去中心化金融( DeFi ) 是指區塊鏈應用程序,可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然DeFi 帶來了高回報,但它也帶來了很多風險。
由於幾乎任何人都可以啟動DeFi 協議並編寫一些智能合約,因此代碼中的缺陷很常見。在DeFi 中,有許多不擇手段的行為者已經準備好並且能夠利用這些缺陷。當這種情況發生時,數百萬美元將被盜取,而用戶通常沒有追索權。
根據Elliptic 11 月的一份報告,DeFi 用戶在2021 年因盜竊損失了105 億美元。但正如我們最大的DeFi 漏洞利用列表所示,這個數字已經增長了數百萬。
(以下所有數字均為事件發生時的資金價值。)
13 . Grim Finance: 3000萬美元
dApp 通常從構建它們的區塊鏈中獲取主題靈感。因此,Avalanche 生態系統充滿了參考,例如Snowtrace、Blizz 和Defrost。同時,Fantom 生態系統感覺就像一場鏈上萬聖節派對。當出現問題時,這會增加一個更黑暗的旋轉,就像收益優化器協議Grim Finance 的情況一樣。
2021 年12 月,該協議遭受了重入攻擊,這是一種攻擊者在之前的交易尚未結算的情況下偽造額外存款到保險庫的漏洞。最終,攻擊誘使智能合約釋放了價值3000 萬美元的Fantom 代幣。
DeFi 協議通常使用可重入保護——防止此類攻擊的代碼片段。來自Solidity Finance 的Grim Finance 的審計報告錯誤地指出該協議有可重入保護——提醒審計並不能保證不會發生漏洞。
12 . Meerkat Finance: 3100 萬美元
有時,DeFi 協議很快就會遭受第一次攻擊。基於幣安智能鏈的借貸協議Meerkat Finance在2021 年3 月推出僅一天后就損失了3100 萬美元的用戶資金。
攻擊者在合約中調用了一個函數,使他們的地址成為金庫所有者,從而耗盡了該項目1396 萬美元的幣安穩定幣BUSD,以及另外73,000 BNB(幣安的原生代幣)。 BNB 搶劫案當時價值約1740 萬美元。
許多用戶認為這是一項內部工作:協議開發人員的地毯式拉扯。 Meerkat Finance否認了這些指控。
11 . Vee Finance:3500萬美元
2021 年夏季,Avalanche的活動有所增加,這也吸引了那些渴望利用區塊鍊網絡新興生態系統的人。
2021 年9 月,就在藉貸平台Vee Finance慶祝鎖定資產總價值達到3 億美元的里程碑僅一周後,它遭受了Avalanche 網絡上最大的攻擊。
這次攻擊之所以成功,主要是因為Vee Finance 的槓桿交易功能依賴於Avalanche 的主要流動性協議Pangolin 提供的代幣價格。為了濫用這一點,攻擊者在Pangolin 上創建了7 個交易對,提供了流動性,最後在Vee 上進行了槓桿交易。這使他們能夠從協議中消耗3500 萬美元的加密貨幣。
在發給“親愛的先生/女士0x**95BA”的推文中,該協議要求攻擊者將資金作為賞金計劃的一部分返還,這將讓攻擊者保留一部分。但Vee 黑客沒有表現出歸還資金的意願。
10. PancakeBunny: 4500萬美元
加密貨幣經常經歷短暫但強烈的時尚。而在2021 年春季,幣安智能鏈(BSC)(現在只是BNB 鏈)是最熱門的DeFi 趨勢,尤其是對於零售用戶而言,因為其網絡費用較低。
但BSC 也遭受了許多詐騙和黑客攻擊,其中最大的一次是2021 年5 月針對單產農業協議PancakeBunny 的攻擊。
一名黑客通過一系列八次閃貸攻擊操縱了PancakeBunny 的定價算法,抬高了該協議的原生代幣$BUNNY 的價格。黑客通過以市場價格低價購買BUNNY 並以人為誇大的高價出售,從而賺了4500 萬美元。
9 . bZx:5500 萬美元
在“私鑰”被洩露後,多鏈借貸協議bZx 於2021 年11 月遭到黑客攻擊。該協議在Binance Smart Chain 和Polygon 上總共損失了5500 萬美元。
但是bZx之前已經經歷過兩次類似的痛苦。
儘管閃電貸攻擊是當今常見的DeFi 攻擊策略,但bZx 在這方面是一個“OG”。它在2020 年2 月遭受了針對其保證金交易平台Fulcrum 的閃電貸攻擊。黑客偷走了1,300 個包裹的ETH,當時價值366,000 美元。
在2020 年9 月的另一次攻擊中,bZx 損失了30% 的鎖定在其金庫中的資金,當時價值800 萬美元。然而,持有未平倉保證金頭寸的用戶並沒有遭受損失,因為正如協議後來在一份報告中所說,這些資金是從bZx 的保險基金中扣除的。
8. Badger DAO: 1.2億美元
從DeFi 項目中蒸發數百萬美元的智能合約漏洞並不總是如此。
2021 年12 月,在詐騙者誘騙Badger DAO 成員批准惡意交易,讓他們控制用戶的保險庫資金並轉移資金後,比特幣到DeFi 的橋接器Badger DAO損失了1.2 億美元。
區塊鏈安全公司PeckShield 表示,該協議的合約不受攻擊,只有用戶界面受到影響。
7. Cream Finance: 1.3億美元
借貸協議Cream Finance在2021 年10 月 的一次閃電貸攻擊中損失了1.3 億美元——這是該協議遭受的第三次攻擊。
如果您在同一筆交易中償還,閃電貸允許您立即獲得貸款。儘管對套利交易有用,但它們被惡意行為者廣泛部署以利用DeFi 協議中的漏洞。在Cream Finance 的案例中,閃電貸黑客能夠通過在不同的以太坊地址上反復進行閃電貸來利用定價漏洞。
