回顧DeFi史上最大的13次黑客攻擊事件_ANC:FIN

撰文：EkinGen?&StephenGraves編譯：南風去中心化金融(DeFi)是旨在將中間商從借貸、儲蓄和兌換等金融產品和服務中剔除的區塊鏈應用程序。雖然DeFi有著高回報，但也伴隨著很多風險。由于幾乎任何人都可以啟動一個DeFi協議并編寫一些智能合約，因此代碼中的漏洞是很常見的。在DeFi領域，有許多不擇手段的人準備并有能力利用這些漏洞。當這種情況發生時，數百萬美元的資金就會處于危險中，而用戶往往沒有追索權。根據Elliptic去年11月的一份報告，DeFi用戶在2021年因被盜而損失了105億美元。但是，正如我們將在下文中列出的一些最大的DeFi漏洞攻擊所顯示的那樣，這個數字已經增長了數百萬。(以下所有數字均為攻擊事件發生時的資金價值。)13.GrimFinance：3000萬美元

通常，Dapps(去中心化應用)從它們所構建的區塊鏈中獲得主題靈感。因此，Avalanche(雪崩)區塊鏈的生態系統充滿了以「雪」為主題的應用，比如Snowtrace、Blizz和Defrost。與此同時，Fantom區塊鏈的生態系統就像是一個鏈上的萬圣節派對。當出現問題時，這就增加了一層更加黑暗的色彩，比如Fantom鏈上的收益率優化協議GrimFinance發生的情況。2021年12月，GrimFinance協議遭受了一次重入攻擊(reentrancyattack)，這是一種攻擊者在前一筆交易尚未結算時偽造額外的存款存入金庫(vault)中的漏洞利用。最終，此次攻擊導致了價值3000萬美元的Fantom代幣被盜。DeFi協議通常使用重入防護(reentrancyguards)，也即防止此類攻擊的代碼片段。區塊鏈安全審計公司SolidityFinance發布的GrimFinance審計報告錯誤地指出，該協議已經使用了重入防護。這提醒我們審計并不能保證漏洞不會發生。12.MeerkatFinance：3100萬美元

波卡回顧上個月客戶端事故 系內存不足導致:6月7日消息，Polkadot官方發文回顧，5月24日要求波卡驗證節點將客戶端降級至0.8.30版本事故，系內存不足導致。Polkadot表示，在試圖構建區塊5202216時因內存不足（OOM）錯誤而失敗。該區塊包含驗證人選舉的鏈上解決方案，該解決方案通常是在鏈下計算的，只有在沒有提交鏈下解決方案的情況下才會在鏈上進行。由于提名者的數量眾多，選舉溢出了Wasm環境中分配的內存。為解決這個問題，當時驗證者被要求暫時將他們的節點軟件降級到至0.8.30版本并且使用「--execution=native」命令。該本地版本不受Wasm內存分配器的限制，網絡在70分鐘停機后恢復。之后在5203204區塊，幾個節點因「存儲根不匹配」錯誤而失敗，這是由于構建本地運行時和鏈上Wasm運行時的編譯器版本不同造成的。解決方案是用一個具有正確編譯器版本的Wasm運行時來覆蓋鏈上Wasm運行時。Polkadotv0.9.3版本上線后修復了該類問題，Polkadot表示未來可能會支持4GB的Wasm分配內存。現在選舉必須在鏈下進行，并且禁用鏈上選舉。在分配器被改進之前，鏈下工作者將使用比鏈上Wasm運行時更高的內存限制確保鏈下選舉不會耗盡內存并能成功提交。另外，Polkadot將確保本地和Wasm構建中使用相同的編譯器版本。[2021/6/7 23:18:48]

有時候，一個DeFi協議不需要很長時間就會遭受第一次攻擊。基于BSC(幣安智能鏈)的借貸協議MeerkatFinance在2021年3月上線后僅一天就損失了3100萬美元的用戶資金。攻擊者在該合約中調用了一個函數，使該攻擊者的地址成為了其金庫合約的所有者，抽走了該項目中價值1396萬美元的幣安穩定幣BUSD，以及另外73000BNB(幣安的原生代幣)，這些被盜的BNB當時的價值約為1740萬美元。許多用戶認為這是一場內部作案：該協議開發人員實施了一場RugPull(卷款跑路)。Meerkat否認了這些指控。11.VeeFinance：3500萬美元

