盤點：加密史上13次最大的DeFi黑客和搶劫_EFI:Scarcity DeFi

去中心化金融(DeFi)是指區塊鏈應用程序，可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然DeFi帶來了高回報，但它也帶來了很多風險。?

由于幾乎任何人都可以啟動DeFi協議并編寫一些智能合約，因此代碼中的缺陷很常見。在DeFi中，有許多不擇手段的行為者已經準備好并且能夠利用這些缺陷。當這種情況發生時，數百萬美元將被盜取，而用戶通常沒有追索權。

根據Elliptic11月的一份報告，DeFi用戶在2021年因盜竊損失了105億美元。但正如我們最大的DeFi漏洞利用列表所示，這個數字已經增長了數百萬。

13?.?GrimFinance:?3000萬美元

dApp通常從構建它們的區塊鏈中獲取主題靈感。因此，Avalanche生態系統充滿了參考，例如Snowtrace、Blizz和Defrost。同時，Fantom生態系統感覺就像一場鏈上萬圣節派對。當出現問題時，這會增加一個更黑暗的旋轉，就像收益優化器協議GrimFinance的情況一樣。

2021年12月，該協議遭受了重入攻擊，這是一種攻擊者在之前的交易尚未結算的情況下偽造額外存款到保險庫的漏洞。最終，攻擊誘使智能合約釋放了價值3000萬美元的Fantom代幣。

DeFi協議通常使用可重入保護——防止此類攻擊的代碼片段。來自SolidityFinance的GrimFinance的審計報告錯誤地指出該協議有可重入保護——提醒審計并不能保證不會發生漏洞。

12?.?MeerkatFinance:??3100萬美元

Cointelegraph盤點波場TRON 2022年度22大成就:1月8日消息，日前，區塊鏈行業媒體Cointelegraph發布波場TRON 2022年度的22大成就， 主要包括：TRON DAO成為世界上最大的DAO、擴大與火必的合作、推出穩定幣USDD、TRX和USDD獲得更多應用場景、成為多米尼克國家公鏈、建成行業第二大穩定幣生態系統、被評為最環保區塊鏈、TVL規模僅次于幣安以及用戶帳戶從6900萬增長到1.32億等。

Cointelegraph在文中稱，2022年是波場TRON歷史性增長的一年，全年累計新增用戶6300萬。作為加密行業的全球潮流引領者，波場TRON正在打造一個可以為每個人服務的生態系統基礎設施。[2023/1/8 11:00:51]

有時，DeFi協議很快就會遭受第一次攻擊。基于幣安智能鏈的借貸協議MeerkatFinance在2021年3月推出僅一天后就損失了3100萬美元的用戶資金。

攻擊者在合約中調用了一個函數，使他們的地址成為金庫所有者，從而耗盡了該項目1396萬美元的幣安穩定幣BUSD，以及另外73,000BNB。BNB搶劫案當時價值約1740萬美元。

許多用戶認為這是一項內部工作：協議開發人員的地毯式拉扯。MeerkatFinance否認了這些指控。

11.VeeFinance：3500萬美元

2021年夏季，Avalanche的活動有所增加，這也吸引了那些渴望利用區塊鏈網絡新興生態系統的人。

動態 | Cointelegraph盤點2019年最具活力和影響力的區塊鏈公司:Cointelegraph發文盤點2019年最具活力和影響力的區塊鏈公司，具體如下：

1. 加密貨幣托管和清算獲得動力：Gemini；

2. 去中心化穩定幣交易加速：Maker/DAI；

3. 游戲協議吸引主流興趣：TRON / WINk；

4. 利用不斷擴展的開發者社區：Ethereum；

5. 比特幣生態系統中的智能合約和DeFi：RSK；

6. 衍生品讓機構投資者的興趣達到頂峰：Bakkt；

7. 向加密生態系統添加資本市場功能：Binance；

8. 打開法幣閘門：Simplex；

9. 擴大對加密解決方案的訪問和認知：Coinbase；

10. 傳統支付公司利用加密技術并鼓勵采用：Skrill。[2020/2/10]

