ANC:盤點：加密史上13次最大的DeFi黑客和搶劫

去中心化金融 ( DeFi ) 是指區塊鏈應用程序，可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然 DeFi 帶來了高回報，但它也帶來了很多風險。?

由于幾乎任何人都可以啟動 DeFi 協議并編寫一些智能合約，因此代碼中的缺陷很常見。在 DeFi 中，有許多不擇手段的行為者已經準備好并且能夠利用這些缺陷。當這種情況發生時，數百萬美元將被盜取，而用戶通常沒有追索權。

根據 Elliptic 11 月的一份報告，DeFi 用戶在 2021 年因盜竊損失了 105 億美元。但正如我們最大的 DeFi 漏洞利用列表所示，這個數字已經增長了數百萬。

（以下所有數字均為事件發生時的資金價值。）

13?.?Grim Finance:?3000萬美元

dApp 通常從構建它們的區塊鏈中獲取主題靈感。因此，Avalanche 生態系統充滿了參考，例如 Snowtrace、Blizz 和 Defrost。同時，Fantom 生態系統感覺就像一場鏈上萬圣節派對。當出現問題時，這會增加一個更黑暗的旋轉，就像收益優化器協議Grim Finance 的情況一樣。

2021 年 12 月，該協議遭受了重入攻擊，這是一種攻擊者在之前的交易尚未結算的情況下偽造額外存款到保險庫的漏洞。最終，攻擊誘使智能合約釋放了價值 3000 萬美元的 Fantom 代幣。

DeFi 協議通常使用可重入保護——防止此類攻擊的代碼片段。來自 Solidity Finance 的 Grim Finance 的審計報告錯誤地指出該協議有可重入保護——提醒審計并不能保證不會發生漏洞。

12?.?Meerkat Finance:??3100 萬美元

央行盤點2020：積極運用區塊鏈等技術將金融服務融入實體經濟“關鍵動脈”:央行發布《盤點央行的2020 | ⑦金融科技和金融基礎設施》表示，積極運用大數據、人工智能、區塊鏈等技術將金融服務融入實體經濟“關鍵動脈”。首個由我國專家召集制定的ISO標準《銀行產品服務描述規范》正式發布，同時牽頭研制移動支付、區塊鏈、綠色金融等多項國際標準。（中國人民銀行公眾號）[2021/1/11 15:53:08]

有時，DeFi 協議很快就會遭受第一次攻擊。基于幣安智能鏈的借貸協議Meerkat Finance在 2021 年 3 月推出僅一天后就損失了 3100 萬美元的用戶資金。

攻擊者在合約中調用了一個函數，使他們的地址成為金庫所有者，從而耗盡了該項目 1396 萬美元的幣安穩定幣BUSD，以及另外 73,000 BNB（幣安的原生代幣）。BNB 搶劫案當時價值約 1740 萬美元。

許多用戶認為這是一項內部工作：協議開發人員的地毯式拉扯。Meerkat Finance否認了這些指控。

11 . Vee Finance：3500萬美元

2021 年夏季，Avalanche的活動有所增加，這也吸引了那些渴望利用區塊鏈網絡新興生態系統的人。

2021 年 9 月，就在借貸平臺 Vee Finance慶祝鎖定資產總價值達到 3 億美元的里程碑僅一周后，它遭受了 Avalanche 網絡上最大的攻擊。

這次攻擊之所以成功，主要是因為Vee Finance 的杠桿交易功能依賴于 Avalanche 的主要流動性協議 Pangolin 提供的代幣價格。為了濫用這一點，攻擊者在 Pangolin 上創建了 7 個交易對，提供了流動性，最后在 Vee 上進行了杠桿交易。這使他們能夠從協議中消耗 3500 萬美元的加密貨幣。

V神盤點以太坊2020年進步，包括PoS測試網及MakerDAO等:V神在推文中列出以太坊在2017年沒有、但是在2020年擁有的東西： Uniswap；http://Tornado.cash；Status；MakerDAO；ZK Rollups（如Loopring），吞吐量超過2000 TPS；PoS測試網；叔塊率< 10%，區塊Gas上限為1000萬；Gitcoin贈款。[2020/3/28]

在發給“親愛的先生/女士 0x**95BA”的推文中，該協議要求攻擊者將資金作為賞金計劃的一部分返還，這將讓攻擊者保留一部分。但 Vee 黑客沒有表現出歸還資金的意愿。

10. PancakeBunny:?4500萬美元

加密貨幣經常經歷短暫但強烈的時尚。而在 2021 年春季，幣安智能鏈（BSC）（現在只是 BNB 鏈）是最熱門的 DeFi 趨勢，尤其是對于零售用戶而言，因為其網絡費用較低。?

