黑客的狂歡，限于技術掣肘的DeFi如何破局？_MPH:EFI

2020年3月Compound推出“借貸挖礦”模式，讓沉寂多時的幣圈再次燥動起來。一位參與過DeFi挖礦的“礦工”表示，為了搶到頭礦，他把賭注押在未經測試的代碼上，“不管安不安全，先把頭礦搶了。”開發者們更急，為了快速上線主網，從新發布的代碼中獲得最大收益，他們直接略過了安全審計的步驟。那些穩如泰山的黑客們，也開始把握機會，憑借自身技術實力，伺機攻擊那些沒有做好安全預防措施的DeFi們。進入11月，發生在DeFi協議上的攻擊一起接著一起，DeFi們儼然淪為黑客的取款機。據PeckShield統計，截至目前共發生8起與DeFi相關的安全事件，包括YearnFinance、Percent.finance、CheeseBank、OriginProtocol、Akropolis、ValueDeFi、YFV、88mph，造成損失逾2100萬美元。驚險時分：24小時發生兩起攻擊事件損失近800萬美元

Mango Markets 社區將批準 4700 萬美元與黑客的交易:金色財經報道，Mango Markets 治理論壇正在通過投票，批準為通過該協議竊取1.14億美元的黑客提供巨額漏洞賞金。根據提供的交易條款，黑客將返還大約6700萬美元的代幣，并保留剩余的 4700 萬美元作為漏洞賞金。治理投票還規定，該項目將使用國庫資金注銷任何剩余的壞賬，一旦返還部分代幣，將不再進行刑事調查。治理投票有1.19億個代幣投票贊成，460萬個反對該交易。投票已達到法定人數，這意味著投票可能會在10月15日早些時候結束時通過。?

金色財經此前報道，10月12日，Mango遭黑客攻擊，損失約1.14億美元。[2022/10/15 14:28:08]

11月17日，PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊，攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊（Re-entrancyattack)，造成價值770萬美元的損失。隨后，11月18日，PeckShield監控到DeFi固定利率借貸協議88mph存在代碼漏洞，一名攻擊者利用該漏洞鑄造了價值10萬美元MPH代幣。據悉，88mph于11月16日上線主網，上線僅48小時就遭到了攻擊。在88mph協議中，用戶可通過存入加密資產賺取固定利息，并獲得其原生代幣MPH，也可通過購買浮動利率的債券來獲取MPH代幣。上線僅48小時后即遭伏擊

動態 | 加密交易所ChangeNOW凍結了Upbit黑客的押金:據CryptoNinjas報道，加密貨幣交易所ChangeNOW表示，在11月27日Upbit被攻擊342,000 ETH的兩天后，ChangeNOW從一個黑名單地址接收了9 ETH的押金，ChangeNOW凍結了存入的押金并轉移將它到安全的儲存處。據悉，黑客攻擊后不久，ChangeNOW從Upbit代表那里收到了黑客的地址，并將其列入黑名單。[2019/12/6]

PeckShield通過追蹤和分析發現，首先，攻擊者調用DInterest::deposit()函數將穩定幣儲存在資金池中，此時，存款者會收到一個新的depositID，它相當于非同質化通證，同時MPHMinter合約會開始鑄造MPH代幣；

動態 | 自稱黑客的推特用戶聲稱將公布更多幣安KYC信息:8月16日，名為Bnatov Platon的Twitter賬戶發推稱公布了一份據稱掌握在其手中的Binance KYC信息概要，推文的附帶評論為“熱身”（Warming up）。 Bnatov隨后又發布了多張據稱是與幣安安全團隊成員的Telegram聊天截圖。截圖透露出的一個信息顯示，黑客似乎試圖以一個包含新KYC數據的地址為幌子，引導對方訪問一個危險的網站地址。（Cointelegraph）[2019/8/16]

金色財經獨家采訪 Usechain創始人兼CEO曹輝寧：EOS很容易受到黑客的攻擊:今日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。對此， Usechain創始人兼CEO曹輝寧表示，區塊鏈是一個分布式的多中心化的記賬方法，這種記賬方法保證了我們對系統的信任不是對某個人、某個超級節點的信任，而是整個社區相互全網廣播來相互信任，所以是非常安全的。現在很多項目是“偽區塊鏈”，要么沒有幣，要么沒有多中心化的記賬方法。EOS是一個偽區塊鏈的概念，很容易受到黑客的攻擊，每個節點是輪流做驗證交易的。并且會存在黑客和超級節點聯合攻擊網絡的可能，所以EOS網絡是非常不可靠的。21個超級節點只要有一個騙子，就會對整個網絡造成非常大的影響。此次漏洞是程序上的漏洞，超級節點的設計很容易被攻擊，一旦掌握了超級節點，就掌握了整個系統。[2018/5/29]

隨后，調用fundAll()函數購買浮動利率的債券，在此步驟中，用戶可獲得MPH代幣和一個fundingID；

接下來，攻擊者將步驟1和步驟2所獲得的depositID及fundingID傳入earlywithdraw()函數提取在這兩步中所存入的資產。也就是說，攻擊者將步驟1中原本要鎖倉1年的加密資產被提前取出，此時攻擊者不會獲得任何利息，因此步驟2中提供的資金也原路退回，并且MPHMinter會銷毀在步驟1中鑄造的所有MPH代幣。值得注意的是，在第2步中所鑄的MPH代幣并沒有被銷毀。攻擊者利用這點，以0成本獲得了步驟2所鑄造的價值10萬美元的MPH代幣。

通過重復操作這三個步驟，攻擊者鑄造了價值10萬美元的MPH代幣，并將其存入UniswapV2:MPH4池中。利用另一漏洞僥幸逃過一劫

事實上，MPHMinter合約還有一個漏洞，而開發者利用此漏洞僥幸逃過一劫，使得此次攻擊暫未造成任何經濟損失。首先，開發者調用takeBackDepositorReward將所獲MPH代幣從UniswapV2:MPH4轉移到govTreasury，該函數沒有設置門檻，任何人都可調用此函數將MPH代幣轉移到govTreasury中。

由于攻擊者將獲得的MPH代幣存入了UniswapV2:MPH4池子當中，而88mph項目方自己掏空了該池子，然后做了快照，因此暫未造成任何經濟損失。

PeckShield相關負責人表示：“黑客們的攻擊可能會毀滅或‘殺死’一個項目，DeFi們不要存在僥幸心理，應該做好充分的預防措施。如果對此不了解，應該找專業的審計機構對代碼進行徹底地審計和研究，防范各種可能發生的風險。”開發者編寫的每一段代碼，就如同工業生產中的螺絲釘一般，即使很微小，卻與DeFi行業的興衰成敗緊密相連。DeFi的生態仍處于早期發展階段，但區塊鏈的核心價值在于普世的信任，如果DeFi們仍一味追求快速上線主網，忽視代碼的審計安全，最終只能將社區成員的信任消磨殆盡，成為沒有靈魂的軀殼。

Tags：MPHDEFIDEFEFIMPH幣Defi Bombdefibox幣有價值嗎COREFI

歐易okex官網