黑客攻同源漏洞 「团灭」Fork协议

2021年5月，加密资产市场颇为动荡，BTC从5万美元上方最低跌至29000美元，几近腰斩，大多数加密资产最大跌幅超过50%。

二级市场巨震之下，链上生态也不太平。5月份，DeFi市场发生至少13起黑客攻击事件，多集中在币安智能链上，折损资金达到2.7亿美元，超过了2020年所有DeFi安全事件的资产损失。BSC官方认为，一个有组织的黑客团队盯上了BSC。

为何BSC链上项目集中失窃？黑客又如何做到快速捕捉项目漏洞？区块链安全公司PeckShield发现，很多被攻击的项目都存在同源漏洞。

比如，在BSC收益聚合器PancakeBunny被攻击后，Fork自PancakeBunny的AutoShark和MerlinLabs在接下来的一周内接连失窃；而被攻击的BurgerSwap和JulSwap，代码都是Fork自Uniswap，但它们似乎在进行改动时产生了漏洞。

PeckShield相关安全负责人告诉蜂巢财经，这些Fork出的协议被攻击主要是在没有完全理解原协议背后的逻辑下，进行微创新，导致一个小的更新或小的组合就可能产生漏洞。

区块链游戏孵化器Seedify与DeFi黑客攻击缓解工具Lossless达成合作:3月12日，据官方消息，区块链游戏孵化器和Launchpad Seedify与DeFi黑客攻击缓解工具Lossless达成合作。

通过与Lossless的合作，Seedify将通过其平台孵化和推出的新区块链游戏项目引导至Lossless。通过使用Lossless协议部署其代币，这些项目将能够保护自己以及代币持有者避免因恶意攻击行为而造成的潜在财务损失。Lossless还将利用其服务向Seedify引入孵化和启动阶段的区块链游戏项目，使他们能够利用Seedify生态系统的优势，包括孵化、咨询、合作伙伴、营销和启动服务。[2022/3/13 13:53:19]

屡次发生的安全事件再度给协议开发者提了个醒，在进行DeFi的模式创新时，不应忽视底层代码的安全性。

12个项目被攻击?折损2.7亿美元

屋漏偏逢连夜雨。在加密资产市场跌势不止时，链上协议的安全事故频发。

派盾：去中心化借贷项目Qubit疑似遭到黑客攻击，损失或达8000万美元:1月28日消息，据派盾（PeckShield）官方消息，BSC 生态去中心化借贷项目 QBridge 旗下借贷产品 Qubit 疑似遭到黑客攻击，黑客铸造大量 xETH 抵押品并消耗约了资金池中 8000 万美元资产。[2022/1/28 9:18:40]

5月30日，BSC上的稳定币兑换协议BeltFinance遭遇闪电贷攻击，损失620万美元。根据区块链安全公司PeckShield的追踪，此次攻击源于攻击者在PancakaSwap完成8笔闪电贷后，通过重复买入卖出BUSD，利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。

被攻击后，BeltFinance就闪电贷攻击事件发推致歉并发表报告，其表示将进行进一步审计，并将在48小时内发布用户补偿计划。

受此影响，BeltFinance治理代币BELT大幅下跌，从28日的58美元高点跌至27美元，短期跌幅达到53.44%。

数字艺术家Beeple的Discord遭黑客攻击，虚假NFT空投导致用户损失约38 ETH:11月11日消息，数字艺术家Beeple的Discord中一位名叫“Multi”的管理员向该小组确认，尽管他们有2FA（双因子验证），但他们的账户还是被入侵了。肇事者冒充了Multi和Beeple公告机器人，在Nifty Gateway上宣传Beeple的虚假NFT空投，时间与其第二次佳士得拍卖会相吻合。此前Beeple也开展过类似的抽奖活动，用户可以1美元的价格抢购其NFT。事件发生一个多小时后，原管理员重新获得了对其登录的控制权。据Etherscan显示，据称黑客的钱包只剩下9121.54美元，有25个ETH被突然转移。然而，用户报告说损失了更多的ETH。（Cointelegraph）[2021/11/11 6:45:57]