但 BSC 也遭受了許多詐騙和黑客攻擊，其中最大的一次是2021 年 5 月針對單產農業協議 PancakeBunny 的攻擊。?

一名黑客通過一系列八次閃貸攻擊操縱了 PancakeBunny 的定價算法，抬高了該協議的原生代幣 $BUNNY 的價格。黑客通過以市場價格低價購買 BUNNY 并以人為夸大的高價出售，從而賺了 4500 萬美元。

9 . bZx：5500 萬美元

在“私鑰”被泄露后，多鏈借貸協議 bZx 于2021 年 11 月遭到黑客攻擊。該協議在 Binance Smart Chain 和 Polygon 上總共損失了 5500 萬美元。

動態 | 2019年區塊鏈十大事件盤點:1：中國擁抱區塊鏈

2019年10月24日，中央局第十八次集體學習時強調，區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用。

2：央行數字貨幣試點

2014年中國央行開始研究法定數字貨幣（DCEP）。DCEP的完整字面意思就是數字貨幣電子支付。

3：Facebook發布Libra計劃

2019年6月，Facebook發布Libra白皮書，Libra的使命是建立一套簡單的、無國界的貨幣和為數十億人服務的金融基礎設施。

4：去中心化金融DeFi

去中心化金融（DeFi），解決傳統金融行業中的痛點，被稱作DeFi 是加密史上第二個突破。

5：IEO開始流行

IEO是ICO之后，幣圈誕生的一種新籌集資金方式，項目方依托交易所進行資金籌集。

6：Bakkt 推出比特幣期貨

2019年9月23日， 號稱幣圈牛市的發動機的Bakkt上線。

7：嘉楠科技上市

美國東部時間11月21日嘉楠科技正式上市納斯達克，IPO發行價最終鎖定在每股9美元，總計募資9000萬美元。

8：模式幣走紅幣圈

模式幣，使用類似模式的幣種，通過拉人頭、分紅、合伙人等等推廣營銷模式，配合資金控盤，來吸引散戶進場接盤。

9：以太坊伊斯坦布爾升級

以太坊網絡在2019年12月8日， 9,069,000區塊高度完成升級，代號：伊斯坦布爾（Istanbul）。

10：吳忌寒詹克團之爭

吳忌寒奪權：10月29日全球最大的礦機生產商之一的比特大陸創始人吳忌寒以比特大陸集團董事會主席、北京比特大陸科技有限公司法定代表人、執行董事的身份，向全體員工發送郵件，宣布解除詹克團在比特大陸的一切職務，即刻生效。[2019/12/23]

但是bZx之前已經經歷過兩次類似的痛苦。

盡管閃電貸攻擊是當今常見的 DeFi 攻擊策略，但 bZx 在這方面是一個“OG”。它在 2020 年 2 月遭受了針對其保證金交易平臺 Fulcrum 的閃電貸攻擊。黑客偷走了 1,300 個包裹的 ETH，當時價值 366,000 美元。

動態 | 中國日報網盤點2019年10月新聞熱詞匯總，區塊鏈包含在內:11月1日，中國日報網盤點2019年10月新聞熱詞匯總，其中包括區塊鏈技術應用。據悉，中共中央局10月24日下午就區塊鏈技術發展現狀和趨勢進行第十八次集體學習。中共中央總書記習近平在主持學習時強調，區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用，要加快推動區塊鏈技術和產業創新發展。[2019/11/1]

在 2020 年 9 月的另一次攻擊中，bZx 損失了 30% 的鎖定在其金庫中的資金，當時價值 800 萬美元。然而，持有未平倉保證金頭寸的用戶并沒有遭受損失，因為正如協議后來在一份報告中所說，這些資金是從 bZx 的保險基金中扣除的。

8. Badger DAO:?1.2億美元

從 DeFi 項目中蒸發數百萬美元的智能合約漏洞并不總是如此。?