公告 | VB交易所2019年度回顧：已完成1億枚VBT回購:VB交易所發布2019年度回顧公告。數據顯示，截止2020年1月13日，VB平臺累計注冊用戶511572人，累計上線交易對37個，24小時交易額穩步在5億人民幣附近，與超過50+區塊鏈媒體財經建立合作關系，平臺已成功被coinmaketcap（CMC）,coingecko, mytoken ,sosolx等多家區塊鏈數據平臺收錄。

VBT是VB交易所的平臺幣，過去一年總計銷毀9088630420枚VBT, VBT總量9.1億余枚，流通量5.9億余枚。VB交易所將使用2019年的平臺手續費收入從二級市場上累計回購2億枚VBT，其中1億枚VBT已回購完成，剩余1億枚VBT的二級市場回購將于2020年3月份前完成，回購完畢將進行相關公示。[2020/1/13]

2021年夏天，Avalanche鏈上的活動激增，這也吸引了那些渴望攻擊該區塊鏈網絡新興生態系統的人。2021年9月，借貸平臺VeeFinance剛剛慶祝了其TVL(總鎖倉量)達到3億美元的里程碑，而一周后，該協議遭遇了Avalanche網絡上最大的一場漏洞攻擊。此次攻擊的發生，主要是因為VeeFinance的杠桿交易功能依賴于Avalanche上的主要流動性協議Pangolin提供的代幣價格。為了利用這一點，攻擊者在Pangolin上創建了7個交易對，提供流動性，最后在VeeFinance上進行杠桿交易。這使得該攻擊者得以從VeeFinance協議中抽走價值3500萬美元的加密貨幣。在一條發給「親愛的0x**95BA先生/女士」的推文中(見下圖)，VeeFinance協議要求該攻擊者返還這筆資金，且作為該協議賞金計劃的一部分，讓攻擊者保留一部分資金。但該攻擊者并沒有返還這筆資金的意愿。

夜間信息回顧 | 三星證實Galaxy S10內置加密私鑰安全存儲功能:1.加密社區對彭博社有關比特幣價格飆升的觀點表示質疑

2.比特幣期貨收于3900美元上方

3.亞馬遜開發可在60秒內創建區塊鏈網絡的工具

4.FBI向BitConnect受害者征集信息

5.Facebook首席執行官：考慮將區塊鏈技術用于身份驗證

6.三星證實Galaxy S10內置加密私鑰安全存儲功能

7.加密貨幣總交易量達到300天高點

8.日本加密貨幣業界公開資產余額，賬戶數明顯下降

9.凌晨以來BTC出現超10筆大額轉賬[2019/2/21]

10.PancakeBunny：4500萬美元

Crypto領域通常會經歷短暫但強烈的趨勢。2021年春季，幣安智能鏈(BSC)(現已更名為BNB鏈)有著最熱門的DeFi趨勢，特別是對散戶用戶，因為該鏈的網絡費用較低。但BSC鏈上也發生了許多騙局和黑客攻擊，其中最大的一次是2021年5月的一次攻擊，受攻擊的是收益耕作協議PancakeBunny。一名黑客通過8次閃電貸攻擊操縱了PancakeBunny的定價算法，抬高了協議原生代幣BUNNY的價格。該黑客先以市場價格低價買入BUNNY，然后在人為抬高其價格之后高價賣出，盈利4500萬美元。9.bZx：5500萬美元

動態 | 港交所發布2018年回顧，提及區塊鏈相關內容:據香港交易所官方微信號消息，12月21日，香港交易所發布2018年回顧。其中“創新”一項下提到，與領先的分布式分類賬技術公司Digital Asset攜手協作，探討為滬股通及深股通交易建立以區塊鏈驅動的交易后分配和處理平臺的可行性。[2018/12/21]

2021年11月，多鏈借貸協議bZx在「私鑰」被泄露后遭到黑客攻擊。該協議在BSC和Polygon鏈上總共損失了5500萬美元。但bZx此前已經經歷過兩次類似的痛苦。雖然閃電貸攻擊是目前DeFi領域常見的攻擊策略，但bZx在這方面是一個「OG」(元老級項目)。2020年2月，該協議成為閃電貸攻擊的目標，攻擊目標是其保證金交易平臺Fulcrum。這名黑客盜走了1300wETH，當時價值36.6萬美元。在2020年9月的另一次攻擊中，bZx損失了鎖定在其金庫的30%的資金，當時價值800萬美元。不過，持有未平倉保證金頭寸的用戶并沒有遭受損失，因為正如該協議后來在一份報告中所說，這些資金是從bZx的保險基金中取出的。8.BadgerDAO：1.2億美元