这已是5月份第12个被攻击的BSC链上项目。蜂巢财经统计，自5月2日以来，SpartanProtocol、ValueDeFi、BearnFi、Venus、PancakeBunny等项目接连失窃，共计损失2.7亿美元资金，ValueDeFi更是两次遭攻击。

Easyfi遭受黑客攻击，被盗600万美元稳定币以及298万个EASY代币:Easyfi.network创始人兼CEO Ankitt Gaur在推特上表示：“4月19日，我们的团队成员向我报告称，有大量EASY代币从EasyFi官方钱包大量转移到以太坊网络和Polygon网络上未知钱包。 这些交易很快引起我注意，因为管理这些代币的计算机至少一周未使用且完全离线，因此可能有人攻击了管理密钥或助记词。我迅速响应事件，采取了所有必要的预防措施和行动以减少损失。最终，黑客成功获取了管理员密钥，并从协议池中以USD / DAI / USDT形式转移了600万美元的现有流动资金，并将298万个EASY代币转移到了黑客自己的钱包中，地址：0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37。”[2021/4/20 20:38:56]

BSC被攻击项目一览

2.7亿美元的资产损失已经超过了2020年所有DeFi安全事件的损失。根据此前PeckShield发布的数据，2020年DeFi安全事件达到60起，损失逾2.5亿美元。

推特主动向爱尔兰数据保护委员会报备黑客攻击事件:推特已主动向欧盟数据保护机构报备此前受到黑客攻击的事件。欧盟数据保护机构爱尔兰数据保护委员会（DPC）发言人Graham Doyle表示，该监管机构已收到关于这一事件的通报，正在进行评估。DPC是推特和其他美国科技公司在欧盟的主要监管机构，这些公司的欧洲总部都设在爱尔兰。

推特仍在调查和评估攻击是如何进行的，但并没有透露帐户中的其他信息（比如私人信息）是否受到影响。这一事件引发人们对肇事者身份和其实际目标的猜测。一些网络安全专家推测，这次攻击掩盖了一场更为邪恶的行动，目的是获取敏感数据。推特表示正在与监管机构密切合作。（彭博社）[2020/7/22]

短短一个月时间，BSC链上连续不断遭到黑客光顾，显得颇为蹊跷。压力之下，BSC官方不久前在社交平台发文称，最近已经接连发生超过8起针对BSC链上项目的闪电贷攻击，「我们认为现在有一个有组织的黑客团队盯上了BSC。」

BSC官方呼吁所有DApp防范风险，建议链上项目与审计公司合作进行健康检查，如果是分叉项目，需反复检查相对原始版本进行的更改；采取必要的风险控制措施，实时主动监控异常情况，一旦出现异常及时暂停协议；制定应急计划，以防出现最坏的情况；如果条件允许可设定漏洞赏金计划。

的确，复盘12起安全事件，闪电贷攻击是黑客最常用的手段。SpartanProtocol、PancakeBunny、BoggedFinance、BurgerSwap、JulSwap等项目都是闪电贷攻击的受害者。

需要明确的是，闪电贷本身并非是一种攻击手段，它只是一种高效的借贷模式，能够放大任何人的本金。正如ChainlinkCMOAdelynZhou所言，「闪电贷不会在DeFi内部产生漏洞——它只是揭示了已经存在的漏洞。」

在DeFi经过了高速发展后，BSC上仍有如此多项目在短时间内暴露出漏洞，令链上用户感到心惊。不禁要问，为什么这些安全事件集中爆发在BSC链上？又为何黑客能够快速找到这么多项目的漏洞并实施攻击？

Fork隐患爆发事发项目多遭同源攻击

今年以来，BSC异军突起，作为以太坊的侧链，它凭借更高效的交易处理效率和低廉的手续费，吸引了大量的项目和链上玩家入驻，巅峰时期，其链上总锁仓价值超过344亿美元，是仅次于以太坊的第二大DeFi集结地。