2021 年 12 月，在詐騙者誘騙 Badger DAO 成員批準惡意交易，讓他們控制用戶的保險庫資金并轉移資金后，比特幣到 DeFi 的橋接器 Badger DAO損失了 1.2 億美元。

區塊鏈安全公司 PeckShield 表示，該協議的合約不受攻擊，只有用戶界面受到影響。

7. Cream Finance:?1.3億美元

借貸協議 Cream Finance在 2021 年 10 月?的一次閃電貸攻擊中損失了 1.3 億美元——這是該協議遭受的第三次攻擊。

如果您在同一筆交易中償還，閃電貸允許您立即獲得貸款。盡管對套利交易有用，但它們被惡意行為者廣泛部署以利用 DeFi 協議中的漏洞。在 Cream Finance 的案例中，閃電貸黑客能夠通過在不同的以太坊地址上反復進行閃電貸來利用定價漏洞。

分析 | 交易所資金進出量全面下降 市場將迎來變盤點:據合約帝交易所鏈上轉賬報告顯示，截至北京時間7月24日18:00，今日BTC流入交易所15522個，較昨日下降29.2%，流出交易所21563個，較昨日下降13.39%。今日ETH流入交易所299081個，較昨日下降16.34%，流出交易所317349個，較昨日下降11.27%。合約帝入駐實盤分析師天啟資本分析認為，持續多日的震蕩行情依舊接近三角區間的末端，隨著交易所資金進出量和成交量的全方位下滑，近日市場將要迎來變盤點。[2019/7/24]

Cream Finance以前見過這一切。2021 年 8 月，一名黑客在另一次主要針對 Flexa Network 的原生代幣 AMP 的閃電貸攻擊中竊取了約 2500 萬美元。在 2021 年 2 月的一次閃電貸攻擊中，黑客從協議池中吸走了 3750 萬美元。

6. Vulcan Forged:??1.4億美元

Play-to-earn是加密領域的最新趨勢之一，但它并非擺脫了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戲賺錢平臺 Vulcan Forged在 2021 年 12 月的用戶損失 1.4 億美元時慘痛地吸取了這一教訓。

根據報告，一名黑客獲得了該平臺集中式用戶錢包 Venly 的憑據，以獲取 96 個加密錢包的私鑰。后來，黑客利用它獲取了平臺資產組合功能 MyForge 中的私鑰，最終盜取了 450 萬枚 Vulcan Forged 原生 PYR 代幣。

Vulcan Forged 首席執行官 Jamie Thomson 在對社區的講話中說：“當然，展望未來，我們將只使用去中心化錢包，因此我們再也不必遇到這個問題了。”

5. Compound:?1.5億美元?

與大多數 DeFi 協議一樣，借貸協議 Compound有一個治理令牌 COMP。該協議在特定條件下向用戶分發代幣。

2021 年 10 月，Compound出現了一個漏洞——“ DeFi 中保存最完好的秘密”——讓借款人索取的 COMP 份額超過了他們的預期份額。該漏洞涉及其兩個保險庫，或智能合約上的資金池。用戶將調用 Reservoir 保險庫上的特定函數 —drip()，它會重新填充另一個保險庫 Comptroller。該保險庫會自動將大量 COMP 分配到錯誤的地址。泄漏水龍頭是先前協議更新中引入的錯誤的結果。

在將 8000 萬美元的 COMP 發送給錯誤的人之后，該團隊急于修補。但在實施任何修復之前，該協議需要通過治理提案。它創建于 10 月 2 日，最終于 10 月 9 日被接受。在社區辯論期間，金庫又損失了 6880 萬美元。

Compound 的創始人羅伯特·萊什納 (Robert Leshner) 是如何試圖把錢拿回來的？通過推特，“任何將 COMP 歸還給社區的人都是外星人。如果一隊外星巨魔召喚我，我會出現的。”?幾乎一半的資金被退回。?

