盘点：加密史上13次最大的DeFi黑客和抢劫

去中心化金融(DeFi)是指区块链应用程序，可将中间商从贷款、储蓄和掉期等金融产品和服务中剔除。虽然DeFi带来了高回报，但它也带来了很多风险。?

由于几乎任何人都可以启动DeFi协议并编写一些智能合约，因此代码中的缺陷很常见。在DeFi中，有许多不择手段的行为者已经准备好并且能够利用这些缺陷。当这种情况发生时，数百万美元将被盗取，而用户通常没有追索权。

根据Elliptic11月的一份报告，DeFi用户在2021年因盗窃损失了105亿美元。但正如我们最大的DeFi漏洞利用列表所示，这个数字已经增长了数百万。

13?.?GrimFinance:?3000万美元

dApp通常从构建它们的区块链中获取主题灵感。因此，Avalanche生态系统充满了参考，例如Snowtrace、Blizz和Defrost。同时，Fantom生态系统感觉就像一场链上万圣节派对。当出现问题时，这会增加一个更黑暗的旋转，就像收益优化器协议GrimFinance的情况一样。

2021年12月，该协议遭受了重入攻击，这是一种攻击者在之前的交易尚未结算的情况下伪造额外存款到保险库的漏洞。最终，攻击诱使智能合约释放了价值3000万美元的Fantom代币。

DeFi协议通常使用可重入保护——防止此类攻击的代码片段。来自SolidityFinance的GrimFinance的审计报告错误地指出该协议有可重入保护——提醒审计并不能保证不会发生漏洞。

12?.?MeerkatFinance:??3100万美元

动态 | 中国日报网盘点2019年10月新闻热词汇总，区块链包含在内:11月1日，中国日报网盘点2019年10月新闻热词汇总，其中包括区块链技术应用。据悉，中共中央局10月24日下午就区块链技术发展现状和趋势进行第十八次集体学习。中共中央总书记在主持学习时强调，区块链技术的集成应用在新的技术革新和产业变革中起着重要作用，要加快推动区块链技术和产业创新发展。[2019/11/1]

有时，DeFi协议很快就会遭受第一次攻击。基于币安智能链的借贷协议MeerkatFinance在2021年3月推出仅一天后就损失了3100万美元的用户资金。

攻击者在合约中调用了一个函数，使他们的地址成为金库所有者，从而耗尽了该项目1396万美元的币安稳定币BUSD，以及另外73,000BNB。BNB抢劫案当时价值约1740万美元。

许多用户认为这是一项内部工作：协议开发人员的地毯式拉扯。MeerkatFinance否认了这些指控。

11.VeeFinance：3500万美元

2021年夏季，Avalanche的活动有所增加，这也吸引了那些渴望利用区块链网络新兴生态系统的人。

2021年9月，就在借贷平台VeeFinance庆祝锁定资产总价值达到3亿美元的里程碑仅一周后，它遭受了Avalanche网络上最大的攻击。

这次攻击之所以成功，主要是因为VeeFinance的杠杆交易功能依赖于Avalanche的主要流动性协议Pangolin提供的代币价格。为了滥用这一点，攻击者在Pangolin上创建了7个交易对，提供了流动性，最后在Vee上进行了杠杆交易。这使他们能够从协议中消耗3500万美元的加密货币。

动态 | 汇通网盘点2018年全球金融业十大热词 加密货币上榜:今日汇通网盘点了2018年十大金融业热词，分别为：1）美国政府关门；2）英国脱欧；3）全球贸易摩擦；4）意大利预算危机；5）德国经济失速；6）加密货币泡沫；7）伊朗制裁；8）美联储加息；9）新兴市场货币危机；10）美债收益率。[2019/1/7]

在发给“亲爱的先生/女士0x**95BA”的推文中，该协议要求攻击者将资金作为赏金计划的一部分返还，这将让攻击者保留一部分。但Vee黑客没有表现出归还资金的意愿。

10.PancakeBunny:?4500万美元

加密货币经常经历短暂但强烈的时尚。而在2021年春季，币安智能链是最热门的DeFi趋势，尤其是对于零售用户而言，因为其网络费用较低。?

但BSC也遭受了许多和黑客攻击，其中最大的一次是2021年5月针对单产农业协议PancakeBunny的攻击。?

一名黑客通过一系列八次闪贷攻击操纵了PancakeBunny的定价算法，抬高了该协议的原生代币$BUNNY的价格。黑客通过以市场价格低价购买BUNNY并以人为夸大的高价出售，从而赚了4500万美元。

9.bZx：5500万美元

在“私钥”被泄露后，多链借贷协议bZx于2021年11月遭到黑客攻击。该协议在BinanceSmartChain和Polygon上总共损失了5500万美元。

动态 | 证券日报发布2018年区块链行业焦点盘点:证券日报发布《2018年区块链行业焦点盘点：乱象频发币圈狼藉监管筑篱》文章称，很多人将此轮区块链热潮与20年前的互联网泡沫相比。可以确定的是，区块链“泡沫”一定有，但区块链能否如互联网般改造世界，尚难下定论。监管部门去年以来重拳出击，规范资本市场“炒链”行为，严厉惩治ICO。从中央到地方，掀起防范以“区块链”名义进行非法集资的高潮，不断给区块链“排瘦身”。而瘦身后的区块链也正逐步回归理性——币圈萧条，市场开始重新审视以比特币为代表的加密数字货币的价值与意义；去芜存菁，越来越多的企业沉下心转向技术应用开发；人才成本也挤出“泡沫”，回归同行业正常水平。[2019/1/4]

