FIN:細數 DeFi 史上最大的 13 次黑客攻擊事件_digifinex交易所

有很多資金流入了 DeFi。但由于黑客攻擊和漏洞利用，有時也會有大量資金流出。

去中心化金融 (DeFi) 是旨在將中間商從借貸、儲蓄和兌換等金融產品和服務中剔除的區塊鏈應用程序。雖然 DeFi 有著高回報，但也伴隨著很多風險。

由于幾乎任何人都可以啟動一個DeFi 協議并編寫一些智能合約，因此代碼中的漏洞是很常見的。在 DeFi 領域，有許多不擇手段的人準備并有能力利用這些漏洞。當這種情況發生時，數百萬美元的資金就會處于危險中，而用戶往往沒有追索權。

根據 Elliptic 去年 11 月的一份報告，DeFi 用戶在 2021 年因被盜而損失了 105 億美元。但是，正如我們將在下文中列出的一些最大的 DeFi 漏洞攻擊所顯示的那樣，這個數字已經增長了數百萬。(以下所有數字均為攻擊事件發生時的資金價值。)

通常，Dapps (去中心化應用) 從它們所構建的區塊鏈中獲得主題靈感。因此，Avalanche (雪崩) 區塊鏈的生態系統充滿了以「雪」為主題的應用，比如 Snowtrace、Blizz 和 Defrost。與此同時，Fantom 區塊鏈的生態系統就像是一個鏈上的萬圣節派對。當出現問題時，這就增加了一層更加黑暗的色彩，比如 Fantom 鏈上的收益率優化協議 Grim Finance 發生的情況。

2021 年 12 月，Grim Finance 協議遭受了一次重入攻擊 (reentrancy attack)，這是一種攻擊者在前一筆交易尚未結算時偽造額外的存款存入金庫 (vault) 中的漏洞利用。最終，此次攻擊導致了價值 3000 萬美元的 Fantom 代幣被盜。

DeFi 協議通常使用重入防護 (reentrancy guards)，也即防止此類攻擊的代碼片段。區塊鏈安全審計公司Solidity Finance 發布的 Grim Finance 審計報告錯誤地指出，該協議已經使用了重入防護。這提醒我們審計并不能保證漏洞不會發生。

21e6 Capital：一些基金可能很快會向加密貨幣領域注入更多現金:金色財經報道，據瑞士投資顧問21e6 Capital AG的數據，2023年上半年加密貨幣基金的平均回報率為15.2%，但BTC的漲幅約為 84%，買入并持有比特幣方法在2023年上半年的表現高于大多數加密貨幣基金68.8%。在報告中，21e6 Capital AG的營銷主管Maximilian Bruckner表示，加密基金在之前的牛市中經常能夠顯著優于比特幣。

Bruckner將2023年加密貨幣基金表現不佳的大部分原因歸咎于充滿挑戰的市場條件以及 2022 年底他們手頭有大量現金。該報告表明，在 2022 年FTX 和其他加密項目崩潰之后許多加密基金選擇規避風險并開發現金緩沖，因此錯過了 2023 年上半年 BTC 價格的大幅上漲。

此外，該報告強調，投資者情緒較2023年上半年略有改善，這表明一些基金可能很快就會開始向加密貨幣領域注入更多現金。[2023/8/5 16:20:33]

12. Meerkat Finance：3100 萬美元

有時候，一個 DeFi 協議不需要很長時間就會遭受第一次攻擊。基于 BSC (幣安智能鏈) 的借貸協議 Meerkat Finance 在 2021 年 3 月上線后僅一天就損失了 3100 萬美元的用戶資金。

攻擊者在該合約中調用了一個函數，使該攻擊者的地址成為了其金庫合約的所有者，抽走了該項目中價值 1396 萬美元的幣安穩定幣 BUSD，以及另外 73000 BNB (幣安的原生代幣)，這些被盜的 BNB 當時的價值約為 1740 萬美元。

許多用戶認為這是一場內部作案：該協議開發人員實施了一場 Rug Pull (卷款跑路)。Meerkat 否認了這些指控。

數據：約42%的DAI初始用例用于去中心化交易所:金色財經報道，MakerDAO發文表示，截至今天，DAI初始用例的41.8%用于去中心化交易所，其次是銷毀（22.9%）、國債（11.2%）、個人地址持有量（7.8%）和借貸（7.4%）。[2023/6/10 21:27:25]

2021 年夏天，Avalanche 鏈上的活動激增，這也吸引了那些渴望攻擊該區塊鏈網絡新興生態系統的人。

2021 年 9 月，借貸平臺 Vee Finance 剛剛慶祝了其 TVL (總鎖倉量) 達到 3 億美元的里程碑，而一周后，該協議遭遇了 Avalanche 網絡上最大的一場漏洞攻擊。

