DeFi协议每月一雷

编者按：本文来自蜂巢财经News，作者：嚯嚯，Odaily星球日报经授权转载。4月19日，去中心化借贷协议Lendf.Me遭遇黑客攻击，短时间内，锁在协议内的价值2482万美元的12种币资产几乎全部消失，仅剩个零头2940美元。综合区块链安全机构慢雾及成都链安的复盘，攻击者利用imBTC资产所用的ERC777协议与其他去中心化协议的不兼容性，发起重入攻击，将伪造数目的imBTC作为抵押物从Lendf.Me中“借走”了全部款项。就在Lendf.Me被盗前一天，另一个去中心化借贷协议Uniswap也遭重入攻击洗劫，ETH-imBTC资金池损失约23万美元。与今年2月借贷协议bZx因合约漏洞导致99万美元被攻击者套走的安全事故不同，这一次，单个的Uniswap、Lendf.Me和imBTC本身的协议并不存在漏洞，但协议间在调用合约时出现了漏洞风险。今年以来，从2月到4月，DeFi金融设施已至少经过了三次大规模资产风险事件，既包括像bZx、Lendf.Me出现的技术风险，也包括MakerDao在“3·12”市场剧烈波动下的流动性风险。这再次表明，无需权限、抗审查、开放性的DeFi金融体系依然十分脆弱。加密资产投资机构FutureMoney预测，Defi世界还得沉默数十年才能迎来爆发。Lendf.Me损失99%锁仓资金

Polygon Labs：SEC变更交易所定义的拟定规则会危害DeFi行业和区块链网络:6月14日消息，Polygon Labs首席政策官Rebecca Rettig在推特上表示，今天Polygon Labs提交了对美国证券交易委员会（SEC）提议的交易所定义规则制定的回应。新的拟议规则不仅会危害DeFi行业，还威胁到美国未获许可的区块链网络。从技术、法律或实践的角度来看，许多不同和独立的验证者无法以某种方式协调到监管机构注册为交易所。验证者不会通过分叉或其他方式控制DeFi协议。正如我们在回应中更全面地阐述的那样，拟议的修订规则实际上将禁止美国所有未获许可的区块链网络，以及建立在此类网络之上的许多软件协议，包括DeFi协议。[2023/6/14 21:35:56]

“我对于官方能给补偿什么的，基本不抱希望。”DeFi借贷协议Lendf.Me资产被盗后，网友“白特幂”在社交平台上透露出无奈，他称他存入Lendf.Me上用来理财的USDT因该协议被攻击而消失一空。4月19日，开放式金融基础设施服务商dForce开发的借贷协议Lendf.Me遭攻击，协议内12种数字资产几乎全部被盗。慢雾科技反(AML)系统统计，Lendf.Me损失的数字资产价值约2469万美元。去年9月，dForce推出了去中心化网络借贷协议Lendf.Me，用户可以通过链上操作，进行数字资产存币理财和借贷服务。据Dapptotal数据显示，事发前，该协议的锁仓资产一度达2528万美元，资金体量在整个DeFi市场中排名第七。

YC投资的DeFi项目Stablegains因涉嫌在宣传UST时误导投资者被起诉:2月20日消息，YC投资的DeFi项目Stablegains在加州法院被起诉，因涉嫌误导投资者，未能遵守证券法。2月18日，原告Alec Ohanian和Artin Ohanian向加州中心区美国地方法院提起诉讼。他们在声明中称，Stablegains在客户不知情或不同意的情况下，将所有客户资金转移到Anchor Protocol。诉状写道：“作为Terraform Labs的早期支持者和投资者，Stablegains非常熟悉UST和LUNA。事实上，Stablegains错误地将UST宣传为安全投资。此外，Stablegains显然没有遵守联邦和州的证券法。Stablegains没有透露UST实际上是一种证券。”

诉状补充说，该公司未能在美国证券交易委员会注册为证券交易所或经纪自营商。且在Terra倒闭后，Stablegains更改了其网站和宣传材料，删除了将UST吹捧为“安全”和“法币支持”的内容。Stablegains没有清算资产并将资金返还给客户，而是“保留了用户存入的大部分贬值资产，单方面选择将它们重新定向到Terra 2.0，”

据悉，Y Combinator曾参投Stablegains于2021年12月完成的60万美元融资及2022年4月份完成的300万美元融资。2022年5月消息，Stablegains挪用客户资金投入Anchor造成巨额亏损后，将用户的美元篡改为UST。[2023/2/20 12:17:32]

