去中心化金融 ( DeFi ) 是指區塊鏈應用程序,可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然 DeFi 帶來了高回報,但它也帶來了很多風險。?
由于幾乎任何人都可以啟動 DeFi 協議并編寫一些智能合約,因此代碼中的缺陷很常見。在 DeFi 中,有許多不擇手段的行為者已經準備好并且能夠利用這些缺陷。當這種情況發生時,數百萬美元將被盜取,而用戶通常沒有追索權。
根據 Elliptic 11 月的一份報告,DeFi 用戶在 2021 年因盜竊損失了 105 億美元。但正如我們最大的 DeFi 漏洞利用列表所示,這個數字已經增長了數百萬。
(以下所有數字均為事件發生時的資金價值。)
13?.?Grim Finance:?3000萬美元
dApp 通常從構建它們的區塊鏈中獲取主題靈感。因此,Avalanche 生態系統充滿了參考,例如 Snowtrace、Blizz 和 Defrost。同時,Fantom 生態系統感覺就像一場鏈上萬圣節派對。當出現問題時,這會增加一個更黑暗的旋轉,就像收益優化器協議Grim Finance 的情況一樣。
2021 年 12 月,該協議遭受了重入攻擊,這是一種攻擊者在之前的交易尚未結算的情況下偽造額外存款到保險庫的漏洞。最終,攻擊誘使智能合約釋放了價值 3000 萬美元的 Fantom 代幣。
DeFi 協議通常使用可重入保護——防止此類攻擊的代碼片段。來自 Solidity Finance 的 Grim Finance 的審計報告錯誤地指出該協議有可重入保護——提醒審計并不能保證不會發生漏洞。
12?.?Meerkat Finance:??3100 萬美元
投資盤點公司Deal Box成立風投公司以投資Web3技術:金色財經報道,基于區塊鏈的數字證券和投資盤點公司 Deal Box 成立 Deal Box Ventures,將向新興增長領域、房地產、FinTech、FunTech 和社會影響五個方面的 Web3 技術投資 1.25 億美元。 Deal Box 已經完成了對 Total Network Services、 Rypplzz 和 Forward-Edge AI 的初步戰略投資。[2023/1/18 11:19:29]
有時,DeFi 協議很快就會遭受第一次攻擊。基于幣安智能鏈的借貸協議Meerkat Finance在 2021 年 3 月推出僅一天后就損失了 3100 萬美元的用戶資金。
攻擊者在合約中調用了一個函數,使他們的地址成為金庫所有者,從而耗盡了該項目 1396 萬美元的幣安穩定幣BUSD,以及另外 73,000 BNB(幣安的原生代幣)。BNB 搶劫案當時價值約 1740 萬美元。
許多用戶認為這是一項內部工作:協議開發人員的地毯式拉扯。Meerkat Finance否認了這些指控。
11 . Vee Finance:3500萬美元
2021 年夏季,Avalanche的活動有所增加,這也吸引了那些渴望利用區塊鏈網絡新興生態系統的人。
2021 年 9 月,就在借貸平臺 Vee Finance慶祝鎖定資產總價值達到 3 億美元的里程碑僅一周后,它遭受了 Avalanche 網絡上最大的攻擊。
V神盤點以太坊2020年進步,包括PoS測試網及MakerDAO等:V神在推文中列出以太坊在2017年沒有、但是在2020年擁有的東西: Uniswap;http://Tornado.cash;Status;MakerDAO;ZK Rollups(如Loopring),吞吐量超過2000 TPS;PoS測試網;叔塊率< 10%,區塊Gas上限為1000萬;Gitcoin贈款。[2020/3/28]
這次攻擊之所以成功,主要是因為Vee Finance 的杠桿交易功能依賴于 Avalanche 的主要流動性協議 Pangolin 提供的代幣價格。為了濫用這一點,攻擊者在 Pangolin 上創建了 7 個交易對,提供了流動性,最后在 Vee 上進行了杠桿交易。這使他們能夠從協議中消耗 3500 萬美元的加密貨幣。
在發給“親愛的先生/女士 0x**95BA”的推文中,該協議要求攻擊者將資金作為賞金計劃的一部分返還,這將讓攻擊者保留一部分。但 Vee 黑客沒有表現出歸還資金的意愿。
10. PancakeBunny:?4500萬美元
加密貨幣經常經歷短暫但強烈的時尚。而在 2021 年春季,幣安智能鏈(BSC)(現在只是 BNB 鏈)是最熱門的 DeFi 趨勢,尤其是對于零售用戶而言,因為其網絡費用較低。?
但 BSC 也遭受了許多詐騙和黑客攻擊,其中最大的一次是2021 年 5 月針對單產農業協議 PancakeBunny 的攻擊。?
