比特幣:5個月，7次被盜，3500萬美金，DeFi為何成為黑客提款機？

今年以來，DeFi成為了區塊鏈的新風口，包括最高暴漲166倍的COMP在內的諸多DeFi項目，都出現了讓人拍斷大腿的行情，而DeFi鎖定的資金也穩步上漲到20.8億美金，成為了加密貨幣領域當之無愧的熱門話題。

然而這塊流淌著財富的去中心化金融熱土，也被黑客盯上了……

半年內被盜3500萬美金

1500美元左右的投入，90萬美元的收益。

在行情慘淡的當下，這樣亮眼的收益表現，任誰都羨慕。不過，并不是所有人都有這樣的實力和勇氣，因為完成這單生意的是一名黑客。

7月1日，DeFi平臺Uniswap上發生黑客攻擊事件。一名黑客僅用了0.9個ETH就盜走了91萬枚VETH，完成了上文所說的，低投資高回報的生意。

而就在事件發生的前兩天，另外一個DeFi平臺同樣也發生了黑客攻擊事件。

6月29日，一名黑客在Balancer上用dydx的閃電貸不斷交易通縮幣，利用系統的機制漏洞盜走了價值50萬美金的加密貨幣。

一波未平一波又起，讓人意想不到的是，在同一天內，黑客故技重施，攻擊Balancer部分流動性礦池中的COMP交易對，將價值10.8ETH的COMP盜走。

比特幣發送地址數量創5個月新低:金色財經報道，據Glassnode數據顯示，比特幣發送地址數量在過去一小時(7日均值)達到24,761.321個，創近5個月新低。

此前2022年12月27日該數值為24,813.851個。[2022/12/29 22:13:40]

短時間內，接連發生的黑客盜幣事件讓加密貨幣領域的不少投資者大跌眼鏡。

事實上，黑客攻擊在DeFi領域并不稀奇，DeepChain深鏈統計發現，在最近的5個月里一共發生了5起黑客攻擊事件。

詳情請看以下表格：

2020年被黑客盜幣的DeFi項目匯總

DeFi是一種基于開源協議的開放式金融協議，用區塊鏈技術和當前的加密貨幣金融體系整合，消除諸如銀行之類的第三方中介，讓用戶可以使用去中心化的金融服務來完成放貸、利用抵押套利等活動。

對于DeFi平臺和項目來說，最重要的問題就是確保安全性，這是其與傳統中心化金融競爭，獲取用戶，擴大影響力的基礎。畢竟每一個金融平臺或產品的用戶都不愿意看到財產受損，不論擺在面前的是DeFi還是CeFi。

隨著各種黑客盜取資金池事件的發生，可以看到的是用戶對DeFi項目安全性的質疑越來越多，畢竟被黑客光顧后，血本無歸是常態。

比特幣鏈上交易量創15個月新低:金色財經報道，據Glassnode數據顯示，比特幣鏈上交易量（變動調整后）在過去一小時（7日均值）達到15,808.778 BTC，創15個月新低。

此前，11月30日觀察到的15個月低點數值為15,817.017 BTC。[2022/12/4 21:20:33]

不可否認，DeFi是區塊鏈非常不錯的應用方向，資金和注意力也不斷向這個領域涌入，但也要承認的是，黑客一直在暗處潛伏，伺機而動。

DeFi被盜最大事件：dForce被盜2500萬美元

今年年初發生的幾起DeFi項目被盜事件只在小范圍內獲得了關注。直到dForce被盜2500萬美元爆出后,DeFi的安全性問題才引起了廣泛熱議。

畢竟，這是過往被盜事件中金額最大的一筆，另外，被盜資產后來成功追回的神反轉也讓這件事多了不少記憶點。

DeFi被黑客攻擊部分事件

4月19日8點45分，dForce生態系統中的借貸平臺Lendf.Me在區塊高度9899681處遭受黑客攻擊。

4月19日11點32分黑客將Lendf.Me的價值2500萬的加密貨幣的鎖倉洗劫一空。通過Defipulse.com可以清楚看到，只剩下6USD鎖倉和5.5USDC鎖倉，幾乎清零。

數據：持有100枚以上ETH的地址數量達到15個月高點:金色財經報道，據Glassnode數據，持有100枚以上ETH的地址數量達到15個月高點，數量為45,135。[2022/8/5 12:04:17]

Lendf.Me資金池被黑客洗劫一空

為了防止發生二次被盜，dForce官方在4月19日12點57分將Lendf.Me和USDx合約關閉。

此外，還第一時間聯系了各大交易所和錢包，凍結了黑客地址并加入監管，讓黑客難以套現。之后報警，并聯系星火、Imtoken和慢霧安全團隊開始找回資產。

4月20日，官方根據黑客攻擊以及后續留下的痕跡，根據多方對比找到了黑客的蛛絲馬跡。或許是迫于壓力，黑客慢慢地向項目方返還了所有資產。

雖然最終資金得以追回，但對于用戶來說，確實經歷了一次劫難。

另外，此次黑客事件對DeFi項目的聲譽影響很大，經歷過該事件的不少用戶對DeFi項目的信心都產生了動搖。

“以后再也不想把資金放在DeFi項目上了，不怕跑路但是怕黑客把本金直接盜走，還是放在余額寶比較安心。”

有用戶表示，自己在Lendf.Me上面存了2000USDT，本以為找到了既安全穩妥，收益又比銀行更高的理財方式，沒想到竟然發生了黑客盜幣事件，雖然最后錢回來了，但想想還是后怕。