波卡DeFi项目Equilibrium将在Kusama发布DeFi平行链Genshiro:4月17日消息，波卡DeFi项目Equilibrium将在Kusama上推出DeFi平行链Genshiro，并将参与平行链插槽拍卖。

据悉，不同于其平台Polkadot版本，Genshiro从一开始就会支持大量ERC-20代币；其治理模式的工作原理是让用户质押GENS（Genshiro基于Kusama的实用型代币）针对新系统参数进行提议和投票。用户的资金质押时间越长，其投票对提案的影响就越大。关于GENS代币经济学，EQ：GENS=1:10，EQ初始供应量为1.2亿枚，Kusama上GENS代币总供应量为12亿枚。

关于Polkadot上现有EQ持有者的Lockdrop，在Polkadot上分配并归属EQ的用户可以获得Kusama上GENS代币数量10倍的代币。不过他们将需要在三个月内质押未解锁的EQ代币，而GENS将被自动计入锁定的分配额度（在Genshiro创世区块被归属）。如果用户解锁了代币，需要将其锁定3个月，未解锁的每枚代币才能获得10枚GENS。

Equilibrium还表示，希望Equilibrium和Genshiro可以在Kusama和Polkadot以外的地方使用。[2021/4/17 20:31:17]

Lendf.Me资金几乎被洗劫一空然而不到24小时，攻击者便将Lendf.Me中的锁仓资产洗劫，造成高达99%的资金亏损率。“我个人也在本次的黑客攻击中遭到了严重的经济损失。”4月20日，dForceNetwork创始人杨民道在社交媒体上透露，官方已开始寻求解决方案，包括对协议进行更为全面的安全评估，与合作伙伴探讨可行方案，与主流交易所、OTC交易商、机构等进行沟通，“尽力追索被盗款项。”多数投资者存放在Lendf.Me中的资产打了水漂，“白特幂”便是其中之一，但他觉得开发团队的赔付能力不足，并在社交平台上透露出放弃追索的想法，“前阵子，这个DeFi项目成为了Multicoin资本投资的第一个开放金融项目，跟投的包括火币、招银国际等知名资本方，但也融到了不过150万美元。就目前的情况看，我不认为团队有能力填补眼前近2500万美元的资产损失。”截至发稿时，Lendf.Me仍处于停止服务的状态。黑客”重入攻击“两天得手两次

DeFi 概念板块今日平均涨幅为2.08%:金色财经行情显示，DeFi 概念板块今日平均涨幅为2.08%。47个币种中30个上涨，17个下跌，其中领涨币种为：YFI(+20.14%)、RSR(+16.74%)、YFII(+15.02%)。领跌币种为：FOR(-28.00%)、PEARL(-6.64%)、LBA(-4.99%)。[2020/11/18 21:08:05]

dForce没有公布Lendf.Me协议被攻击的具体细节，但业内的多家安全机构都给出了“复盘”。综合慢雾及成都链安的描述，攻击者在Lendf.Me协议上调用资产imBTC的ERC777以太坊协议标准时，发起重入攻击，将伪造过数目的imBTC作为抵押物，从Lendf.Me中“借走”资产。imBTC是数字资产钱包imToken推出的以太坊区块链上的BTC代币，其价值与比特币1：1锚定。Lendf.Me允许用户以imBTC为抵押物来借其他数字资产。慢雾安全团队介绍，黑客利用imBTC在Lendf.Me协议组合过程中存在的重入漏洞，在Lendf.Me的协议上重复铸造出6700多枚假imBTC，并以此抵押，洗劫了真资产。“成功盗取资产后，攻击者立即通过1inch.exchange、ParaSwap、Tokenlon等DEX平台，将盗取的币兑换成ETH及其他代币，此外，还有部分赃款转入了DeFi借贷平台Compound和Aave。”“重入攻击”的手法在臭名昭著的TheDao事件中也曾出现，以太坊因此事件分叉。攻击者往往通过恶意合约A来调取受攻击合约B上的某些函数，并在B的任意位置“重新进入”代码执行。Lendf.Me被盗前一天，重入攻击在另一个去中心化借贷协议上发生。4月18日，Uniswap遭重入攻击，该协议的ETH-imBTC资产池耗尽，损失了1278枚ETH，价值约23万美元。前后两次针对DeFi借贷协议的攻击都有imBTC的身影，是不是imBTC本身存在漏洞？对此，慢雾指出，imBTC采用了ERC-777代币标准规范，与ERC20标准兼容，其本身并没有安全问题。但当ERC-777代币与Uniswap或Lendf.Me智能合约组合后，就产生了重入攻击的漏洞。区块链安全机构Peckshield也表示，从技术上讲，两起事件背后的主要逻辑是ERC-777标准和其他DeFi智能合约之间存在不兼容性，攻击者可能会滥用它们来劫持正常的事务并执行额外的非法操作。慢雾建议，DeFi协议的单一开发方在接入第三方协议时，应充分考虑平台本身的业务逻辑与接入方协议和资产的兼容性，以避免因兼容性发生不必要的安全问题。DeFi面临技术和市场等多重考验

