從COVER到OVER，攻擊事件復盤_VER:COVIDDOGE幣

作者：秦曉峰

有些DeFi項目如果出現問題，可以通過保險挽回損失。但如果保險公司被攻擊了，又該怎么辦？

28日晚上，DeFi保險項目CoverProtocol遭遇黑客攻擊，導致代幣增發超過萬億枚。黑客先后在SuShiSwap、Uniswap等DEX上進行套現，直接導致代幣COVER價格從800美元暴跌超過90%，截至發稿前Uniswap上Cover暫報23美元。

事件發生后，OKEx、抹茶等中心化交易所第一時間關閉Cover充提，幣安方面暫停Cover交易。

歐科云鏈OKLink數據顯示，攻擊也導致CoverProtocol的總鎖倉量短時出現大幅下降，當前Cover總鎖倉量約合3112萬美元，降幅達31.17%。

超47,000個地址領取2370萬枚ARKM代幣，價值逾1500萬美元:金色財經報道，區塊鏈分析平臺Arkham早些時候發布了ARKM代幣，并向新賞金平臺的早期參與者和Beta測試人員進行了空投，該代幣也可以通過幣安獲得。截至發稿時，已有超過47,000個地址領取了2370萬枚ARKM代幣，價值超過1500萬美元。根據Nansen的數據，代幣合約地址以及索賠合約都是當天以太坊鏈上最大的Gas消耗者之一，其中做市商Wintermute收到了大約 1500 萬個 ARKM 代幣，其中大部分被發送到幣安，其余則保留在交易地址中。[2023/7/19 11:03:52]

今年11月28日，CoverProtocol與YearnFinance進行合并。截至發稿前，YearnFinance的核心開發人員Banteg表示，他們正在調查此問題，CoverProtocol官方團隊也勸告投資者不要再次購買COVER。

礦企HAG將在美國數字證券發行平臺INXS上發行基于永續比特幣算力的STO:金色財經報道，6月20日，基于永續比特幣算力的STO將正式登陸美國數字證券市場INX。來自新加坡的比特幣礦業企業HAG Holding Limited (HAG)正式宣布將在美國的數字證券發行平臺INXS上按照美國證劵法規要求，面向全球發行數字證券（Security Token）。正式發行時間為美國東部時間 2023年6月21日，數字證券代碼為HAG Token。該Token是按照美國證券法來發行的，基于比特幣算力的證券型代幣。HAG Token是一個永久錨定BTC挖礦算力，并且每月發放WBTC作為股利的Security Token。[2023/6/20 21:49:55]

一、事件復盤：合約漏洞增發

Arbitrum生態板塊平均跌幅最大，ARB 領跌:3月25日消息，數據顯示，ARB空投發放前后，Arbitrum生態板塊受市場關注，當前該板塊平均跌幅已超13%，ARB 、JOE 領跌。[2023/3/26 13:26:52]

今晚18點，推特用戶CryptoKebab?表示，Cover疑似遭到黑客攻擊，增發了1萬枚COVER代幣，并且已將其換成了WBTC和DAI等資產。

雖然未被證實，但消息傳出后，COVER價格一度下跌暴跌50%，從800美元下跌至370美元左右。????

社群中，也有不少投資者認為這只是謠言，在400美元附近開始逐步抄底。然而，沒過多久，不少用戶發現COVER在一些去中心化交易中的價格開始狂跌，其中以Uniswap和SushiSwap為主，價格一度跌至20美元一線，近乎歸零，相較于今日開盤價暴跌超過90%。

跨鏈預言機解決方案SupraOracles與DeFi項目YFDAI FINANCE達成合作:據官方消息，跨鏈預言機解決方案SupraOracles宣布與DeFi項目YFDAI FINANCE達成合作。

據介紹，YFDAI FINANCE將傳統銀行與去中心化網絡連接起來，提供借貸、保險等服務。其使命是推動金融民主化，推動新一代金融產品的廣泛應用。SafeSwap是YFDAI的DEX。

SupraOracles將為YFDAI提供預言機工具包。[2022/7/16 2:16:54]

區塊瀏覽器顯示，目前CoverProtocol原生代幣COVER的總量已被增發至40,796,131,214,802,600,000個，一個標簽為GrapFinance的地址增發了這些代幣，并在DEX中持續拋售。????

這些增發的「假幣」從何而來？

根據多方信息整理，Odaily星球日報總結黑客攻擊過程如下，其中涉及兩波黑客：

第一波黑客首先自己構造假幣，然后將假幣拿去Balancer做流動性換取bpt，然后拿著假幣的bpt去做了質押，之后再解壓換得真幣COVER；如此反復，黑客總共獲得11000多個COVER真幣，最終套現獲利。該攻擊者的地址創建于兩天前，初始資金約200ETH，目前該地址資產超過1400?ETH和100萬美元其他代幣。該地址在Etherscan上已被打上了CoverExploiter1的標簽。第二波則是利用CoverProtocol獎勵合約中一個名為「無限挖礦BUG」的漏洞，增發了40萬億個Cover；由于同出一個智能合約，這些幣也被交易平臺誤認為是「真幣」；黑客通過Uniswap等DEX進行批量套現，據DeFi開發者@banteg表示，攻擊者最終獲益超過兌現了4374枚ETH，約合320萬美金。目前第一波黑客身份不明，但第二波增發的黑客地址，被網絡標記為Grap?Finance開發者的地址。在獲利后，該攻擊者將所得收益還給了Cover團隊，銷毀了剩余增發的COVER，并給?YieldFarming保險地址留言：下一次，管好你自己的事。

“果然，grap.finance的創始人是一位DeFi義俠，剛刷了一下，4350個eth已經打給了cover團隊。?”加密KOL「超級比特幣」評價說。

聽起來不圖名不圖利，COVER攻擊者似乎是一名正義的「白帽子」。但通過砸盤，讓眾多的投資者血本無歸，這樣的“俠義精神”真的值得提倡嗎？

目前，YFI創始人AndreCronje尚未對此事發表任何評論，CoverProtocol也并未給出事故解釋。攻擊事件發生后，幣安等中心化交易所第一時間暫停了COVER充提。

二、DeFi無險可保

COVER并不是今年第一個被攻擊的DeFi項目。

北京時間12月14日下午，DeFi保險龍頭項目NexusMutual創始人HughKarp賬戶遭遇黑客攻擊，被盜37萬NXM。黑客先是在1inch上出售102000NXM，在Matcha出售16000NXM。隨后NexusMutual官方稱，黑客地址又通過1inch賣出了約3.5萬枚WNXM。

根據官方披露細節,攻擊者通過獲得HughKarp個人計算機的遠程控制后，對計算機上使用的Metamask插件進行修改,并誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中。

對于DeFi保險項目而言，初衷是為其他DeFi項目降低風險損失。本來就被黑客覬覦，理應加強安全防護。如今卻由于自身漏洞被黑客屢屢攻擊，遭受損失，這樣的保險項目真的能幫助用戶抵御風險嗎？

既然在DeFi的世界中，崇尚「代碼即法律」，那就把代碼做好，做到極致，不給黑客留下任何可乘之機。

最后，希望DeFi的發展越來越好，漏洞事件越來越少。

Tags：VERCOVERCOVDEFxverse錢包去中心化嗎cover幣行情COVIDDOGE幣DeFi Kingdom

MANA