智能合約漏洞并不總是會導致一個DeFi項目僅僅損失數百萬美元。2021年12月，將比特幣帶至DeFi的網橋BadgerDAO遭受了1.2億美元的損失，攻擊者通過在用戶界面植入惡意錢包請求，誘導BadgerDAO用戶為惡意地址批準代幣使用權限，從而使攻擊者控制用戶的金庫資金并轉移資金。此次攻擊造成的損失達1.203億美元，包括約2,100BTC和151ETH。區塊鏈安全公司PeckShield表示，該協議的合約是安全的，只有用戶界面受到了影響。7.CreamFinance：1.3億美元

金色財經歷史回顧 2011年4月12日 首份比特幣看跌期權合同賣出:在歷史上的2011年4月12日，首份比特幣看跌期權合同，在bitcoin-otc（場外交易）上賣出。在當時比特幣的價格為0.819美元一枚，2011年4月12日對于比特幣而言，是瘋狂幣價上漲的開端，比特幣價格在經過不到兩個月的暴漲，直到在2011年6月9日從0.8美元作用達到29.415美元的最頂峰，隨后在2011年6月12日出現腰斬，跌至16美元左右。[2018/4/12]

DeFi借貸協議CreamFinance在2021年10月的一次閃電貸攻擊中損失了1.3億美元，這是該協議遭受的第三次攻擊。閃電貸(flashloans)允許你獲得即時貸款，前提是你必須在同一筆交易中償還這筆貸款。雖然閃電貸對于套利很有用，但它被惡意行為者廣泛使用，以利用DeFi協議中的漏洞。在CreamFinance的案例中，閃電貸攻擊者得以利用定價漏洞，通過不同的以太坊地址反復獲取閃電貸。CreamFinance在此之前也經歷過閃電貸攻擊。2021年8月，一名黑客在另一次閃電貸攻擊中從CreamFinance竊取了大約2500萬美元，主要針對FlexaNetwork的原生代幣AMP。在2021年2月的一次閃電貸攻擊中，黑客從CreamFinance協議池中竊取了3750萬美元。6.VulcanForged：1.4億美元

「邊玩邊賺」(P2E)是Crypto領域的最新趨勢之一，但它并沒有擺脫老式的騙局和陷阱——尤其是那些利用中心化功能的騙局和陷阱。VulcanForged是Polygon上的一個P2E平臺，在2021年12月，其用戶損失了1.4億美元，這是一個慘痛的教訓。根據一份事后調查報告，一名黑客獲得了該平臺的中心化用戶錢包Venly的憑證，從而獲得了96個加密錢包的私鑰。之后，該黑客利用它獲得了該平臺的資產組合功能MyForge中的私鑰，最終盜走了其用戶450萬VulcanForged原生代幣PYR。VulcanForged首席執行官JamieThomson在向社區發表的講話中表示：「當然，未來我們將只使用去中心化的錢包，這樣我們就永遠不會再遇到這個問題。」5.Compound：1.5億美元

與大多數DeFi協議一樣，借貸協議Compound有一個治理代幣COMP，該協議在特定條件下向用戶分發該代幣。2021年10月，有消息稱Compound有一個漏洞，即允許借款者(borrowers)索要超出其預期的COMP份額，這個漏洞涉及到Compound的兩個金庫(資金池)。用戶可以在Reservoir金庫上調用一個特定的函數drip()，觸發了價值8000萬美元的COMP被發送到另一個金庫Comptroller。該金庫會自動將大量COMP代幣分發到錯誤的地址中。這個「漏水的水龍頭」是由之前的一次協議更新中引入的錯誤造成的。在價值8000萬美元的COMP被發送給錯誤的地址之后，該團隊匆忙修補了一個補丁。但是在實施任何修復之前，該協議要求通過一項治理提案。該提案創建于10月2日，最終在10月9日被接受。而在社區爭論的同時，這兩個金庫又損失了6880萬美元。Compound的創始人RobertLeshner是如何試圖把錢拿回來的？他在推特上呼吁「將COMP退還給社區。」之后，幾乎一半的資金被退回。

