撰文:EkinGen?&StephenGraves
編譯:南風
去中心化金融(DeFi)是旨在將中間商從借貸、儲蓄和兌換等金融產品和服務中剔除的區塊鏈應用程序。雖然DeFi有著高回報,但也伴隨著很多風險。
由于幾乎任何人都可以啟動一個DeFi協議并編寫一些智能合約,因此代碼中的漏洞是很常見的。在DeFi領域,有許多不擇手段的人準備并有能力利用這些漏洞。當這種情況發生時,數百萬美元的資金就會處于危險中,而用戶往往沒有追索權。
根據Elliptic去年11月的一份報告,DeFi用戶在2021年因被盜而損失了105億美元。但是,正如我們將在下文中列出的一些最大的DeFi漏洞攻擊所顯示的那樣,這個數字已經增長了數百萬。(以下所有數字均為攻擊事件發生時的資金價值。)
13.GrimFinance:3000萬美元
通常,Dapps(去中心化應用)從它們所構建的區塊鏈中獲得主題靈感。因此,Avalanche(雪崩)區塊鏈的生態系統充滿了以「雪」為主題的應用,比如Snowtrace、Blizz和Defrost。與此同時,Fantom區塊鏈的生態系統就像是一個鏈上的萬圣節派對。當出現問題時,這就增加了一層更加黑暗的色彩,比如Fantom鏈上的收益率優化協議GrimFinance發生的情況。
2021年12月,GrimFinance協議遭受了一次重入攻擊(reentrancyattack),這是一種攻擊者在前一筆交易尚未結算時偽造額外的存款存入金庫(vault)中的漏洞利用。最終,此次攻擊導致了價值3000萬美元的Fantom代幣被盜。
Mobius Finance推出2021年以太坊歷程回顧得分活動:1月1日,據官方消息,去中心化多資產協議MobiusFinance宣布推出2021年以太坊歷程回顧得分活動,分數最高的前5名用戶每人將獲得200美元作為獎勵。用戶可在指定頁面輸入錢包地址,生成報告后下載并轉發即可參與。
據悉,目前以太坊創始人Vitalik Buterin和FTX創始人兼CEOSBF均為84分,三箭資本CEOSuZhu獲得88分。此前報道,2021年11月,MobiusFinance正式上線Polygon主網。[2022/1/1 8:18:19]
DeFi協議通常使用重入防護(reentrancyguards),也即防止此類攻擊的代碼片段。區塊鏈安全審計公司SolidityFinance發布的GrimFinance審計報告錯誤地指出,該協議已經使用了重入防護。這提醒我們審計并不能保證漏洞不會發生。
12.MeerkatFinance:3100萬美元
有時候,一個DeFi協議不需要很長時間就會遭受第一次攻擊。基于BSC(幣安智能鏈)的借貸協議MeerkatFinance在2021年3月上線后僅一天就損失了3100萬美元的用戶資金。
攻擊者在該合約中調用了一個函數,使該攻擊者的地址成為了其金庫合約的所有者,抽走了該項目中價值1396萬美元的幣安穩定幣BUSD,以及另外73000BNB(幣安的原生代幣),這些被盜的BNB當時的價值約為1740萬美元。
許多用戶認為這是一場內部作案:該協議開發人員實施了一場RugPull(卷款跑路)。Meerkat否認了這些指控。
Compound創始人發推回顧項目歷史,成功并非一朝一夕:Compound創始人Leshner發推回顧了Compound發展歷史,并表示Compound的成功并非一朝一夕,成功也靠站在巨人的肩膀之上。以下為Leshner提及的Compound發展歷史:
2017年,Compound是一個去中心化貨幣市場,這得益于以太坊基金會、Consensys等將以太坊構建為一個完整的生態系統,使得其上智能合約的部署成為可能。
2018年9月,Compound v1上線,主要做了這些初始工作:實現池子流動性(而非通過訂單簿);基于供需實現算法利率;利率指數(用于為不限量的用戶調整持幣余額)。
Compound v2中,引入了cToken概念,這是一種代幣化余額,該想法的靈感來自于和@delitzer的對話,@delitzer一直在探究DeFi的可組合性。
Compound治理系統基于協議和社區決策,MakerDAO系統的首個可行治理方案為Compound提供了借鑒。
COMP代幣整合了投票委托功能,靈感來自Tezos。
