BUN:黑色五月：BSC上11個項目遭攻擊損失近3億美元 下一個會是誰？

5月28日，BSC再傳噩耗，又有兩個項目被黑客攻擊。

BSC鏈上自動做市商BurgerSwap以及BSC鏈上DEX 協議 JulSwap 先后遭到閃電貸攻擊，前者損失金額在700萬美元，后者損失未知。

至此，5月份發生在BSC上的黑客攻擊、跑路甚至監守自盜事件累計多達11起，涉及金額2.6億美元。攻擊方式主要是閃電貸，受損最嚴的是項目代幣，LP代幣幾乎不受影響。BSC集中在5月暴雷，是巧合還是必然？是監守自盜還是被黑客盯上？參與BSC項目的投資人心驚膽戰，紛紛議論下一個被攻擊的對象會是哪個，要不要逃離BSC系。

即將過去的5月，對于BSC來說，是最灰暗的一個月。本月有11個項目集中暴雷，包括BSC最大的借貸平臺Venus、BSC最大的機槍池pancakebunny、BSC最早的DEX平臺BurgerSwap。這些項目在被攻擊前，有些正如日中天，有些早已落寞。被攻擊后，有些平臺應對得力，社區重拾信心。

觀點：若以太坊持續擁擠 或導致DeFi“黑色星期四”歷史重演:DeFi生態系統在三月的黑色星期四經歷了一場巨大清算危機。Multicoin Capital管理合伙人Tushar Jain認為，以太坊網絡的持續擁堵是另一個此類事件的潛在催化劑：“由于以太坊的擁擠，在基于以太坊的DeFi平臺持有杠桿頭寸的交易員面臨著無法在波動時期降低杠桿率的風險。ETH價格是由DeFi杠桿驅動的，當杠桿需要平倉但不能平倉時會發生什么？巨大的清算。這可能導致3月12日的歷史重演。”（NewsBTC）[2020/8/15]

有些平臺動作遲緩，社區罵聲一片。有些平臺氣焰囂張，公然跑路。

良心兔子——pancakebunny

外媒：黑色星期四后Bitfinex持有的比特幣減少13.5萬枚:Cointelegraph發文稱，自3月12日黑色星期四后，Bitfinex持有的比特幣減少了13.5萬枚。對此，Bitfinex首席技術官Paolo Ardoino表示，發生這一情況的原因是用戶在利用黑色星期四之后隨之而來的套利機會。3月12日之后，該交易所的BTC價格低于其他交易所的價格，因此交易者在Bitfinex上購買BTC并在其他交易所出售。然而，Cointelegraph獲得的每小時價格數據似乎與Ardoino的觀點相矛盾。大多數交易所的價格似乎沒有差別，同時Bitfinex的比特幣余額減少了超過10億美元。[2020/6/12]

Pancakebunny是BSC上最大的機槍池，也是曾經DeFi領域最大的機槍池，鎖倉量最高的時候超過75億美元。它的最大功勞就是幫助pancakeswap鎖住了CAKE的流動性，推動CAKE市值不斷走高。至今，社區內依然有投資者堅定地持續囤CAKE，幾乎從未賣出。

The Block：黑色星期四以來，中心化交易所中的穩定幣數量增加130％:金色財經報道，根據The Block的研究，自5月12日（黑色星期四）以來，在其研究樣本中的中心化交易所的穩定幣數量增加了130％。在交易所中的DAI及SAI占供應量的百分比最低，大約2.1％的供應量在交易所中，而第二低的是Paxos，為16.7％。黑色星期四之后的第二天（5月13日）是所有穩定幣的交易凈流量十個月以來首次為正。[2020/5/28]

Pancakebunny被攻擊的手法是閃電貸，黑客利用閃電貸操控了 WBNB-BUNNY 池子從而拉高了 LP 的價格，使得 BunnyMinterV2 合約鑄造了697萬個bunny的獎勵（價值約10億美元）。黑客從此次攻擊中拿走了69.72萬個 BUNNY和11.46萬個BNB。此后通過1inch將部分資產兌換為ETH并通過anyswap橋將其轉換為了ETH。

