原始来源:解密
分散金融(DeFi)指的是区块链应用程序,它消除了贷款、储蓄和互换等金融产品和服务的中间人。DeFi虽然回报高,但也有很多风险。
由于任何人都可以启动DeFi协议并编写一些智能合约,因此代码中的缺陷是常见的。在DeFi中,有很多黑客可以利用这些缺陷。当这种情况发生时,数百万美元被置于危险之中,并且用户通常不能恢复它们。
根据Elliptic 11月的一份报告,2021年,DeFi用户因盗窃损失了105亿美元。但是正如我们列出的11个最大的DeFi漏洞所示,这个数字已经增加了数百万。(以下数字均为事发时的货币价值)。
1.严峻的财政状况:3000万美元
通常,dApps从他们建造的区块链获得主题灵感。因此,雪崩生态系统充满了雪的元素,如雪迹、暴雪和解冻。与此同时,Fantom生态系统感觉就像一场连环万圣节派对。Grifinance,一个收入优化协议。
2021年12月,该协议遭受了重入攻击,这是攻击者在之前的交易尚未结算时伪造额外存款进入金库的漏洞。最终,攻击欺骗了智能合约,窃取了3000万美元的Fantom令牌。
10.猫鼬融资:3100万美元
基于币安智能链的贷款协议Meerkat Finance在2021年3月推出后仅一天就损失了3100万美元的用户资金。
攻击者调用了合同中的一个函数,使他们的地址成为金库的所有者,这导致该项目损失了1396万BNB(币安稳定货币BUSD)和另外73,000 BNBs(币安本地代币)。BNB抢劫案当时价值约1740万美元。
很多用户认为这是内部操作,Meerkat否认这些指控。
9.Vee融资:3500万美元雪崩
2021年夏天,雪崩上的交易活动大增。
2021年9月,就在借贷平台Vee Finance庆祝锁定资产总价值达到3亿美元这一里程碑的一周后,它遭遇了Avalanche网络上最大的漏洞。
因为Vee Finance的杠杆交易功能依赖于雪崩的主要流动性协议穿山甲提供的代币价格。攻击者在穿山甲上创建7个交易对,提供流动性,最后在Vee上杠杆交易。这使他们能够从协议中提取3500万美元的加密货币。
8.煎饼兔子:4500万美元
在2021年的春天,币安智能链(BSC)(BNB链)是最热的DeFi趋势,尤其是对散户来说,但BSC也是许多骗局和黑客的宿主,其中最大的是2021年5月PancakeBunny的漏洞。
一名黑客通过一系列八次闪电贷款攻击操纵了PancakeBunny的定价算法,抬高了协议的原生令牌$BUNNY的价格。黑客通过以市场价廉价买入兔子美元,并以人为的高价卖出,获得了4500万美元。
7.bZx:5500万美元bZx
多链借贷协议bZx于2021年11月被黑,原因是‘私钥’泄露。该协议在币安智能链和Polygon上的部署总共损失了5500万美元。
虽然闪电贷款攻击是如今常见的DeFi漏洞策略,但bZx在这方面是个‘OG’。2020年2月被闪电贷攻击,目标是其融资融券交易平台Fulcrum。黑客偷了1300个ETH,当时价值36.6万美元。
在2020年9月的另一次袭击中,bZx损失了30%锁在金库里的资金,当时价值800万美元。但是,持有未平仓保证金的用户并没有遭受损失。该协议后来在一份报告中说,这些资金是从bZx的保险基金中扣除的。
6.獾道:1.2亿美元獾道
2021年12月,从比特币到DeFi的桥梁Badger DAO遭受了1.2亿美元的损失,因为骗子诱骗Badger DAO成员批准恶意交易,让他们控制用户的金库资金并转移这些资金。
区块链安全公司PeckShield告诉Decrypt,这个协议的合约在这个漏洞中是安全的,受影响的只是用户界面。
5.奶油融资:1.3亿美元
