本月至少有14个DeFi项目遭黑客攻击，总损失金额超2.5亿美元

本文系链捕手原创文章，作者谷昱、Alyson。

今年以来DeFi行业发展迅速，大量DeFi项目相继涌现，总锁仓金额最高接近900亿美元，但由于很多项目代码审计不严格等原因，它们也成为大量黑客所垂涎的攻击目标。特别是在5月，DeFi安全事故频次大幅上升。

据链捕手统计，今年以来DeFi行业总计有27个项目遭到黑客攻击，而本月就至少有14个项目遭到黑客攻击，平均每两天就有1个DeFi项目被攻击，总损失至少为2.5亿美元，堪称是DeFi历史上遭遇攻击频次最高、损失最大的一个月。

具体而言，本月遭受黑客攻击的DeFi项目包括BurgerSwap、Julswap、Merlin、AutoSharkFinance、BoggedFinance、PancakeBunnny、Venus、FinNexus、bEarnFi、EOSNation、xToken、RariCapital、ValueDeFi、Spartan。

其中，闪电贷是最主要的黑客攻击手法，至少7个项目因此遭到攻击；BSC则是黑客最活跃的攻击平台，至少11次攻击都发生在BSC公链；攻击金额普遍较大，至少7个项目的损失金额超过1000万美元，最高的Venus损失金额超过1亿美元。

Bifrost将于本月支持Aura Finance:金色财经报道，全链LSD协议Bifrost将于本月支持Balancer生态收益治理平台Aura Finance，其中Bifrost的vETH-WETH Balancer池将由Aura支持，通过参与vlAURA市场增加流动性激励。[2023/4/11 13:55:47]

以下是链捕手对本月14起DeFi项目遭攻击事件的详细整理：

1、BurgerSwap

损失金额：约700万美元

简述：5月28日，基于BSC的AMM项目BergerSwap遭到闪电贷攻击，被盗超过432874个BURGER，

2、Julswap

损失金额：未知

简述：2月28日，基于BSC的AMM项目Julswap遭到闪电贷攻击，币价最高下跌90%。

3、Merlin

损失金额：约68万美元

简述：5月26日，BSC生态自动收益聚合器Merlin遭到黑客攻击，由于该项目getReward代码的存在漏洞，大量的CAKE代币被手动转移到Vault合约中，共导致了约59,000个MERL增发，并通过出售获得240个ETH。

加密社交投资平台Kikitrade本月底拟暂停香港储蓄产品销售以响应监管要求:金色财经报道，加密社交投资平台 Kikitrade 宣布将于 2022 年 12 月 30 日开始暂停为香港用户提供灵活储蓄和锁定储蓄产品，以响应香港证券及期货事务监察委员会（SFC）对数字通证形式资产的监管，该公司其他服务不受影响。

据该公司联合创始人兼首席执行官 Sean Tao 透露，他们目前正与香港证监会进行沟通调整服务，并为了在开展业务时遵守适用法律法规对用户作出的承诺并努力申请为持牌虚拟资产交易平台。

此前报道，Kikitrade 于今年四月完成 600 万美元融资，AppWorks 和 Media Asia 领投，Audeo Ventures 参投。[2022/12/15 21:47:32]

处理方案：团队将向用户空投补偿代币cMERL，该代币持有者将能够从补偿池中获得BNB奖励。同时，额外的开发团队资金将被用于执行燃烧和回购活动，以恢复代币价格。

4、AutoSharkFinance

损失金额：约82万美元

动态 | A股区块链概念股本月涨三成，今年全球区块链支出预计达29亿美元:金色财经报道，区块链成为11月份涨幅最大的板块，有12只个股的涨幅超过10%，其中万达信息（300168）和四方精创（300468）的涨幅超过3成。目前涉及区块链概念的个股达到140只，其中密码技术作为区块链中的底层技术和核心技术之一，在区块链的实际应用中现在的空前重要，也最受关注。在目前的A股上市公司中，同时具有密码技术(网络安全)和区块链技术的有中科信息(300678.SZ)、恒久科技(002808.SZ)、神州泰岳(300002.SZ)、国民技术(300077.SZ)、汉威科技(300007.SZ)5家，其中有4家已落地应用，只有恒久科技同时具有区块链应用和保密软件硬件技术，并且已经得到政务客户的广泛认同。根据IDC最新发布的《全球半年度区块链支出指南》，指出2019年全球区块链的支出将达到近29亿美元，同比2018年15亿美元支出，预计增长88.7%，预计2022年将达到124亿美元。[2019/11/9]

简述：5月25日，基于BSC的固定利率协议AutoSharkFinance遭到闪电贷攻击，在LP价值错误和手续费获取数量错误的情况下，SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值，导致SharkMinter合约给攻击者铸出了大量的SHARK代币，致使其币价闪崩，从1.2美元快速跌至0.01美元，攻击者获利月82万美元。

韩国新开加密货币交易所“Goodbit”将于本月27日提供P2P交易服务:韩国新开加密货币交易所“Goodbit”将于3月27日开始提供点对点（P2P）的虚拟货币交易服务。这种交易可分为出售部分和购买部分，加密货币的行情由发布人和交易当事人之间的交易形成，而不是由传统的买单和卖单形成。“Goodbit”表示：“将对提前预约加入的会员进行奖励，并对其适用优惠的手续费政策。在预约加入阶段，对“Goodbit”进行推荐和推广的会员也将获得奖励，其中第一、二、三名将分别获得一个比特币、一个比特币现金和一个以太坊。”[2018/3/9]