動態 | “暗網”黑色交易生態曝光：買賣個人信息、，利用比特幣交易，多起大案被查處:據21世紀經濟報道，在11月14日上午部舉行的新聞發布會上，部網絡安全保衛局局長王瑛瑋介紹，今年以來，全國共立“暗網”相關案件16起，抓獲從事涉“暗網”違法犯罪活動的犯罪嫌疑人25名，其中已判處有期徒刑的2名，刑事拘留23名。

北京市局網絡安全保衛總隊副總隊長劉尚奇介紹，所謂“暗網”，簡單說就是隱藏的網絡，普通網民無法通過常規手段搜索訪問，需要使用一些特定的軟件、配置或者授權等才能登錄。由于“暗網”匿名性等特點容易滋生以網絡為勾聯工具的各類違法犯罪，比如買賣各類槍支彈藥、、公民個人信息、提供黑客工具、傳授黑客技術教程，網絡攻擊，制作販賣穢物品等。[2019/11/14]

事發后，pancakebunny迅速行動，先是暫停存/提款，然后迅速修補漏洞。當晚11點，pancakebunny拿出補償方案，其中一條是：將通過發行新代幣pBUNNY并創建補償池，補償原始持有者在被利用之時的市值與當前留存價值3900萬美元（損失）之間的差額。這個方案誠意十足，這意味著，bunny持有者的這次損失將由項目方完全兜底。社區一片叫好，大贊良心兔子，bunny的價格從被攻擊后的2美元漲至40美元。

黑客受訪稱：針對數字貨幣的黑色產業鏈將徹底形成 99%的用戶將陷入不安全之中:據一本財經文章報道，在近日受訪的某黑客稱，將有99%的黑客會轉戰數字貨幣領域，他們集體作戰、信息收集、入侵潛伏、“黑箱”洗幣等，會形成一條完整的產業鏈。

核心原因是：數字貨幣領域尚處在灰色地帶，很多國家并未合法化。黑客通常將成立3個月左右的交易所作為最佳攻擊目標。他們將幣偷走有兩個方式，一是找到交易所的“幣池，將幣劃走；另一個方式是找到一些用戶錢包的賬號密碼，將提幣地址改成自己的。他們通常只會偷主流數字貨幣，比如比特幣、以太坊、萊特幣等。盜幣后，他們直接將錢包隔離網絡，等到風聲過去再變現。膽大的會直接換成錢和不動產。另外，在多個交易所之間“洗幣”是最新趨勢。黑客Air稱，隨著數字貨幣有集中化趨勢，他們正在嘗試通過撞庫、釣魚等方式，拿到這些大佬在交易所上的賬號和密碼。Air預估，今年下半年，針對數字貨幣的黑色產業鏈將徹底形成。屆時，99%的用戶將陷入不安全之中。[2018/2/12]

Pancakebunny面對危機，能夠泰然應對，并拿出令人滿意的補償措施，是BSC上所有項目中做得最好的。

罵的最慘的項目——Venus

Venus是BSC最大的借貸項目，被網友稱為幣安親兒子，存款額最高的時候超過150億美元，幾乎和同時期的AAVE的存款額相當。

Venus飽受詬病，包括：1）上線初期隨意添加CAN作為抵押物，導致3000個BTC被借空。2）超額鑄造VAI卻不被清算BUG，導致XVS幣價大幅下跌。3）突然收取提款手續費，導致BSC上大量機槍池遭受不同程度的損失。4）項目進展緩慢，對社區投資者的訴求不尊重等等。