但是bZx之前已经经历过两次类似的痛苦。

尽管闪电贷攻击是当今常见的DeFi攻击策略，但bZx在这方面是一个“OG”。它在2020年2月遭受了针对其保证金交易平台Fulcrum的闪电贷攻击。黑客偷走了1,300个包裹的ETH，当时价值366,000美元。

在2020年9月的另一次攻击中，bZx损失了30%的锁定在其金库中的资金，当时价值800万美元。然而，持有未平仓保证金头寸的用户并没有遭受损失，因为正如协议后来在一份报告中所说，这些资金是从bZx的保险基金中扣除的。

8.BadgerDAO:?1.2亿美元

从DeFi项目中蒸发数百万美元的智能合约漏洞并不总是如此。?

2021年12月，在者诱BadgerDAO成员批准恶意交易，让他们控制用户的保险库资金并转移资金后，比特币到DeFi的桥接器BadgerDAO损失了1.2亿美元。

区块链安全公司PeckShield表示，该协议的合约不受攻击，只有用户界面受到影响。

午间行情盘点:BTC全球均价8771美元，涨幅0.42%，火币Pro上交易价格为8761美元，币安交易价格为8766美元，OKEx上交易价格为8778美元。其它主流币种在火币Pro的行情为，BCH现价1270美元，涨幅3.98%；ETH现价861美元，涨幅3.17%；ETC现价34.52美元，涨幅11.13%；LTC现价182.2美元，涨幅16.89%；XRP现价1.02美元，涨幅3.87%。[2018/2/14]

7.CreamFinance:?1.3亿美元

借贷协议CreamFinance在2021年10月?的一次闪电贷攻击中损失了1.3亿美元——这是该协议遭受的第三次攻击。

如果您在同一笔交易中偿还，闪电贷允许您立即获得贷款。尽管对套利交易有用，但它们被恶意行为者广泛部署以利用DeFi协议中的漏洞。在CreamFinance的案例中，闪电贷黑客能够通过在不同的以太坊地址上反复进行闪电贷来利用定价漏洞。

CreamFinance以前见过这一切。2021年8月，一名黑客在另一次主要针对FlexaNetwork的原生代币AMP的闪电贷攻击中窃取了约2500万美元。在2021年2月的一次闪电贷攻击中，黑客从协议池中吸走了3750万美元。

6.VulcanForged:??1.4亿美元

午间大盘点：数字货币普涨 :比特币（BTC）最新成交价格为124392.34元，最高价格为126651.25元，最低价格为11955.86元，24小时涨幅为0.23%，成交量达4.06万个BTC；

以太坊（ETH）最新成交价格为5376.49元，最高价格为5416.12元，最低价格为4630.90元，24小时涨幅为11.79%，成交量达44.44万个ETH；

以太经典（ETC）最新成交价格为261.83元，最高价格为277.40元，最低价格为216.07元，24小时涨幅4.92%，成交量达224.56万个ETC；

量子链（QTUM）最新成交价格为429.11元，最高价格为475.50元，最低价格为186.82元，24小时涨幅40.32%，成交量达102.26万个QTUM；

莱特币（LTC）最新成交价格为2410.11元，最高价格为2449.01元，最低价格为2010.44元，24小时涨幅15.29%，成交量达62.98万个LTC；

瑞波币（XRP）最新成交价格为5.40元，最高价格为5.53元，最低价格为4.51元，24小时涨幅14.14%，成交量达16663.58万个XRP；

达世币（DASH）最新成交价格为7912.81元，最高价格为8013.21元，最低价格为6816.38元，24小时涨幅11.96%，成交量达3.01万个DASH；

EOS最新成交价格为67.01元，最高价格为71.00元，最低价格为51.81元，24小时涨幅24.64%，成交量达1456.01万个EOS；

ZEC最新成交价格为3764.07元，最高价格为3896.96元，最低价格为2972.32元，24小时涨幅7.52%，成交量达8.78万个ZEC；

OMG最新成交价格为136.05元，最高价格为136.05元，最低价格为102.38元，24小时涨幅21.88%，成交量达319.63万个OMG。[2017/12/19]

Play-to-earn是加密领域的最新趋势之一，但它并非摆脱了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戏赚钱平台VulcanForged在2021年12月的用户损失1.4亿美元时惨痛地吸取了这一教训。

根据报告，一名黑客获得了该平台集中式用户钱包Venly的凭据，以获取96个加密钱包的私钥。后来，黑客利用它获取了平台资产组合功能MyForge中的私钥，最终盗取了450万枚VulcanForged原生PYR代币。

VulcanForged首席执行官JamieThomson在对社区的讲话中说：“当然，展望未来，我们将只使用去中心化钱包，因此我们再也不必遇到这个问题了。”

5.Compound:?1.5亿美元?