贷款协议Cream Finance在2021年10月的一次闪电贷款攻击中损失了1.3亿美元——这是对该协议的第三次攻击。
闪贷允许你即时贷款,只要你在同一笔交易中还款。虽然对套利游戏有用,但它们被恶意行为者广泛用于利用DeFi协议的漏洞。在奶油金融的案例中,闪电贷款的黑客可以通过在不同的以太坊地址重复进行闪电贷款来利用定价漏洞。
2021年8月,一名黑客在另一次闪电贷款攻击中窃取了约2500万美元,该攻击主要针对Flexa网络的原生令牌AMP。并且在2021年2月的一次闪贷攻击中,黑客从协议的资金池中取走了3750万美元。
4.瓦肯人伪造:1.4亿瓦肯人伪造
玩赚是加密货币的最新趋势之一。Vulcan Forged是Polygon上的一个游戏平台,其用户在2021年12月损失了1.4亿美元。
据事后报道,一名黑客获得了该平台的集中用户钱包——Venly的证书,从而掌握了96个加密货币钱包的私钥。后来,黑客用它获得了平台的投资组合函数-MyForge的私钥,最终获得了450万枚火神伪造的原生PYR代币。
Vulcan Forged的首席执行官杰米汤姆森(Jamie Thomson)在对社区的演讲中说:“未来,我们只会使用去中心化的钱包,这样我们就不会再遇到这个问题了。”
3.com镑:1.5亿美元复利
像大多数DeFi协议一样,lending agreement Compound有一个治理令牌。
2021年10月,出现了一个错误——“DEFI中最隐藏的秘密”——这使得借款人要求超过他预期的红利份额。该漏洞涉及其两个金库,即智能合约上的资金池。用户将调用水库库上的特定函数- drip(),这将重新填充另一个库- Comptroller。保险库会自动将大量的红利分配到错误的地址。
在8000万美元的补偿发给黑客后,该团队急于修补补丁。但在实施任何修复之前,该协议需要通过一项治理提案。10月2日创作,10月9日最终验收。在群体辩论期间,财政部又损失了6880万美元。
Compound的创始人罗伯特莱什纳是怎么想办法把钱要回来的?他在推特上写道:“任何把COMP还给社区的人都是外星人。如果一群外星人召唤我,我就会出现。几乎一半的资金被退回。
2.虫洞:3.26亿美元
随着越来越多的一线区块链在其上建立DeFi,用户更喜欢在连锁店之间转移资金。跨链桥接解决了这一需求,但也带来了新的漏洞。最具破坏性的跨链事件发生在2022年1月,当时流行的桥虫洞在wrapped ether eum(wETH)中损失了3.2亿美元。WETH是一种加密货币,与以太坊的价格以1:1的比例挂钩。
黑客的目标是索拉纳,用户必须先将邰方锁定在智能合同中。黑客设法找到了一种不用把ETH锁在虫洞里就能施放WETH的方法。
虫洞开发的利益相关方Jump Trading Group积极补充虫洞的以太坊仓库,使其重新成为一个整体。
1.poly Network:6.11亿美元
网络黑客仍然是加密货币中最大的事件。然而幸运的是,在经历了一系列诡异的转折后,这个始于2021年8月10日的传奇故事在三天后圆满落幕。
当一名黑客利用Poly Network的“合同调用”——驱动协议的几段代码——中的一个缺陷时,抢劫就开始了。黑客很快窃取了6.11亿美元的各种加密货币,导致保利发布了一封绝望的信,上面写着‘亲爱的黑客’。
这种沟通尝试和后续努力终于奏效了。悬赏50万美元,并向黑客提供成为其首席安全顾问的机会。但是在链上的问答环节,黑客解释说这个漏洞只是为了给聚网一个教训。他们说归还被盗资金是一个“长期计划”。
加密货币安全公司SlowMist表示,它识别了攻击者的身份标记,该漏洞“可能是一次长期策划、组织和准备的攻击”。