处理方案：官方表示将发行新代币JAWS补偿受损用户。

5、BoggedFinance

损失金额：300万美元

简述：5月23日，基于BSC的聚合交易平台BoggedFinance官方表示，黑客对BOG代币合约质押功能漏洞进行了闪电贷攻击，黑客利用PancakePairSwap代码，在合约验证完成前即提取了质押收益，导致铸造了超过1500万个BOG代币，这些代币大部分原本将分配给了BOG的质押者。

韩国“虚拟货币交易立法化”政策研讨会将于本月30日召开:韩国关于虚拟货币交易的合法化方案的讨论，民主党閔丙梪（???）议员、MTN电视台主办和韩国FinTech联合协会联合赞助的’虚拟货币交易立法化‘政策研讨会将于韩国时间本月30日早上10点开始到12点在国会宪政纪念馆大讲堂举办。[2018/1/25]

处理方案：发行新币并将被盗BOG代币返还给质押用户。

6、PancakeBunnny

损失金额：约4200万美元

简述：5月20日，基于BSC的DeFi收益聚合器PancakeBunny遭遇闪电贷攻击，损失114631枚BNB和697245枚BUNNY，后者被黑客大量铸造并抛售，价格从240美元闪崩，一度跌破2美元。根据CertiK安全团队的调查，由于PancakeBunny使用PancakeSwapAMM来进行资产价格计算的，因此黑客恶意利用了闪电贷来操纵AMM池的价格，并利用Bunny在铸造代币的时候计算上的问题成功完成攻击。

处理方案：PancakeBunny将通过发行新代币pBUNNY并创建补偿池，补偿BUNNY原始持有者由于代币价格大跌造成的损失。

7、Venus

损失金额：超1亿美元

简述：5月18日晚间，基于BSC的DeFi借贷平台Venus代币XVS被巨鲸拉涨翻倍，之后以XVS为抵押资产借走并转移出去价值上亿美元的BTC和ETH，此后抵押资产XVS价格大跌并面临清算，但由于XVS市场流动性不足系统未能及时清算，导致Venus出现上亿美元的巨额亏空。

处理方案：Venus向外部机构出售部分XVS代币以弥补平台亏损。

8、FinNexus

损失金额：700万美元

简述：5月17日，链上期权协议FinNexus遭遇黑客攻击，该黑客渗入并设法恢复了FNX代币合约管理者的私钥，攻击者铸造了超过3.23亿枚FNX，然后在中心化和去中心化交易所中出售，导致价格暴跌。

处理方案：FinNexus团队表示将发行新币并按1比1补偿给所有在黑客入侵之前持有FNX的用户；DEX上的流动性提供者因遭受更高的损失将获得额外的补偿。

9、bEarnFi?

损失金额：约1086万美元

简述：5月16日，基于BSC的跨链DeFi协议bEarnFi其bVaults的BUSD-Alpaca策略遭遇闪电贷攻击，池中近1086万枚BUSD被耗尽。

处理方案：bEarnFi表示将创建一个补偿基金，由剩余的储蓄资金、开发资金、DAO资金和协议产生的一部分费用组成，之后将对余额进行快照以部署补偿合约。

10、EOSNation

损失金额：1500万美元

简述：5月14日，EOSNation闪电贷智能合约遭受到重入攻击，相继有约120万枚EOS和46.2万枚USDT被盗。

处理方案：flash.sx称，损失的所有资金都在eosio.prods的安全控制下，已发起提案更改黑客EOS账户权限，通过后会将资金返还给用户。

11、xToken

损失金额：约2500万美元

简述：5月13日，DeFi质押和流动性策略平台xToken遭到闪电贷攻击，xBNTaBancor池以及xSNXaBalancer池流动性被立即被耗尽，造成约2500万美元损失，

处理方案：xToken团队表示计划将XTK供应总量的2％用于弥补被盗损失。

12、RariCapital

损失金额：1400万美元

简述：5月8日，DeFi智能投顾协议RariCapital其ETH资金池出现了一个因集成AlphaFinanceLab协议而导致的漏洞，击者通过部署一个辅助合约操控ibETH中ibETHToken的价格，导致Rari遭受1400万美元的巨额损失。

处理方案：RariCapital将把用来扩大团队规模的200万枚预留RGT归还给DAO，用来补偿受攻击影响用户和奖励贡献者。

13、ValueDeFi

损失金额：两次共计1500万美元

简述：基于以太坊与BSC的DeFi协议ValueDeFi在5月5日和5月7日分别遭受两次攻击，第一次攻击源于ValueDeFi的ProfitSharingRewardPool合约出现代码漏洞，其vStake池子受影响，共损失超20万枚BUSD和8790枚BNB；第二次攻击源于ValueDeFi的vSwap合约出现代码漏洞，IRONFinance的部分池和产品受到攻击。

处理方案：团队将使用保险基金中的8,530VALUE和多签中的122,463VALUE，共计130994VALUE进行补偿，其余251702VALUE将使用团队的VALUE进行补偿。

14、Spartan

损失金额：3000万美金

简述：5月2日，基于BSC的合成资产协议SpartanPoolsV1被攻击，由于流动性份额计算不当的漏洞，攻击者从资金池中转移了约3000万美元的资金。

处理方案：发行新的SPARTA代币，并将原本未发行的2000万枚代币补偿此前因攻击遭受损失的资金池LP。

标签：ANCDEFIEFIDEFSaba FinancePINETWORKDEFI币DeFi FireflyDefigram

FIL热门资讯