此次攻擊的發生，主要是因為 Vee Finance 的杠桿交易功能依賴于 Avalanche 上的主要流動性協議 Pangolin 提供的代幣價格。為了利用這一點，攻擊者在 Pangolin 上創建了 7 個交易對，提供流動性，最后在 Vee Finance 上進行杠桿交易。這使得該攻擊者得以從 Vee Finance 協議中抽走價值 3500 萬美元的加密貨幣。

在一條發給“親愛的0x**95BA先生/女士”的推文中 (見下圖)，Vee Finance 協議要求該攻擊者返還這筆資金，且作為該協議賞金計劃的一部分，讓攻擊者保留一部分資金。但該攻擊者并沒有返還這筆資金的意愿。

Crypto 領域通常會經歷短暫但強烈的趨勢。2021 年春季，幣安智能鏈 (BSC) (現已更名為 BNB 鏈) 有著最熱門的 DeFi 趨勢，特別是對散戶用戶，因為該鏈的網絡費用較低。

但 BSC 鏈上也發生了許多騙局和黑客攻擊，其中最大的一次是 2021 年 5 月的一次攻擊，受攻擊的是收益耕作協議 PancakeBunny。

何一：幣安未來會把大部分的加密貨幣進行公開儲備證明:1月10日消息，Binance聯合創始人兼CMO、Binance Labs負責人何一在“POW'ER2023香港Web3創新者峰會”上時表示，幣安未來會把大部分的加密貨幣進行公開儲備證明，加密資產儲備審計和上市財務審計不是一回事，上市財務審計是另外一個概念，目前行業只有 Coinbase 這家上市公司進行了上市財務審計。此外，四大會計師事務所目前不太有積極性去做加密資產審計，幣安也希望有審計公司愿意進行審計。[2023/1/10 11:04:12]

一名黑客通過 8 次閃電貸攻擊操縱了 PancakeBunny 的定價算法，抬高了協議原生代幣 BUNNY 的價格。該黑客先以市場價格低價買入 BUNNY，然后在人為抬高其價格之后高價賣出，盈利 4500 萬美元。

2021 年 11 月，多鏈借貸協議 bZx 在“私鑰”被泄露后遭到黑客攻擊。該協議在 BSC 和 Polygon 鏈上總共損失了 5500 萬美元。

但 bZx 此前已經經歷過兩次類似的痛苦。

雖然閃電貸攻擊是目前 DeFi 領域常見的攻擊策略，但 bZx 在這方面是一個“OG” (元老級項目)。2020 年 2 月，該協議成為閃電貸攻擊的目標，攻擊目標是其保證金交易平臺 Fulcrum。這名黑客盜走了 1300 wETH，當時價值 36.6 萬美元。

在 2020 年 9 月的另一次攻擊中，bZx 損失了鎖定在其金庫的 30% 的資金，當時價值 800 萬美元。不過，持有未平倉保證金頭寸的用戶并沒有遭受損失，因為正如該協議后來在一份報告中所說，這些資金是從 bZx 的保險基金中取出的。

IMF：實現有效的加密貨幣監管，需要全面、一致和協調的全球標準:金色財經報道，國際國幣基金組織（IMF）發布穩定幣報告。報告稱，作為一種潛在的價值儲存和對沖通貨膨脹和匯率波動的手段，以美元計價的穩定幣在新興市場和發展中經濟體中越來越受歡迎。匯率波動，提高了美元化和加密貨幣化的風險。大型金融機構在儲備金管理、托管和其他領域的參與儲備管理、保管和發行等領域，有可能迅速產生新的風險。此外，穩定幣和股票市場之間已經觀察到較高的波動相關性。特別是在最近的市場壓力時期。如果沒有適當的監管，傳統金融和加密貨幣生態系統之間的傳染風險將會增加。

要實現有效的加密貨幣監管，需要全面、一致和協調的全球標準，尤其是加密貨幣的監管和監督，特別是對穩定幣及其更廣泛的生態系統。雖然具體部門的全球標準是有用的，但跨部門的協調對于實現有效的加密貨幣生態系統的監管框架至關重要。監管框架，特別是穩定幣。金融穩定委員會

(FSB)完全可以在協調和建立全球標準方面發揮主導作用，以支持各國對加密貨幣資產的監管，包括對穩定幣的監管。[2022/9/27 22:33:32]