比特幣隱含波動率和實際波動率達近15個月新低:根據skew數據顯示，比特幣隱含波動率和實際波動率達近15個月新低。目前，Deribit未平倉期權合約名義價值8.08億美元，CME未平倉期權合約名義價值1.51億美元，OKEx未平倉期權合約名義價值4800萬美元。[2020/7/6]

某Lendf.Me大戶也在被盜之后表示：不確定性是這個世界的本質，世界上不存在“無風險收益”，投資需要遵守“分散原則”，此次損失雖大，但是對總體金額來說，占比不大。個人會繼續參與DeFi的投資和建設，以調整之后的風險意識參與。

為什么DeFi項目容易被黑客盯上？

面對頻頻發生的黑客事件，可能很多人會問一句：Why？

目前DeFi項目被黑客盯上主要有以下兩個原因：第一，資金池大，用戶少，項目問題難以被發現；第二，項目不成熟，漏洞多，黑客試錯成本低。

DeFi項目的鎖定資金池狀況

從2019年開始，DeFi的資金規模和使用的人數就不斷穩步上升。目前DeFi鎖倉資金池的前三名分別是Compound、Maker和Sythetix。原本長期高居第一的Maker鎖倉的資金池被后續利用COMP作為激勵的Compound快速超越。

英國男子上周因欺詐罪被判處15個月的監禁 這是英國首次罰沒比特幣的案件:據theinquirer的報道，23歲的英國小伙Gabriele Pearson上周因欺詐罪被判處15個月的監禁，這是英國首次罰沒比特幣的案件。Pearson在一家外包工作，利用職務之便盜取Paypal憑證，通過網絡游戲洗錢后，將贓款投資到比特幣上，追查他的電腦與網絡搜索歷史后發現了投資在數字貨幣上的贓款并沒收充公。[2018/4/5]

雖然這些資金池的資金穩步上漲，但背后卻存在著問題。

DeFi項目的日活狀況

通過上圖可以看到，單個DeFi項目的最高日活也才1653人。而這1653人還可能包含一人多號的情況，所以真實的數據會再打一些折扣。也就是說，使用DeFi的用戶很少。

這一方面是因為DeFi的使用門檻較高，對于新用戶來說不夠友好；另一方面是因為市場中并沒有那么多真實的借貸需求。

所以，在一些人看來，DeFi更像是為大戶量身定做的套利工具，大量的鎖倉資金也都是大戶的生財的本金。

這就在事實上導致了上面所說的問題，資金池大，參與人數少，很多潛在的風險與漏洞難以在使用中被人發現和察覺。

DeFi項目被黑客盯上的另外一個原因是：項目處于發展的早期，漏洞多，黑客試錯成本過低。

短時間出現的這么多起盜幣事件，其實已經給了我們提示，目前的DeFi項目還不夠成熟，存在不少機制漏洞和系統風險，而黑客可以憑借極低的成本完成攻擊和盜幣。

拿閃電貸來說，它的出現給黑客提供了0成本試錯的機會，可以不斷地去嘗試攻擊DeFi項目尋找漏洞。只要找到了機會就可以空手套白狼，盜走資金。

對于黑客來說，還有另一種更高級的攻擊手法，單個DeFi項目沒有問題，但是可以將DeFi協議組合使用攻擊DeFi項目，套出資產。

bZx第一次攻擊方式

bZx第二次攻擊方式

比如在今年2月15日的bZx的兩次攻擊事件中，第一次攻擊使用了5個DeFi協議，第二次攻擊使用了4個DeFi協議。兩次攻擊都是在一個15秒的以太坊區塊中完成，兩次攻擊耗費118.21美元的手續費，共獲利價值92萬美金的以太坊。

無需編程的閃電貸操作界面

近期，在一場黑客馬拉松中又推出了不需要編程的閃電貸，這也給了DeFi項目帶來了更多的挑戰。

對于黑客來說，成功也許不需要10年，DeFi項目漏洞找對了，就是一瞬間。

如何面對不安全的DeFi？

DeFi可能是未來的發展趨勢，也是可能出現大規模落地應用的一個方向，不能因為黑客的攻擊就徹底否認了這個方向。

不過，在給DeFi項目成長時間和空間的同時，也要做到防患于未然。

對于項目方而言，需要更加謹慎地進行系統與機制設計，以及準備好風險應對的措施與手段。

對于小散戶來說，目前DeFi參與的門檻高、手續費貴，如果厭惡風險，或許等到底層技術完善，DeFi發展成熟后再參與也是不錯的選擇。

對于大戶來說，要抵御DeFi項目的風險，可以將資金分散于不同的項目，也可以購買相關的保險。

DeFi的崛起也帶動了一些衍生品的出現，比如出現了DeFi相關的保險。當資金被黑客盜取時，可以獲得保險賠付，將風險降到最低。

風險和收益往往是相伴的，如果能夠在高收益的同時又降低風險和門檻的話，那么DeFi將會吸引更多的用戶參與，實現其真正的價值。

但在此之前，DeFi還有很長的路要走，還有很多的黑客攻擊與風險需要應對。

參考資料：

《TheUltimateGuidetoProtectingYourselfintheCryptoSpace》

《ArbsExploitDeFitoMake$900kinSeconds;ProvokeSoul-SearchingintheProcess》

dForce官方文章《黑客攻擊事件還原》

Tags：EFIDEFDEFI比特幣PeakDeFiDEFCDefi Factory玩比特幣的人是傻子嗎

FIL幣