COMP代幣分發是將項目主要價值給到用戶和協議參與者的一次實驗,靈感來自Synthetix在DeFi激勵機制中的設計,以及中本聰的比特幣白皮書。[2020/6/20]
11.VeeFinance:3500萬美元
2021年夏天,Avalanche鏈上的活動激增,這也吸引了那些渴望攻擊該區塊鏈網絡新興生態系統的人。
2021年9月,借貸平臺VeeFinance剛剛慶祝了其TVL(總鎖倉量)達到3億美元的里程碑,而一周后,該協議遭遇了Avalanche網絡上最大的一場漏洞攻擊。
夜間信息回顧 | 三星證實Galaxy S10內置加密私鑰安全存儲功能:1.加密社區對彭博社有關比特幣價格飆升的觀點表示質疑
2.比特幣期貨收于3900美元上方
3.亞馬遜開發可在60秒內創建區塊鏈網絡的工具
4.FBI向BitConnect受害者征集信息
5.Facebook首席執行官:考慮將區塊鏈技術用于身份驗證
6.三星證實Galaxy S10內置加密私鑰安全存儲功能
7.加密貨幣總交易量達到300天高點
8.日本加密貨幣業界公開資產余額,賬戶數明顯下降
9.凌晨以來BTC出現超10筆大額轉賬[2019/2/21]
此次攻擊的發生,主要是因為VeeFinance的杠桿交易功能依賴于Avalanche上的主要流動性協議Pangolin提供的代幣價格。為了利用這一點,攻擊者在Pangolin上創建了7個交易對,提供流動性,最后在VeeFinance上進行杠桿交易。這使得該攻擊者得以從VeeFinance協議中抽走價值3500萬美元的加密貨幣。
在一條發給「親愛的0x**95BA先生/女士」的推文中(見下圖),VeeFinance協議要求該攻擊者返還這筆資金,且作為該協議賞金計劃的一部分,讓攻擊者保留一部分資金。但該攻擊者并沒有返還這筆資金的意愿。
10.PancakeBunny:4500萬美元
Crypto領域通常會經歷短暫但強烈的趨勢。2021年春季,幣安智能鏈(BSC)(現已更名為BNB鏈)有著最熱門的DeFi趨勢,特別是對散戶用戶,因為該鏈的網絡費用較低。
但BSC鏈上也發生了許多騙局和黑客攻擊,其中最大的一次是2021年5月的一次攻擊,受攻擊的是收益耕作協議PancakeBunny。
夜間回顧 | 歐亞經濟聯盟編制加密貨幣報告以促進監管:1.Ripple向Bitstamp和不知名錢包轉移價值2.5億美元XRP
2.已有23家交易所、金融機構等使用Liquid Network
3.李啟威:將添加機密交易使萊特幣更具可替代性
4.Lux Vending已在芝加哥部署30臺加密貨幣ATM
5.Ripple集體訴訟案定于2月13日進行口頭辯論
6.英偉達下調2019財年Q4收入預估,因挖礦收入下降等
7.立高控股擬建立合營企業發展區塊鏈等技術
8.格魯吉亞人正出售舊車以挖掘比特幣
9.奧地利首都為公民開發獎勵代幣
10.歐亞經濟聯盟編制加密貨幣報告以促進監管
11.兩個可能仍活躍的黑客組織共竊取了10億美元加密貨幣
12.委內瑞拉比特幣交易量創歷史新高[2019/1/29]
一名黑客通過8次閃電貸攻擊操縱了PancakeBunny的定價算法,抬高了協議原生代幣BUNNY的價格。該黑客先以市場價格低價買入BUNNY,然后在人為抬高其價格之后高價賣出,盈利4500萬美元。
9.bZx:5500萬美元
2021年11月,多鏈借貸協議bZx在「私鑰」被泄露后遭到黑客攻擊。該協議在BSC和Polygon鏈上總共損失了5500萬美元。
但bZx此前已經經歷過兩次類似的痛苦。
雖然閃電貸攻擊是目前DeFi領域常見的攻擊策略,但bZx在這方面是一個「OG」(元老級項目)。2020年2月,該協議成為閃電貸攻擊的目標,攻擊目標是其保證金交易平臺Fulcrum。這名黑客盜走了1300wETH,當時價值36.6萬美元。
精選 | 九月區塊鏈熱點事件回顧:1.BCH進行網絡壓力測試。
2.首張區塊鏈版權登記證書發布。
3.“粵港澳大灣區貿易金融區塊鏈平臺”9月4日在深圳試運行。
4.馬來西亞證券委員會勒令LVC停止加密貨幣推廣活動。
5.EOS黑客馬拉松倫敦站的挑戰題目。
6.烏克蘭議會擬對其居民征收5%的加密貨幣所得稅。
7.谷歌將解禁加密貨幣廣告。
8.比特大陸在港交所披露招股說明書,上半年凈利潤7.43億美元?。
9.火幣全球運營中心落地海南。