4.Beanstalk：1.82億美元

閃電貸，如此有用卻又如此危險！就在慶祝獲得1.5億美元TVL之后兩天，基于以太坊的穩定幣協議Beanstalk發現1.82億美元在一次閃電貸攻擊中失蹤。該攻擊者成功地通過TornadoCash將價值8000萬美元的ETH進行清洗。Beanstalk以其算法穩定幣BEAN而聞名，該穩定幣的價值應該是錨定1美元。雖然該穩定幣在此次攻擊發生不久之后設法保持了其錨定，但此次攻擊事件表明，算法穩定幣的穩定性取決于支撐它們的合約。3.Wormhole：3.26億美元

隨著越來越多的L1(第一層)區塊鏈上構建DeFi，用戶在L1鏈之間轉移資金的愿望越來越大。「跨鏈橋」解決了這一需求，但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在2022年1月，當時受歡迎的跨鏈橋Wormhole(連接Solana和以太坊)發生黑客攻擊事件，損失了3.2億美元的wETH。wETH是一種與以太坊價格1:1掛鉤的加密貨幣。用戶在使用Wormhole跨鏈橋時，必須首先將ETH鎖定在一個智能合約中，以獲得等量的wETH。該黑客設法找到了一個繞過這個的方法，在沒有在Wormhole合約中鎖定ETH的情況下鑄造了WETH。JumpTradingGroup是Wormhole開發的利益相關者之一，該團隊主動補充了Wormhole丟失的ETH。短短一天后，Wormhole橋重新上線。2.Ronin跨鏈橋：5.52億美元

基于NFT的游戲AxieInfinity是去年最成功的加密游戲之一。2022年3月23日，它成為了加密貨幣領域最大黑客攻擊之一的受害者，攻擊者使用「被盜取的私鑰」將大約有價值5.52億美元的加密貨幣從Ronin跨鏈橋盜走。一周后，當AxieInfinity的開發商SkyMavis披露該漏洞時，被竊取的資金價值已上升至6.22億美元。根據SkyMavis的一份報告，攻擊者「通過我們gas-free的RPC節點找到了一個后門，然后濫用這個后門來獲得AxieDAO驗證器的簽名。」Ronin側鏈由9個驗證者節點保護，為了識別Deposit(存款)事件或Withdraw(取款)事件，需要這9個驗證器節點中的5個進行簽名。3月23日，攻擊者成功地控制了其中的5個節點(包括SkyMavis自己運行的4個節點以及1個由AxieDAO運行的節點)，這5個驗證者的私鑰被盜。這讓攻擊者得以偽造交易，并取走173,600wETH和2550萬USDC，總計約6.22億美元。「這是歷史上規模最大的黑客事件之一，」AxieInfinity聯合創始人JeffZirlin指出，「(黑客)有可能被發現，并被繩之以法。」1.PolyNetwork：6.11億美元

PolyNetwork的黑客攻擊仍然是加密領域最大的攻擊事件。幸運的是，這個始于2021年8月10日的傳奇事件在經歷了一系列奇怪的轉折后，在三天之后以美滿的結局結束了。這場盜竊始于攻擊者利用PolyNetwork「合同調用」的一個漏洞。該黑客迅速盜取了價值6.11億美元的各種加密貨幣，導致PolyNetwork發布了一封絕望的信，并附上了「親愛的黑客」的稱呼。這種溝通嘗試，以及隨后的努力，最終發揮了作用。該協議提供了50萬美元的賞金，并為這名黑客提供了成為其首席安全顧問的機會。但在一次鏈上問答環節中，該攻擊者解釋說，此次攻擊只是為了給PolyNetwork一個教訓。該攻擊者說，將資金歸還是其「一直以來的計劃」。加密貨幣安全公司SlowMist表示，已識別出該攻擊者的IP和電子郵件信息，且這場攻擊「可能是一次長期計劃、有組織和有準備的攻擊」。「現在每個人都聞到了陰謀的味道。」這名黑客說道。他否認自己是內鬼。「但誰知道呢?」來源鏈接

Tags：ANCFINEFINANSoda FinanceEmporium FinanceAllWin DeFiMoonradar Finance

POL幣最新價格