2021年9月，就在借貸平臺VeeFinance慶祝鎖定資產總價值達到3億美元的里程碑僅一周后，它遭受了Avalanche網絡上最大的攻擊。

這次攻擊之所以成功，主要是因為VeeFinance的杠桿交易功能依賴于Avalanche的主要流動性協議Pangolin提供的代幣價格。為了濫用這一點，攻擊者在Pangolin上創建了7個交易對，提供了流動性，最后在Vee上進行了杠桿交易。這使他們能夠從協議中消耗3500萬美元的加密貨幣。

在發給“親愛的先生/女士0x**95BA”的推文中，該協議要求攻擊者將資金作為賞金計劃的一部分返還，這將讓攻擊者保留一部分。但Vee黑客沒有表現出歸還資金的意愿。

10.PancakeBunny:?4500萬美元

動態 | 中國知識產權報盤點2019專利領域大事件 其中一項與區塊鏈相關:近日，中國知識產權報盤點2019專利領域大事件，其中包括“”區塊鏈：專利布局駛入“快車道”。文章指出，區塊鏈是近幾年的科技熱詞。自中共中央局2019年10月24日下午就區塊鏈技術發展現狀和趨勢進行第十八次集體學習后，區塊鏈再度成為全社會關注的焦點，并登上了各大權威紙媒與電視媒體的頭版頭條。區塊鏈專利領域呈現出四個特點：第一，我國創新主體開展專利布局時間較晚，但是專利申請量呈現快速增長態勢；第二，中美兩國是重要的市場和技術原創國家，中國偏重于國內布局，美國多邊布局態勢明顯，區塊鏈技術申請人分布較為分散，初創公司較多，沒有明顯專利壁壘以及行業領軍企業；第三，針對業內非常關注的區塊鏈的安全性、同步效率問題，我國已探索解決方案并形成一批核心專利；第四，區塊鏈技術應用前景廣闊，但部分技術難題仍懸而未決，亟需突破。[2020/1/19]

加密貨幣經常經歷短暫但強烈的時尚。而在2021年春季，幣安智能鏈是最熱門的DeFi趨勢，尤其是對于零售用戶而言，因為其網絡費用較低。?

但BSC也遭受了許多詐騙和黑客攻擊，其中最大的一次是2021年5月針對單產農業協議PancakeBunny的攻擊。?

一名黑客通過一系列八次閃貸攻擊操縱了PancakeBunny的定價算法，抬高了該協議的原生代幣$BUNNY的價格。黑客通過以市場價格低價購買BUNNY并以人為夸大的高價出售，從而賺了4500萬美元。

9.bZx：5500萬美元

在“私鑰”被泄露后，多鏈借貸協議bZx于2021年11月遭到黑客攻擊。該協議在BinanceSmartChain和Polygon上總共損失了5500萬美元。

午間行情盤點:BTC全球均價8771美元，漲幅0.42%，火幣Pro上交易價格為8761美元，幣安交易價格為8766美元，OKEx上交易價格為8778美元。其它主流幣種在火幣Pro的行情為，BCH現價1270美元，漲幅3.98%；ETH現價861美元，漲幅3.17%；ETC現價34.52美元，漲幅11.13%；LTC現價182.2美元，漲幅16.89%；XRP現價1.02美元，漲幅3.87%。[2018/2/14]

但是bZx之前已經經歷過兩次類似的痛苦。

盡管閃電貸攻擊是當今常見的DeFi攻擊策略，但bZx在這方面是一個“OG”。它在2020年2月遭受了針對其保證金交易平臺Fulcrum的閃電貸攻擊。黑客偷走了1,300個包裹的ETH，當時價值366,000美元。

在2020年9月的另一次攻擊中，bZx損失了30%的鎖定在其金庫中的資金，當時價值800萬美元。然而，持有未平倉保證金頭寸的用戶并沒有遭受損失，因為正如協議后來在一份報告中所說，這些資金是從bZx的保險基金中扣除的。

8.BadgerDAO:?1.2億美元

從DeFi項目中蒸發數百萬美元的智能合約漏洞并不總是如此。?