10.“中國區塊鏈+產業聯盟”在海口成立。[2018/9/30]
在2020年9月的另一次攻擊中,bZx損失了鎖定在其金庫的30%的資金,當時價值800萬美元。不過,持有未平倉保證金頭寸的用戶并沒有遭受損失,因為正如該協議后來在一份報告中所說,這些資金是從bZx的保險基金中取出的。
8.BadgerDAO:1.2億美元
智能合約漏洞并不總是會導致一個DeFi項目僅僅損失數百萬美元。
2021年12月,將比特幣帶至DeFi的網橋BadgerDAO遭受了1.2億美元的損失,攻擊者通過在用戶界面植入惡意錢包請求,誘導BadgerDAO用戶為惡意地址批準代幣使用權限,從而使攻擊者控制用戶的金庫資金并轉移資金。此次攻擊造成的損失達1.203億美元,包括約2,100BTC和151ETH。
區塊鏈安全公司PeckShield表示,該協議的合約是安全的,只有用戶界面受到了影響。
7.CreamFinance:1.3億美元
DeFi借貸協議CreamFinance在2021年10月的一次閃電貸攻擊中損失了1.3億美元,這是該協議遭受的第三次攻擊。
閃電貸(flashloans)允許你獲得即時貸款,前提是你必須在同一筆交易中償還這筆貸款。雖然閃電貸對于套利很有用,但它被惡意行為者廣泛使用,以利用DeFi協議中的漏洞。在CreamFinance的案例中,閃電貸攻擊者得以利用定價漏洞,通過不同的以太坊地址反復獲取閃電貸。
CreamFinance在此之前也經歷過閃電貸攻擊。2021年8月,一名黑客在另一次閃電貸攻擊中從CreamFinance竊取了大約2500萬美元,主要針對FlexaNetwork的原生代幣AMP。在2021年2月的一次閃電貸攻擊中,黑客從CreamFinance協議池中竊取了3750萬美元。
6.VulcanForged:1.4億美元
「邊玩邊賺」(P2E)是Crypto領域的最新趨勢之一,但它并沒有擺脫老式的騙局和陷阱——尤其是那些利用中心化功能的騙局和陷阱。VulcanForged是Polygon上的一個P2E平臺,在2021年12月,其用戶損失了1.4億美元,這是一個慘痛的教訓。
根據一份事后調查報告,一名黑客獲得了該平臺的中心化用戶錢包Venly的憑證,從而獲得了96個加密錢包的私鑰。之后,該黑客利用它獲得了該平臺的資產組合功能MyForge中的私鑰,最終盜走了其用戶450萬VulcanForged原生代幣PYR。
VulcanForged首席執行官JamieThomson在向社區發表的講話中表示:「當然,未來我們將只使用去中心化的錢包,這樣我們就永遠不會再遇到這個問題。」
5.Compound:1.5億美元
與大多數DeFi協議一樣,借貸協議Compound有一個治理代幣COMP,該協議在特定條件下向用戶分發該代幣。
2021年10月,有消息稱Compound有一個漏洞,即允許借款者(borrowers)索要超出其預期的COMP份額,這個漏洞涉及到Compound的兩個金庫(資金池)。用戶可以在Reservoir金庫上調用一個特定的函數drip(),觸發了價值8000萬美元的COMP被發送到另一個金庫Comptroller。該金庫會自動將大量COMP代幣分發到錯誤的地址中。這個「漏水的水龍頭」是由之前的一次協議更新中引入的錯誤造成的。
在價值8000萬美元的COMP被發送給錯誤的地址之后,該團隊匆忙修補了一個補丁。但是在實施任何修復之前,該協議要求通過一項治理提案。該提案創建于10月2日,最終在10月9日被接受。而在社區爭論的同時,這兩個金庫又損失了6880萬美元。
Compound的創始人RobertLeshner是如何試圖把錢拿回來的?他在推特上呼吁「將COMP退還給社區。」之后,幾乎一半的資金被退回。
4.Beanstalk:1.82億美元
閃電貸,如此有用卻又如此危險!就在慶祝獲得1.5億美元TVL之后兩天,基于以太坊的穩定幣協議Beanstalk發現1.82億美元在一次閃電貸攻擊中失蹤。該攻擊者成功地通過TornadoCash將價值8000萬美元的ETH進行清洗。Beanstalk以其算法穩定幣BEAN而聞名,該穩定幣的價值應該是錨定1美元。雖然該穩定幣在此次攻擊發生不久之后設法保持了其錨定,但此次攻擊事件表明,算法穩定幣的穩定性取決于支撐它們的合約。
3.Wormhole:3.26億美元