一名黑客通過一系列八次閃貸攻擊操縱了 PancakeBunny 的定價算法,抬高了該協議的原生代幣 $BUNNY 的價格。黑客通過以市場價格低價購買 BUNNY 并以人為夸大的高價出售,從而賺了 4500 萬美元。
動態 | 澳媒盤點12國加密貨幣稅制 日本稅率最高:7月23日,澳大利亞加密貨幣媒體Mickey發文盤點各國加密貨幣稅制,并指出日本加密貨幣稅率非常高。根據2017年4月實行的資金結算法修訂版,加密貨幣交易所產生的利益所得劃分為雜項收入,所得稅最高可達45%,作為伴隨著損失的交易市場稅率來說非常高。此外,該媒體列舉了以下幾個國家的加密貨幣稅制:1、德國:加密貨幣交易免除附加稅,持續保有加密貨幣一年以上可免除轉讓所得稅。全部歐洲市民向德國轉移資產時可免除轉移稅。2、新加坡:長期投資加密貨幣的企業和個人免除轉讓所得稅。3、葡萄牙:不像加密貨幣征收附加稅和所得稅,但企業通過加密貨幣交易所得的收益需要課稅。4、馬耳他:加密貨幣的日交易作為法人稅征收稅金,但個人投資者購買和擁有加密貨幣不用繳納稅金。5、馬來西亞:不需要繳納轉讓所得稅。6、白俄羅斯:對加密貨幣挖礦和對加密貨幣的投資不征收稅金。7、瑞士:對專業投資者的加密貨幣交易征收法人稅,挖礦被視為個人營業收入,但個人投資者的投資及交易不需繳納轉讓所得稅。8、加密貨幣被認為是資產,納稅方式和股票一樣;如果購買加密貨幣并保留一年以上,根據收入水平征收0%至20%的稅金。9、澳大利亞:當所有交易均被視為轉讓收入,并且兌換為澳元時要求保留所有準確的交易記錄;如果進行加密貨幣投資獲得的利潤,就要交納與個人所得稅相同速率的稅金。但如果持有1年以上的加密貨幣,將減免50%的稅金。10、以色列和瑞典:如果納稅人不能證明他們購買的加密貨幣的購買額,將會征收百分之百的稅金。[2019/7/23]
9 . bZx:5500 萬美元
在“私鑰”被泄露后,多鏈借貸協議 bZx 于2021 年 11 月遭到黑客攻擊。該協議在 Binance Smart Chain 和 Polygon 上總共損失了 5500 萬美元。
午間行情盤點:BTC全球均價8771美元,漲幅0.42%,火幣Pro上交易價格為8761美元,幣安交易價格為8766美元,OKEx上交易價格為8778美元。其它主流幣種在火幣Pro的行情為,BCH現價1270美元,漲幅3.98%;ETH現價861美元,漲幅3.17%;ETC現價34.52美元,漲幅11.13%;LTC現價182.2美元,漲幅16.89%;XRP現價1.02美元,漲幅3.87%。[2018/2/14]
但是bZx之前已經經歷過兩次類似的痛苦。
盡管閃電貸攻擊是當今常見的 DeFi 攻擊策略,但 bZx 在這方面是一個“OG”。它在 2020 年 2 月遭受了針對其保證金交易平臺 Fulcrum 的閃電貸攻擊。黑客偷走了 1,300 個包裹的 ETH,當時價值 366,000 美元。
在 2020 年 9 月的另一次攻擊中,bZx 損失了 30% 的鎖定在其金庫中的資金,當時價值 800 萬美元。然而,持有未平倉保證金頭寸的用戶并沒有遭受損失,因為正如協議后來在一份報告中所說,這些資金是從 bZx 的保險基金中扣除的。
8. Badger DAO:?1.2億美元
從 DeFi 項目中蒸發數百萬美元的智能合約漏洞并不總是如此。?