2021年12月，在詐騙者誘騙BadgerDAO成員批準惡意交易，讓他們控制用戶的保險庫資金并轉移資金后，比特幣到DeFi的橋接器BadgerDAO損失了1.2億美元。

區塊鏈安全公司PeckShield表示，該協議的合約不受攻擊，只有用戶界面受到影響。

7.CreamFinance:?1.3億美元

區塊鏈概念股漲跌盤點:

四方精創（300468）：現價42.80元，漲幅6.28%，成交額3.52億，流通市值28.62億；

飛天誠信（300386）：現價17.81元，漲幅1.77%；成交額4.60億，流通市值35.28億；

贏時勝（300377）：現價13.37元，漲幅1.67%；成交額7.64億，流通市值68.15億；

第一創業（002797）：現價9.87元，漲幅0.82%；成交額8.99億，流通市值189.35億；

廣電運通（002152）：現價7.52元，漲幅0.82%，成交額3.56億，流通市值146.99億；

北大荒（600598）：現價11.30元，漲幅0.53%；成交額1.54億，流通市值20.88億；

新國都（300130）：現價25.61元，跌幅0.27%；成交額1.08億，流通市值40.25億；[2017/12/20]

借貸協議CreamFinance在2021年10月?的一次閃電貸攻擊中損失了1.3億美元——這是該協議遭受的第三次攻擊。

如果您在同一筆交易中償還，閃電貸允許您立即獲得貸款。盡管對套利交易有用，但它們被惡意行為者廣泛部署以利用DeFi協議中的漏洞。在CreamFinance的案例中，閃電貸黑客能夠通過在不同的以太坊地址上反復進行閃電貸來利用定價漏洞。

CreamFinance以前見過這一切。2021年8月，一名黑客在另一次主要針對FlexaNetwork的原生代幣AMP的閃電貸攻擊中竊取了約2500萬美元。在2021年2月的一次閃電貸攻擊中，黑客從協議池中吸走了3750萬美元。

6.VulcanForged:??1.4億美元

Play-to-earn是加密領域的最新趨勢之一，但它并非擺脫了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戲賺錢平臺VulcanForged在2021年12月的用戶損失1.4億美元時慘痛地吸取了這一教訓。

根據報告，一名黑客獲得了該平臺集中式用戶錢包Venly的憑據，以獲取96個加密錢包的私鑰。后來，黑客利用它獲取了平臺資產組合功能MyForge中的私鑰，最終盜取了450萬枚VulcanForged原生PYR代幣。

VulcanForged首席執行官JamieThomson在對社區的講話中說：“當然，展望未來，我們將只使用去中心化錢包，因此我們再也不必遇到這個問題了。”

5.Compound:?1.5億美元?

與大多數DeFi協議一樣，借貸協議Compound有一個治理令牌COMP。該協議在特定條件下向用戶分發代幣。

2021年10月，Compound出現了一個漏洞——“DeFi中保存最完好的秘密”——讓借款人索取的COMP份額超過了他們的預期份額。該漏洞涉及其兩個保險庫，或智能合約上的資金池。用戶將調用Reservoir保險庫上的特定函數—drip()，它會重新填充另一個保險庫Comptroller。該保險庫會自動將大量COMP分配到錯誤的地址。泄漏水龍頭是先前協議更新中引入的錯誤的結果。

在將8000萬美元的COMP發送給錯誤的人之后，該團隊急于修補。但在實施任何修復之前，該協議需要通過治理提案。它創建于10月2日，最終于10月9日被接受。在社區辯論期間，金庫又損失了6880萬美元。

Compound的創始人羅伯特·萊什納(RobertLeshner)是如何試圖把錢拿回來的？通過推特，“任何將COMP歸還給社區的人都是外星人。如果一隊外星巨魔召喚我，我會出現的。”?幾乎一半的資金被退回。?