隨著越來越多的L1(第一層)區塊鏈上構建DeFi,用戶在L1鏈之間轉移資金的愿望越來越大。「跨鏈橋」解決了這一需求,但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在2022年1月,當時受歡迎的跨鏈橋Wormhole(連接Solana和以太坊)發生黑客攻擊事件,損失了3.2億美元的wETH。wETH是一種與以太坊價格1:1掛鉤的加密貨幣。
用戶在使用Wormhole跨鏈橋時,必須首先將ETH鎖定在一個智能合約中,以獲得等量的wETH。該黑客設法找到了一個繞過這個的方法,在沒有在Wormhole合約中鎖定ETH的情況下鑄造了WETH。
JumpTradingGroup是Wormhole開發的利益相關者之一,該團隊主動補充了Wormhole丟失的ETH。短短一天后,Wormhole橋重新上線。
2.Ronin跨鏈橋:5.52億美元
基于NFT的游戲AxieInfinity是去年最成功的加密游戲之一。2022年3月23日,它成為了加密貨幣領域最大黑客攻擊之一的受害者,攻擊者使用「被盜取的私鑰」將大約有價值5.52億美元的加密貨幣從Ronin跨鏈橋盜走。
一周后,當AxieInfinity的開發商SkyMavis披露該漏洞時,被竊取的資金價值已上升至6.22億美元。
根據SkyMavis的一份報告,攻擊者「通過我們gas-free的RPC節點找到了一個后門,然后濫用這個后門來獲得AxieDAO驗證器的簽名。」
Ronin側鏈由9個驗證者節點保護,為了識別Deposit(存款)事件或Withdraw(取款)事件,需要這9個驗證器節點中的5個進行簽名。3月23日,攻擊者成功地控制了其中的5個節點(包括SkyMavis自己運行的4個節點以及1個由AxieDAO運行的節點),這5個驗證者的私鑰被盜。這讓攻擊者得以偽造交易,并取走173,600wETH和2550萬USDC,總計約6.22億美元。
「這是歷史上規模最大的黑客事件之一,」AxieInfinity聯合創始人JeffZirlin指出,「(黑客)有可能被發現,并被繩之以法。」
1.PolyNetwork:6.11億美元
PolyNetwork的黑客攻擊仍然是加密領域最大的攻擊事件。幸運的是,這個始于2021年8月10日的傳奇事件在經歷了一系列奇怪的轉折后,在三天之后以美滿的結局結束了。
這場盜竊始于攻擊者利用PolyNetwork「合同調用」的一個漏洞。該黑客迅速盜取了價值6.11億美元的各種加密貨幣,導致PolyNetwork發布了一封絕望的信,并附上了「親愛的黑客」的稱呼。
這種溝通嘗試,以及隨后的努力,最終發揮了作用。該協議提供了50萬美元的賞金,并為這名黑客提供了成為其首席安全顧問的機會。但在一次鏈上問答環節中,該攻擊者解釋說,此次攻擊只是為了給PolyNetwork一個教訓。該攻擊者說,將資金歸還是其「一直以來的計劃」。
加密貨幣安全公司SlowMist表示,已識別出該攻擊者的IP和電子郵件信息,且這場攻擊「可能是一次長期計劃、有組織和有準備的攻擊」。
「現在每個人都聞到了陰謀的味道。」這名黑客說道。他否認自己是內鬼。「但誰知道呢?」
市場消息 美股漲跌互現Netflix市值一夜蒸發500億特斯拉Q1營收猛增81%昨日美股漲跌互現.
1900/1/1 0:00:00Gate.ioDailyHODL&EarnBTC#391willlaunchat4:00UTConApr20atGate.io''s“HODL&Earn”.
1900/1/1 0:00:00尊敬的XT.COM用戶:應項目方要求,XT.COM現已恢復METAP/USDT交易。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:004月22日,GameSpace的首席執行官兼聯合創始人MichaelCameron最近宣布,它已經發布了第一個GaaS“GameFi即服務”平臺.
1900/1/1 0:00:00親愛的PEARCOIN用戶:PEARCOIN已經于2022年4月21日18:10完成了錢包升級,并恢復充提幣功能.
1900/1/1 0:00:00關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00