智能合約漏洞并不總是會導致一個 DeFi 項目僅僅損失數百萬美元。

2021 年 12 月，將比特幣帶至 DeFi 的網橋 Badger DAO 遭受了 1.2 億美元的損失，攻擊者通過在用戶界面植入惡意錢包請求，誘導 Badger DAO 用戶為惡意地址批準代幣使用權限，從而使攻擊者控制用戶的金庫資金并轉移資金。此次攻擊造成的損失達 1.203 億美元，包括約 2,100 BTC 和 151 ETH。

區塊鏈安全公司 PeckShield 表示，該協議的合約是安全的，只有用戶界面受到了影響。

DeFi 借貸協議 Cream Finance 在 2021 年 10 月的一次閃電貸攻擊中損失了 1.3 億美元，這是該協議遭受的第三次攻擊。

日本民主黨黨首提議修改加密稅制以推進Web3發展:5月22日消息，日本民主黨黨首玉木雄一郎近日提議修改針對加密貨幣的稅收制度，以此推進Web3發展。根據其提議，可以通過以下兩點來防止人才和企業流向海外，1.對加密貨幣實行20%的“申告分離課稅”；2.法人持有的代幣不作為期末時價評估的對象。

據悉，日本的加密貨幣稅制一直被詬病“會導致人才外流”。而歷任外務大臣和防衛大臣等職務的河野太郎也表示，為了應對Web3趨勢，“自民黨內已經開始討論稅制改革”。

此前5月10日消息，日本首相岸田文雄（Fumio Kishida）表示，與Web3相關的增長，包括與元宇宙和NFT相關的開發將成為日本未來戰略增長的一部分，并呼吁英國商界領袖支持其項目。他表示，日本政府將進行“體制改革”，以創造環境促進新服務的創建（包括與Web3相關的基礎設施），并將投資引入到科技和創新以及創企投資和數字領域。“我們將專注于區塊鏈、NFT和元宇宙等Web3的推廣。我們將實現一個可以輕松創建新服務的社會。”（Coin Post）[2022/5/22 3:33:06]

閃電貸 (flash loans) 允許你獲得即時貸款，前提是你必須在同一筆交易中償還這筆貸款。雖然閃電貸對于套利很有用，但它被惡意行為者廣泛使用，以利用 DeFi 協議中的漏洞。在 Cream Finance 的案例中，閃電貸攻擊者得以利用定價漏洞，通過不同的以太坊地址反復獲取閃電貸。

Cream Finance 在此之前也經歷過閃電貸攻擊。2021 年 8 月，一名黑客在另一次閃電貸攻擊中從 Cream Finance 竊取了大約 2500 萬美元，主要針對 Flexa Network 的原生代幣 AMP。在 2021 年 2 月的一次閃電貸攻擊中，黑客從 Cream Finance 協議池中竊取了 3750 萬美元。

「邊玩邊賺」(P2E) 是 Crypto 領域的最新趨勢之一，但它并沒有擺脫老式的騙局和陷阱——尤其是那些利用中心化功能的騙局和陷阱。Vulcan Forged 是 Polygon 上的一個 P2E 平臺，在 2021 年 12 月，其用戶損失了 1.4 億美元，這是一個慘痛的教訓。

根據一份事后調查報告，一名黑客獲得了該平臺的中心化用戶錢包 Venly的憑證，從而獲得了 96 個加密錢包的私鑰。之后，該黑客利用它獲得了該平臺的資產組合功能 MyForge 中的私鑰，最終盜走了其用戶 450 萬 Vulcan Forged 原生代幣 PYR。

Vulcan Forged 首席執行官 Jamie Thomson 在向社區發表的講話中表示：“當然，未來我們將只使用去中心化的錢包，這樣我們就永遠不會再遇到這個問題。”

與大多數 DeFi 協議一樣，借貸協議 Compound 有一個治理代幣 COMP，該協議在特定條件下向用戶分發該代幣。

2021 年 10 月，有消息稱 Compound 有一個漏洞，即允許借款者 (borrowers) 索要超出其預期的 COMP 份額，這個漏洞涉及到 Compound 的兩個金庫 (資金池)。用戶可以在 Reservoir 金庫上調用一個特定的函數 drip()，觸發了價值 8000 萬美元的 COMP被發送到另一個金庫 Comptroller。該金庫會自動將大量 COMP 代幣分發到錯誤的地址中。這個“漏水的水龍頭”是由之前的一次協議更新中引入的錯誤造成的。

在價值 8000 萬美元的 COMP 被發送給錯誤的地址之后，該團隊匆忙修補了一個補丁。但是在實施任何修復之前，該協議要求通過一項治理提案。該提案創建于10月2日，最終在10月9日被接受。而在社區爭論的同時，這兩個金庫又損失了 6880 萬美元。