4. Beanstalk:?1.82億美元?

閃電貸款——如此有用，但又如此危險。在慶祝 1.5 億美元的資產被鎖定在其協議中僅僅兩天后，基于以太坊的 Beanstalk發現在一次閃電貸款攻擊中丟失了 1.82 億美元。黑客設法通過 Tornado Cash 在以太坊中洗錢 8000 萬美元。

Beanstalk 以其算法穩定幣 BEAN 而聞名，它應該價值 1 美元。雖然它設法在攻擊發生后立即保持錨定，但該漏洞證明算法穩定幣僅與支撐它們的合約一樣穩定。

3. Wormhole:?3.26億美元?

隨著越來越多的第 1 層區塊鏈構建在其上，用戶對在鏈之間轉移資金的愿望越來越強烈。跨鏈橋解決了這一需求，但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在 2022 年 1 月，當時流行的橋梁 Wormhole在 Wrapped Ethereum (wETH)中損失了 3.2 億美元。WETH 是一種與以太坊價格 1:1 掛鉤的加密貨幣。

黑客瞄準了 Solana 上的橋段，用戶必須首先將以太坊鎖定在智能合約中，才能獲得等量的 Wrapped Ethereum。黑客設法通過鑄造 WETH 而不將 ETH 鎖定在 Wormhole 中找到解決此問題的方法。

Wormhole開發的利益相關者 Jump Trading Group主動補充蟲洞的以太坊金庫，使其重新完整。

2. Ronin:?5.52億美元?

NFT 驅動的游戲賺錢游戲Axie Infinity是去年最大的加密成功案例之一。2022 年 3 月 23 日，它成為加密領域最大的黑客攻擊之一的受害者，估計有 5.52 億美元的加密貨幣使用“被黑的私鑰”從橋流到其 Ronin 側鏈。

一周后，當 Axie Infinity 開發商 Sky Mavis 披露該漏洞利用時，被盜資金的價值已升至 6.22 億美元。

根據 Sky Mavis 的一份報告，攻擊者使用“通過我們的無氣體 RPC 節點的后門，他們濫用該后門來獲取 Axie DAO 驗證器的簽名”。

解釋說，由于用戶負載高，Sky Mavis 在 2021 年 11 月轉向 Axie DAO 分發免費交易，報告補充說，“Axie DAO 允許 Sky Mavis 代表其簽署各種交易。這已于 2021 年 12 月停止，但未撤銷許可名單訪問權限。”

利用該漏洞，攻擊者隨后能夠簽署來自 Ronin 網絡上九個驗證節點中的五個節點的交易，包括 AxieDAO 的節點和 Sky Mavis 自己的四個節點。這反過來又讓攻擊者偽造交易并索取 173,600 WETH（Wrapped Ethereum）和 2550 萬美元，總計約 6.22 億美元。

Axie Infinity 聯合創始人 Jeff Zirlin 稱其為“歷史上最大的黑客攻擊之一”，并指出“有可能會識別出 [黑客] 并將其繩之以法。”

1. Poly Network:??6.11億美元

Poly Network 黑客仍然是加密領域最大的黑客——不僅僅是 DeFi。不過幸運的是，始于 2021 年 8 月 10 日的傳奇故事在經歷了一系列奇怪的曲折后三天后圓滿結束。

當一名黑客利用 Poly Network 的“合約調用”（為協議提供動力的代碼片段）中的漏洞時，盜竊開始了。黑客迅速用各種加密貨幣竊取了 6.11 億美元，導致 Poly 發布了一封絕望的信，稱其為“親愛的黑客”。

這種溝通嘗試以及隨后的外展努力最終奏效了。該協議提供了 50 萬美元的賞金，并讓黑客有機會成為其首席安全顧問。但在鏈上問答環節中，黑客解釋說，該漏洞只是為了給 Poly Network 上一課。他們說，歸還被盜資金“始終是計劃”。

加密貨幣安全公司 SlowMist 表示，它識別了攻擊者的身份標記，并且該漏洞“很可能是一次長期計劃、有組織和有準備的攻擊”。?

“現在每個人都聞到了陰謀的味道，”黑客說，否認他們是內部人員。“但誰知道呢？”

Tags：ANCDEFEFIDEFICoinlancerEarn DeFi CoinDeFinitionMy Defi Legends

MEXC