2021 年 12 月,在詐騙者誘騙 Badger DAO 成員批準惡意交易,讓他們控制用戶的保險庫資金并轉移資金后,比特幣到 DeFi 的橋接器 Badger DAO損失了 1.2 億美元。
區塊鏈安全公司 PeckShield 表示,該協議的合約不受攻擊,只有用戶界面受到影響。
7. Cream Finance:?1.3億美元
雅虎財經2018年2月7日加密峰會盤點:
1. 摩根大通區塊鏈負責人Farooq:區塊鏈將從根本上改變商業的運作;數字貨幣必須解決洗錢問題。
2.Blockchain CEO:數字貨幣最厲害之處,就是在與任何國家無關的情況下成為金融體系的一部分。
3.DCG(數字貨幣集團)創始人Barry Silbert:大多數幣種沒有真正的實用性;希望未來讓DCG上市。
4.Fundstrat Global Advisors聯合創始人Tom Lee:數字貨幣市場不僅僅是個“十年的故事”,它將持續存在30年。數字貨幣市場像新興市場。如果相信區塊鏈,那就必須相信比特幣、以太坊以及所有的公鏈。
5.Indiegogo股權眾籌和加密貨幣投資負責人:最終將需要與監管機構來一次有意義的、權威的對話。
6.Chain聯合創始人兼CEO Adam Ludwin:人們其實希望對數字貨幣進行監管;以加密方式上發行傳統貨幣以后將是這個領域中的很大一部分。
7.瑞波CEO:瑞波超過50%合作金融機構為日本公司,瑞波幣將在3-5年內成功;長期看好比特幣,認為比特幣不會滅亡,但也不會解決付款問題。
8.Goodwin Procter律所合伙人Grant Fondo:不管某個項目看起來有多好,別把雞蛋放在一個籃子里。
9.數字商會總裁Perianne Boring:數字貨幣投資者需要做好研究,同時要有批判性思維。[2018/2/8]
借貸協議 Cream Finance在 2021 年 10 月?的一次閃電貸攻擊中損失了 1.3 億美元——這是該協議遭受的第三次攻擊。
如果您在同一筆交易中償還,閃電貸允許您立即獲得貸款。盡管對套利交易有用,但它們被惡意行為者廣泛部署以利用 DeFi 協議中的漏洞。在 Cream Finance 的案例中,閃電貸黑客能夠通過在不同的以太坊地址上反復進行閃電貸來利用定價漏洞。
Cream Finance以前見過這一切。2021 年 8 月,一名黑客在另一次主要針對 Flexa Network 的原生代幣 AMP 的閃電貸攻擊中竊取了約 2500 萬美元。在 2021 年 2 月的一次閃電貸攻擊中,黑客從協議池中吸走了 3750 萬美元。
6. Vulcan Forged:??1.4億美元
Play-to-earn是加密領域的最新趨勢之一,但它并非擺脫了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戲賺錢平臺 Vulcan Forged在 2021 年 12 月的用戶損失 1.4 億美元時慘痛地吸取了這一教訓。
根據報告,一名黑客獲得了該平臺集中式用戶錢包 Venly 的憑據,以獲取 96 個加密錢包的私鑰。后來,黑客利用它獲取了平臺資產組合功能 MyForge 中的私鑰,最終盜取了 450 萬枚 Vulcan Forged 原生 PYR 代幣。
Vulcan Forged 首席執行官 Jamie Thomson 在對社區的講話中說:“當然,展望未來,我們將只使用去中心化錢包,因此我們再也不必遇到這個問題了。”
5. Compound:?1.5億美元?
與大多數 DeFi 協議一樣,借貸協議 Compound有一個治理令牌 COMP。該協議在特定條件下向用戶分發代幣。
2021 年 10 月,Compound出現了一個漏洞——“ DeFi 中保存最完好的秘密”——讓借款人索取的 COMP 份額超過了他們的預期份額。該漏洞涉及其兩個保險庫,或智能合約上的資金池。用戶將調用 Reservoir 保險庫上的特定函數 —drip(),它會重新填充另一個保險庫 Comptroller。該保險庫會自動將大量 COMP 分配到錯誤的地址。泄漏水龍頭是先前協議更新中引入的錯誤的結果。
在將 8000 萬美元的 COMP 發送給錯誤的人之后,該團隊急于修補。但在實施任何修復之前,該協議需要通過治理提案。它創建于 10 月 2 日,最終于 10 月 9 日被接受。在社區辯論期間,金庫又損失了 6880 萬美元。
Compound 的創始人羅伯特·萊什納 (Robert Leshner) 是如何試圖把錢拿回來的?通過推特,“任何將 COMP 歸還給社區的人都是外星人。如果一隊外星巨魔召喚我,我會出現的。”?幾乎一半的資金被退回。?