BSC生态的快速崛起，抢占链上先发红利，大量项目扎堆部署。由于此前，以太坊上大多项目已经开源，不少开发者采用了Uniswap、Curve等成熟项目的开源代码，经过简单修改后便在BSC上快速上架。而这种匆忙地Fork成了BSC链上项目成批量被黑客攻击的隐患。

据PeckShield披露，近期被攻击的BurgerSwap和JulSwap，代码都是Fork自Uniswap。PeckShield指出，「但它们似乎并没有完全理解Uniswap背后的逻辑。」

根据事发后BurgerSwap的报告，攻击者自发「假币」，随后与协议的原生代币BURGER形成交易对，改变了后者的价格。很显然，分叉自Uniswap的BurgerSwap在某些方面不够成熟，被黑客钻了空子。

Fork协议的来源不仅是以太坊，BSC链上一些早期协议应用也被后来者Fork上链。AutoShark和MerlinLabs两个聚合器协议，皆因Fork了PancakeBunny被黑客洗劫。从时间线来看，5月20日，PancakeBunny遭到闪电贷攻击，此次攻击源于攻击者利用该协议操纵了LPTokenBNB-BUNNY和BNB-BUSDT的价格。

看到PancakeBunny被攻击后，AutoShark发文强调自己的安全性，表示其做了4次代码审计，其中2次正在进行中。但打脸接踵而至，仅仅4天后，AutoShark遭遇闪电贷攻击，其代币SHARK瞬间下跌99%。根据PeckShield的分析，此次攻击手法与PancakeBunny被攻击的手段相似。

被打脸的还有MerlinLabs，在被攻击前，它也曾发文表示已经反复执行代码的审核，为潜在的可能性采取了额外的预防措施。但5月26日，黑客就「乘胜追击」，洗劫了MerlinLabs。

PeckShield认为，这是攻击PancakeBunny后的模仿案，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在Fork出的协议上重复试验，就能捞上可观的一笔。「Fork的DeFi协议可能尚未成为Bunny挑战者，就因同源漏洞损失惨重，被嘲笑为『顽固的韭菜地』。」

此外，在BeltFinance被攻击的案例中，黑客利用了bEllipsisBUSD策略余额计算中的漏洞，操纵了beltBUSD的价格，而Ellipsis则Fork自以太坊知名协议Curve。

PeckShield相关安全负责人告诉蜂巢财经，这些Fork的协议被攻击主要是在没有完全理解原协议背后的逻辑，进行微创新，导致一个小的更新或小的组合就可能产生漏洞。

该负责人表示，从已知的漏洞下手是攻击者对尚处发展阶段的DeFi领域常用的「觅食」方法。对于项目方来说，对DeFi协议安全的重视，不是嘴上说说而已，而是要做到「吾日三省代码」：协议上线前有没有做静态审计？其他协议遭到攻击后，有没有自查代码，检查是否出现类似漏洞？交互的协议有没有安全风险？

从上述案例来看，BSC链上一批项目集中失窃，主要是黑客找到了多个协议的同源漏洞，只需模仿攻击手段，就能「举一反三」，在短时间内完成对多个项目的剽窃。

屡次发生的安全事件也给协议开发者提了个醒，在进行DeFi的模式创新时，不应忽视底层代码的安全性。

对此，PeckShield建议，新合约上线前要进行审计，也需要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞。同时要设计?定的风控熔断机制，引?第三?安全公司的威胁感知情报和数据态势情报服务，完善防御系统。「所有DeFi协议都存在变数，即使?个协议进行了多次审计，?个小的更新也会使审计变得无用，因此即使?个小的更新都要重新进行审计。」

标签：BSCDEFIEFIDEFBSCV价格defi币种DeFi.chValuedefi vSWAP

DAI热门资讯