与大多数DeFi协议一样，借贷协议Compound有一个治理令牌COMP。该协议在特定条件下向用户分发代币。

2021年10月，Compound出现了一个漏洞——“DeFi中保存最完好的秘密”——让借款人索取的COMP份额超过了他们的预期份额。该漏洞涉及其两个保险库，或智能合约上的资金池。用户将调用Reservoir保险库上的特定函数—drip()，它会重新填充另一个保险库Comptroller。该保险库会自动将大量COMP分配到错误的地址。泄漏水龙头是先前协议更新中引入的错误的结果。

在将8000万美元的COMP发送给错误的人之后，该团队急于修补。但在实施任何修复之前，该协议需要通过治理提案。它创建于10月2日，最终于10月9日被接受。在社区辩论期间，金库又损失了6880万美元。

Compound的创始人罗伯特·莱什纳(RobertLeshner)是如何试图把钱拿回来的？通过推特，“任何将COMP归还给社区的人都是外星人。如果一队外星巨魔召唤我，我会出现的。”?几乎一半的资金被退回。?

4.Beanstalk:?1.82亿美元?

闪电贷款——如此有用，但又如此危险。在庆祝1.5亿美元的资产被锁定在其协议中仅仅两天后，基于以太坊的Beanstalk发现在一次闪电贷款攻击中丢失了1.82亿美元。黑客设法通过TornadoCash在以太坊中8000万美元。

Beanstalk以其算法稳定币BEAN而闻名，它应该价值1美元。虽然它设法在攻击发生后立即保持锚定，但该漏洞证明算法稳定币仅与支撑它们的合约一样稳定。

3.Wormhole:?3.26亿美元?

随着越来越多的第1层区块链构建在其上，用户对在链之间转移资金的愿望越来越强烈。跨链桥解决了这一需求，但它们也带来了新的漏洞。最具破坏性的跨链事件发生在2022年1月，当时流行的桥梁Wormhole在WrappedEthereum(wETH)中损失了3.2亿美元。WETH是一种与以太坊价格1:1挂钩的加密货币。

黑客瞄准了Solana上的桥段，用户必须首先将以太坊锁定在智能合约中，才能获得等量的WrappedEthereum。黑客设法通过铸造WETH而不将ETH锁定在Wormhole中找到解决此问题的方法。

Wormhole开发的利益相关者JumpTradingGroup主动补充虫洞的以太坊金库，使其重新完整。

2.Ronin:?5.52亿美元?

NFT驱动的游戏赚钱游戏AxieInfinity是去年最大的加密成功案例之一。2022年3月23日，它成为加密领域最大的黑客攻击之一的受害者，估计有5.52亿美元的加密货币使用“被黑的私钥”从桥流到其Ronin侧链。

一周后，当AxieInfinity开发商SkyMavis披露该漏洞利用时，被盗资金的价值已升至6.22亿美元。

根据SkyMavis的一份报告，攻击者使用“通过我们的无气体RPC节点的后门，他们滥用该后门来获取AxieDAO验证器的签名”。

解释说，由于用户负载高，SkyMavis在2021年11月转向AxieDAO分发免费交易，报告补充说，“AxieDAO允许SkyMavis代表其签署各种交易。这已于2021年12月停止，但未撤销许可名单访问权限。”

利用该漏洞，攻击者随后能够签署来自Ronin网络上九个验证节点中的五个节点的交易，包括AxieDAO的节点和SkyMavis自己的四个节点。这反过来又让攻击者伪造交易并索取173,600WETH和2550万美元，总计约6.22亿美元。

AxieInfinity联合创始人JeffZirlin称其为“历史上最大的黑客攻击之一”，并指出“有可能会识别出并将其绳之以法。”

1.PolyNetwork:??6.11亿美元

PolyNetwork黑客仍然是加密领域最大的黑客——不仅仅是DeFi。不过幸运的是，始于2021年8月10日的传奇故事在经历了一系列奇怪的曲折后三天后圆满结束。

当一名黑客利用PolyNetwork的“合约调用”中的漏洞时，盗窃开始了。黑客迅速用各种加密货币窃取了6.11亿美元，导致Poly发布了一封绝望的信，称其为“亲爱的黑客”。

这种沟通尝试以及随后的外展努力最终奏效了。该协议提供了50万美元的赏金，并让黑客有机会成为其首席安全顾问。但在链上问答环节中，黑客解释说，该漏洞只是为了给PolyNetwork上一课。他们说，归还被盗资金“始终是计划”。

加密货币安全公司SlowMist表示，它识别了攻击者的身份标记，并且该漏洞“很可能是一次长期计划、有组织和有准备的攻击”。?

“现在每个人都闻到了阴谋的味道，”黑客说，否认他们是内部人员。“但谁知道呢？”

标签：ANCEFI区块链DEFAmbitFinanceKingDeFi区块链技术Alchemist DeFi Aurum

Pol币热门资讯