4. Beanstalk:?1.82億美元?
閃電貸款——如此有用,但又如此危險。在慶祝 1.5 億美元的資產被鎖定在其協議中僅僅兩天后,基于以太坊的 Beanstalk發現在一次閃電貸款攻擊中丟失了 1.82 億美元。黑客設法通過 Tornado Cash 在以太坊中洗錢 8000 萬美元。
Beanstalk 以其算法穩定幣 BEAN 而聞名,它應該價值 1 美元。雖然它設法在攻擊發生后立即保持錨定,但該漏洞證明算法穩定幣僅與支撐它們的合約一樣穩定。
3. Wormhole:?3.26億美元?
隨著越來越多的第 1 層區塊鏈構建在其上,用戶對在鏈之間轉移資金的愿望越來越強烈。跨鏈橋解決了這一需求,但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在 2022 年 1 月,當時流行的橋梁 Wormhole在 Wrapped Ethereum (wETH)中損失了 3.2 億美元。WETH 是一種與以太坊價格 1:1 掛鉤的加密貨幣。
黑客瞄準了 Solana 上的橋段,用戶必須首先將以太坊鎖定在智能合約中,才能獲得等量的 Wrapped Ethereum。黑客設法通過鑄造 WETH 而不將 ETH 鎖定在 Wormhole 中找到解決此問題的方法。
Wormhole開發的利益相關者 Jump Trading Group主動補充蟲洞的以太坊金庫,使其重新完整。
2. Ronin:?5.52億美元?
NFT 驅動的游戲賺錢游戲Axie Infinity是去年最大的加密成功案例之一。2022 年 3 月 23 日,它成為加密領域最大的黑客攻擊之一的受害者,估計有 5.52 億美元的加密貨幣使用“被黑的私鑰”從橋流到其 Ronin 側鏈。
一周后,當 Axie Infinity 開發商 Sky Mavis 披露該漏洞利用時,被盜資金的價值已升至 6.22 億美元。
根據 Sky Mavis 的一份報告,攻擊者使用“通過我們的無氣體 RPC 節點的后門,他們濫用該后門來獲取 Axie DAO 驗證器的簽名”。
解釋說,由于用戶負載高,Sky Mavis 在 2021 年 11 月轉向 Axie DAO 分發免費交易,報告補充說,“Axie DAO 允許 Sky Mavis 代表其簽署各種交易。這已于 2021 年 12 月停止,但未撤銷許可名單訪問權限。”
利用該漏洞,攻擊者隨后能夠簽署來自 Ronin 網絡上九個驗證節點中的五個節點的交易,包括 AxieDAO 的節點和 Sky Mavis 自己的四個節點。這反過來又讓攻擊者偽造交易并索取 173,600 WETH(Wrapped Ethereum)和 2550 萬美元,總計約 6.22 億美元。
Axie Infinity 聯合創始人 Jeff Zirlin 稱其為“歷史上最大的黑客攻擊之一”,并指出“有可能會識別出 [黑客] 并將其繩之以法。”
1. Poly Network:??6.11億美元
Poly Network 黑客仍然是加密領域最大的黑客——不僅僅是 DeFi。不過幸運的是,始于 2021 年 8 月 10 日的傳奇故事在經歷了一系列奇怪的曲折后三天后圓滿結束。
當一名黑客利用 Poly Network 的“合約調用”(為協議提供動力的代碼片段)中的漏洞時,盜竊開始了。黑客迅速用各種加密貨幣竊取了 6.11 億美元,導致 Poly 發布了一封絕望的信,稱其為“親愛的黑客”。
這種溝通嘗試以及隨后的外展努力最終奏效了。該協議提供了 50 萬美元的賞金,并讓黑客有機會成為其首席安全顧問。但在鏈上問答環節中,黑客解釋說,該漏洞只是為了給 Poly Network 上一課。他們說,歸還被盜資金“始終是計劃”。
加密貨幣安全公司 SlowMist 表示,它識別了攻擊者的身份標記,并且該漏洞“很可能是一次長期計劃、有組織和有準備的攻擊”。?
“現在每個人都聞到了陰謀的味道,”黑客說,否認他們是內部人員。“但誰知道呢?”
1.DeFi代幣總市值:514.21億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:29.
1900/1/1 0:00:00北京時間 2022 年 5 月 9 日,知道創宇區塊鏈安全實驗室監測到 BSC 鏈上借貸協議 Fortress Protocol 因預言機問題被攻擊,這是最近實驗室檢測到的第三起預言機攻擊事件.
1900/1/1 0:00:001.DeFi代幣總市值:561.2億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:37.
1900/1/1 0:00:00據《華爾街日報》報道,幫助公司管理員工交易的Argus公司的一項分析顯示,一些加密貨幣投資者從有關交易所何時會上市代幣的內幕信息中受益.
1900/1/1 0:00:00在不同的時期,Web3.0會有不同的含義,而近期Web3.0最大的特點是允許用戶“擁有”網絡的一部分,真正成為自己數字資產的主人.
1900/1/1 0:00:001.這44個國家的央行和金融監管機構為何齊聚薩爾瓦多此時此刻,來自44個國家的32家中央銀行和12個金融當局于5月16日—5月18日齊聚薩爾瓦多開會.
1900/1/1 0:00:00