安全公司：警惕DeFi挖矿钓鱼授权盗币攻击:据慢雾区情报，由于DeFi挖矿项目的火热，除了仿盘以外，目前已经出现了针对以太坊DeFi挖矿的钓鱼攻击，攻击者通过新建一个挖矿项目，诱导用户授权给项目本身，其实是授权给了一个攻击者自己可控的地址，在授权完成后，用户资金会被立即转出。经慢雾安全团队分析，目前该网站诱导用户授权给地址0x59DFd93D34DFF5D36dEdD539425a7D7D2a77B3e5，该地址并为合约地址，而是一个攻击者控制的普通的个人地址。通过区块浏览器查询显示，已有20万枚USDC和52枚YAMV2被转移。慢雾安全团队提醒，用户在操作DeFi项目时，一定要对项目本身进行足够的了解，并需注意该项目是否通过安全审计，并在授权时，对授权对象进行核对，确认是项目方的地址，避免资金损失。[2020/9/6]

进入2020年，DecentralizedFinance简称下的DeFi领域，已经发生了3次大规模的风险事故。2月，去中心化借贷协议bZx遭攻击，攻击者两次利用该协议上存在的漏洞，在5个DeFi协议间来回调用智能合约，操纵市场，套利99万美元。3月那次极端行情，不仅让中心化市场的投资者们遭遇“血洗”，DeFi金融也未能幸免，借贷平台上的坏账快速累积，MakerDao等借贷协议突发强制清算，有人在系统拍卖抵押资产时趁火打劫，钻了机器人程序未及时调高gas费的空子，以0出价获得了抵押物，给MakerDao造成了567万美元的损失，其中最大的债务库损失了3.5万个ETH。此次，Uniswap和Lendf.Me两协议先后遭攻击，2500多万美元的资产被盗，DeFi金融基础设施再次暴露了脆弱性。与现有的银行、证券交易所等中心化金融系统不同，DeFi的创建们希望能用代码和智能合约创造一个无需审查权限、地位平等、人人可参与的开放金融生态。DeFi大规模发展的基础设施是各种去中心化协议，从功能上看，这些协议包含了发行资产、交易、抵押借贷、融资等各种现实世界中存在的金融职能，且可利用智能合约的桥接，让各种功能在一个体系内实现。理想是美好的，现实总是很残酷。DeFi无法逃脱中心化系统也可能面临的风险，包括安全风险和经济危机，但在抗风险能力上，还没有中心化系统强大。数字资产投资机构FutureMoney在3月31日的一篇分析性文章就指出，DeFi金融系统和它的基建成员们，既要面对智能合约漏洞遭黑客攻击的风险，也存在贷款的结构性缺陷；如果出现滥用职权的超级管理员突破道德约束，还将面临毁灭性的打击；bZx漏洞事件暴露出了潜在的市场操纵风险；“3·12”的市场大跌又让外界一睹DeFi在市场流动性风险到来时的应对局促。Lendf.Me事件也让投资者看到，A协议、B协议都安全还不够，还需要A+B也能安全。而我们知道，DeFi世界，已经不仅仅是2个协议的事儿，各种协议排列组合的安全性也给构建者们提出了共同挑战。仅仅发展了不到3年的DeFi，依然脆弱，建设者们仍旧需要在一次次的风险中巩固基础设施。此次事件后，一些业内人士认为，DeFi在发展过程中不应让用户成为炮灰；而也有热衷使用DeFi功能的行业人士对开发者们表示出理解和愿意陪伴成长的态度。“Defi不会停止，也不应该停止。”FutureMoney认为，从总体上看，Defi的机制仍对传统金融有很大的改善和优化效果，其社会资源优化配置的潜力尚未得到充分发挥。“经过短暂的调整，我们几乎可以确定，Defi会在未来爆发并在一定程度上改善我们的基础金融业务，但这需要时间，而且Defi协议的沉默可能要花费数十年。”

标签：DEFDEFIEFILENDModefiPi Network DeFiDeFi CoinLENDA

狗狗币最新价格热门资讯