4.Beanstalk:?1.82億美元?

閃電貸款——如此有用，但又如此危險。在慶祝1.5億美元的資產被鎖定在其協議中僅僅兩天后，基于以太坊的Beanstalk發現在一次閃電貸款攻擊中丟失了1.82億美元。黑客設法通過TornadoCash在以太坊中洗錢8000萬美元。

Beanstalk以其算法穩定幣BEAN而聞名，它應該價值1美元。雖然它設法在攻擊發生后立即保持錨定，但該漏洞證明算法穩定幣僅與支撐它們的合約一樣穩定。

3.Wormhole:?3.26億美元?

隨著越來越多的第1層區塊鏈構建在其上，用戶對在鏈之間轉移資金的愿望越來越強烈。跨鏈橋解決了這一需求，但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在2022年1月，當時流行的橋梁Wormhole在WrappedEthereum(wETH)中損失了3.2億美元。WETH是一種與以太坊價格1:1掛鉤的加密貨幣。

黑客瞄準了Solana上的橋段，用戶必須首先將以太坊鎖定在智能合約中，才能獲得等量的WrappedEthereum。黑客設法通過鑄造WETH而不將ETH鎖定在Wormhole中找到解決此問題的方法。

Wormhole開發的利益相關者JumpTradingGroup主動補充蟲洞的以太坊金庫，使其重新完整。

2.Ronin:?5.52億美元?

NFT驅動的游戲賺錢游戲AxieInfinity是去年最大的加密成功案例之一。2022年3月23日，它成為加密領域最大的黑客攻擊之一的受害者，估計有5.52億美元的加密貨幣使用“被黑的私鑰”從橋流到其Ronin側鏈。

一周后，當AxieInfinity開發商SkyMavis披露該漏洞利用時，被盜資金的價值已升至6.22億美元。

根據SkyMavis的一份報告，攻擊者使用“通過我們的無氣體RPC節點的后門，他們濫用該后門來獲取AxieDAO驗證器的簽名”。

解釋說，由于用戶負載高，SkyMavis在2021年11月轉向AxieDAO分發免費交易，報告補充說，“AxieDAO允許SkyMavis代表其簽署各種交易。這已于2021年12月停止，但未撤銷許可名單訪問權限。”

利用該漏洞，攻擊者隨后能夠簽署來自Ronin網絡上九個驗證節點中的五個節點的交易，包括AxieDAO的節點和SkyMavis自己的四個節點。這反過來又讓攻擊者偽造交易并索取173,600WETH和2550萬美元，總計約6.22億美元。

AxieInfinity聯合創始人JeffZirlin稱其為“歷史上最大的黑客攻擊之一”，并指出“有可能會識別出并將其繩之以法。”

1.PolyNetwork:??6.11億美元

PolyNetwork黑客仍然是加密領域最大的黑客——不僅僅是DeFi。不過幸運的是，始于2021年8月10日的傳奇故事在經歷了一系列奇怪的曲折后三天后圓滿結束。

當一名黑客利用PolyNetwork的“合約調用”中的漏洞時，盜竊開始了。黑客迅速用各種加密貨幣竊取了6.11億美元，導致Poly發布了一封絕望的信，稱其為“親愛的黑客”。

這種溝通嘗試以及隨后的外展努力最終奏效了。該協議提供了50萬美元的賞金，并讓黑客有機會成為其首席安全顧問。但在鏈上問答環節中，黑客解釋說，該漏洞只是為了給PolyNetwork上一課。他們說，歸還被盜資金“始終是計劃”。

加密貨幣安全公司SlowMist表示，它識別了攻擊者的身份標記，并且該漏洞“很可能是一次長期計劃、有組織和有準備的攻擊”。?

“現在每個人都聞到了陰謀的味道，”黑客說，否認他們是內部人員。“但誰知道呢？”

Tags：ANCEFI區塊鏈DEFSupreme FinanceScarcity DeFi區塊鏈dapp開發合法嗎DefiBox

ADA