如果說此前的“CAN事件”的發生是團隊經驗不足，那這次發生的“抵押XVS惡意借貸”則說明團隊在犯錯后沒有絲毫進步。Venus的平臺幣XVS雖然不如CAN一樣是空氣幣，但XVS的市場深度極低，價格很容易被操縱。5月19日晚，XVS瞬間爆拉，在價格最高點附近，有大戶抵押XVS借出大量BTC和ETH。此后XVS迅速崩盤，抵押的XVS被清算，Venus平臺產生了超過1億美元的壞賬。

事件發生后，社區罵聲一片，投資人對Venus的最后信任被完全耗盡。就在今天，mediun上有一篇題目為《Venus.IO Exploit— An Inside Job》的文章，質疑此次“抵押XVS惡意借貸”導致的大規模清算事件為項目方“監守自盜”，呼吁幣安創始人CZ立即對Venus展開調查。

一直被黑，一直熱淚盈眶——Value DeFi

Value DeFi原來名稱是YFValue，在以太坊上部署，后來擴展到BSC上。據神魚表示，這個項目項目至少被黑了6次。網友調侃：“6次還沒搞掛，生命力頑強。”

5月5日和7日，Value兩次被攻擊，間隔時間僅1天。在這次攻擊事件中，有套利者趁機漁利。魚池創始人神魚表示，套利者用3000美金在BSC上買了37萬個Gvvalue-B跨到ETH解壓出40多萬個Value，然后提到火幣賣了 1000多萬人民幣。

事發后，Value DeFi發布gvValue-B補償計劃，將使用保險基金、多簽及團隊資金補償。連續攻擊導致Value元氣大傷，鎖倉從最高的約10億美元跌至2000萬美元。昨天，Value DeFi官方表示，針對vBSWAP和VALUE持有者的補償計劃已接近尾聲。

BSC在5月集中暴雷，引發各種猜測：是巧合還是必然？是監守自盜還是被黑客盯上？反觀以太坊，最近出事的defi項目挺少，并不多見。

對此，BSC社區知名KOL、土澳大獅兄創始人LEON告訴巴比特，以太坊上的項目該被攻擊的都被攻擊過了，上面最近也沒什么大項目。BSC還沒怎么被攻擊過，很多項目方警惕性也沒那么高，所以黑客注意力轉移過來了。

AmberGroup區塊鏈安全專家吳家志博士告訴巴比特，應該是有團隊盯上BSC了，上面的漏洞很多， BSC上面所有的東西和以太坊幾乎都是一樣的，都是基于solidity編程語言以及evm虛擬機。曾經在以太坊上犯過的錯誤，使用過的攻擊武器在BSC上都會出現。

5月2日，BSC發生第一起閃電貸攻擊，從此拉開了BSC閃電貸攻擊的序幕。

吳家志說，在此之前，可能技術團隊沒有嘗試或者不太知道怎么在BSC上發起閃電貸，有了這次經驗，在BSC發起閃電貸就容易多了。

此外，由于此前BSC上沒有跨鏈橋，資金是逃不出幣安的掌握，但是后面隨著anyswap、nerve提供去中心化的跨鏈服務，黑客可以把錢洗成ETH逃出BSC，幣安也沒辦法凍結。

在這次集中攻擊事件中，我們注意到，諸如merlinlab、AutoShark等pancakebunny的仿盤在pancakebunny被攻擊后同樣不能幸免，則間接說明了項目方只是fork了其他項目的代碼，對項目本身的邏輯并不能完全理解，因此無法逃脫被攻擊的命運。尤其是merlinlab一天被攻擊了兩次，更是值得深刻檢討。

一連串攻擊之后，受傷最重的無疑是那些深信價值幣的投資者，這些項目方的代幣在被攻擊后基本“歸零”，投資人損失慘重。這對在DeFi市場剛剛建立的價值評估體系打擊是災難性的，“挖提賣”似乎是唯一正確的途徑。

Tags：BSCUNNBUNNYBUNEBSCDino Runner Fan TokenCRAZYBUNNY價格BUND幣

Pol幣