訪問Chainlink開發者文檔或加入我們在Discord上的技術討論群。請登錄Chainlink官網或關注我們的Twitter賬號和Reddit論壇。

Chainlink是去中心化的預言機網絡，為智能合約安全連接至鏈下數據、web API以及傳統銀行支付系統。目前，Chainlink正在為谷歌、甲骨文和SWIFT等大型企業以及Polkadot/Substrate、Synthetix、Loopring、OpenLaw、Etherisc和Conflux等領先的智能合約項目提供安全可靠的預言機解決方案。

閱讀更多 Chainlink 的文章

關鍵字: DEX DevOps 蘇黎世聯邦理工學院