Compound 的創始人 Robert Leshner 是如何試圖把錢拿回來的？他在推特上呼吁“將 COMP 退還給社區。”之后，幾乎一半的資金被退回。

閃電貸，如此有用卻又如此危險！就在慶祝獲得 1.5 億美元 TVL 之后兩天，基于以太坊的穩定幣協議 Beanstalk 發現 1.82 億美元在一次閃電貸攻擊中失蹤。該攻擊者成功地通過 Tornado Cash 將價值 8000 萬美元的 ETH 進行清洗。Beanstalk 以其算法穩定幣 BEAN 而聞名，該穩定幣的價值應該是錨定 1 美元。雖然該穩定幣在此次攻擊發生不久之后設法保持了其錨定，但此次攻擊事件表明，算法穩定幣的穩定性取決于支撐它們的合約。

3. Wormhole：3.26 億美元

隨著越來越多的 L1 (第一層) 區塊鏈上構建 DeFi，用戶在 L1 鏈之間轉移資金的愿望越來越大。「跨鏈橋」解決了這一需求，但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在 2022 年 1 月，當時受歡迎的跨鏈橋 Wormhole (連接 Solana 和以太坊) 發生黑客攻擊事件，損失了 3.2 億美元的 wETH。wETH 是一種與以太坊價格 1:1 掛鉤的加密貨幣。

<span ql-global="true" ?droid="" font-size:="" ?'>Wormhole?跨鏈橋時，<span ql-global="true" ?droid="" font-size:="" ?margin-top: 0pt;font-size: 11pt;color: ;line-height: 2em;">?

Jump Trading Group 是 Wormhole 開發的利益相關者之一，該團隊主動補充了 Wormhole ?丟失的 ETH。短短一天后，Wormhole 橋重新上線。

基于 NFT 的游戲 Axie Infinity 是去年最成功的加密游戲之一。2022 年 3 月 23 日，它成為了加密貨幣領域最大黑客攻擊之一的受害者，攻擊者使用“被盜取的私鑰”將大約有價值 5.52 億美元的加密貨幣從 Ronin 跨鏈橋盜走。

一周后，當 Axie Infinity 的開發商 Sky Mavis 披露該漏洞時，被竊取的資金價值已上升至 6.22 億美元。

根據 Sky Mavis 的一份報告，攻擊者“通過我們 gas-free 的 RPC 節點找到了一個后門，然后濫用這個后門來獲得 Axie DAO 驗證器的簽名。”

Ronin 側鏈由 9 個驗證者節點保護，為了識別 Deposit (存款) 事件或 Withdraw (取款) 事件，需要這 9 個驗證器節點中的 5 個進行簽名。3 月 23 日，攻擊者成功地控制了其中的 5 個節點 (包括 Sky Mavis 自己運行的 4 個節點以及 1 個由 Axie DAO 運行的節點)，這 5 個驗證者的私鑰被盜。這讓攻擊者得以偽造交易，并取走 173,600 wETH 和 2550 萬 USDC，總計約 6.22 億美元。

“這是歷史上規模最大的黑客事件之一，” Axie Infinity 聯合創始人 Jeff Zirlin 指出，“(黑客) 有可能被發現，并被繩之以法。”

Poly Network 的黑客攻擊仍然是加密領域最大的攻擊事件。幸運的是，這個始于 2021 年 8 月 10 日的傳奇事件在經歷了一系列奇怪的轉折后，在三天之后以美滿的結局結束了。

這場盜竊始于攻擊者利用 Poly Network “合同調用”的一個漏洞。該黑客迅速盜取了價值 6.11 億美元的各種加密貨幣，導致Poly Network 發布了一封絕望的信，并附上了“親愛的黑客”的稱呼。

這種溝通嘗試，以及隨后的努力，最終發揮了作用。該協議提供了 50 萬美元的賞金，并為這名黑客提供了成為其首席安全顧問的機會。但在一次鏈上問答環節中，該攻擊者解釋說，此次攻擊只是為了給 Poly Network 一個教訓。該攻擊者說，將資金歸還是其“一直以來的計劃”。

加密貨幣安全公司 SlowMist 表示，已識別出該攻擊者的 IP 和電子郵件信息，且這場攻擊“可能是一次長期計劃、有組織和有準備的攻擊”。

“現在每個人都聞到了陰謀的味道。”這名黑客說道。他否認自己是內鬼。“但誰知道呢?”

撰文：Ekin Gen? & Stephen Graves，Decrypt

編輯：南風

Tags：ANC加密貨幣FINNANMEET.ONE Finance加密貨幣是什么意思啊digifinex交易所Hammer Finance

屎幣