Cream Finance以前見過這一切。 2021 年8 月,一名黑客在另一次主要針對Flexa Network 的原生代幣AMP 的閃電貸攻擊中竊取了約2500 萬美元。在2021 年2 月的一次閃電貸攻擊中,黑客從協議池中吸走了3750 萬美元。
6. Vulcan Forged: 1.4億美元
Play-to-earn是加密領域的最新趨勢之一,但它並非擺脫了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。 Polygon上的遊戲賺錢平台Vulcan Forged在2021 年12 月的用戶損失1.4 億美元時慘痛地吸取了這一教訓。
根據報告,一名黑客獲得了該平台集中式用戶錢包Venly 的憑據,以獲取96 個加密錢包的私鑰。後來,黑客利用它獲取了平台資產組合功能MyForge 中的私鑰,最終盜取了450 萬枚Vulcan Forged 原生PYR 代幣。
Vulcan Forged 首席執行官Jamie Thomson 在對社區的講話中說:“當然,展望未來,我們將只使用去中心化錢包,因此我們再也不必遇到這個問題了。”
5. Compound: 1.5億美元
與大多數DeFi 協議一樣,借貸協議Compound有一個治理令牌COMP。該協議在特定條件下向用戶分發代幣。
2021 年10 月,Compound出現了一個漏洞——“ DeFi 中保存最完好的秘密”——讓借款人索取的COMP 份額超過了他們的預期份額。該漏洞涉及其兩個保險庫,或智能合約上的資金池。用戶將調用Reservoir 保險庫上的特定函數—drip(),它會重新填充另一個保險庫Comptroller。該保險庫會自動將大量COMP 分配到錯誤的地址。洩漏水龍頭是先前協議更新中引入的錯誤的結果。
在將8000 萬美元的COMP 發送給錯誤的人之後,該團隊急於修補。但在實施任何修復之前,該協議需要通過治理提案。它創建於10 月2 日,最終於10 月9 日被接受。在社區辯論期間,金庫又損失了6880 萬美元。
Compound 的創始人羅伯特·萊什納(Robert Leshner) 是如何試圖把錢拿回來的?通過推特,“任何將COMP 歸還給社區的人都是外星人。如果一隊外星巨魔召喚我,我會出現的。” 幾乎一半的資金被退回。
4. Beanstalk: 1.82億美元
閃電貸款——如此有用,但又如此危險。在慶祝1.5 億美元的資產被鎖定在其協議中僅僅兩天后,基於以太坊的Beanstalk發現在一次閃電貸款攻擊中丟失了1.82 億美元。黑客設法通過Tornado Cash 在以太坊中洗錢8000 萬美元。
Beanstalk 以其算法穩定幣BEAN 而聞名,它應該價值1 美元。雖然它設法在攻擊發生後立即保持錨定,但該漏洞證明算法穩定幣僅與支撐它們的合約一樣穩定。
3. Wormhole: 3.26億美元
隨著越來越多的第1 層區塊鏈構建在其上,用戶對在鏈之間轉移資金的願望越來越強烈。跨鏈橋解決了這一需求,但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在2022 年1 月,當時流行的橋樑Wormhole在Wrapped Ethereum (wETH)中損失了3.2 億美元。 WETH 是一種與以太坊價格1:1 掛鉤的加密貨幣。
黑客瞄準了Solana 上的橋段,用戶必須首先將以太坊鎖定在智能合約中,才能獲得等量的Wrapped Ethereum。黑客設法通過鑄造WETH 而不將ETH 鎖定在Wormhole 中找到解決此問題的方法。
Wormhole開發的利益相關者Jump Trading Group主動補充蟲洞的以太坊金庫,使其重新完整。
2. Ronin: 5.52億美元
NFT 驅動的遊戲賺錢遊戲Axie Infinity是去年最大的加密成功案例之一。 2022 年3 月23 日,它成為加密領域最大的黑客攻擊之一的受害者,估計有5.52 億美元的加密貨幣使用“被黑的私鑰”從橋流到其Ronin 側鏈。
一周後,當Axie Infinity 開發商Sky Mavis 披露該漏洞利用時,被盜資金的價值已升至6.22 億美元。
根據Sky Mavis 的一份報告,攻擊者使用“通過我們的無氣體RPC 節點的後門,他們濫用該後門來獲取Axie DAO 驗證器的簽名”。
解釋說,由於用戶負載高,Sky Mavis 在2021 年11 月轉向Axie DAO 分發免費交易,報告補充說,“Axie DAO 允許Sky Mavis 代表其簽署各種交易。這已於2021 年12 月停止,但未撤銷許可名單訪問權限。”
利用該漏洞,攻擊者隨後能夠簽署來自Ronin 網絡上九個驗證節點中的五個節點的交易,包括AxieDAO 的節點和Sky Mavis 自己的四個節點。這反過來又讓攻擊者偽造交易並索取173,600 WETH(Wrapped Ethereum)和2550 萬美元,總計約6.22 億美元。
Axie Infinity 聯合創始人Jeff Zirlin 稱其為“歷史上最大的黑客攻擊之一”,並指出“有可能會識別出 [黑客] 並將其繩之以法。 ”
1. Poly Network: 6.11億美元
Poly Network 黑客仍然是加密領域最大的黑客——不僅僅是DeFi。不過幸運的是,始於2021 年8 月10 日的傳奇故事在經歷了一系列奇怪的曲折後三天后圓滿結束。
當一名黑客利用Poly Network 的“合約調用”(為協議提供動力的代碼片段)中的漏洞時,盜竊開始了。黑客迅速用各種加密貨幣竊取了6.11 億美元,導致Poly 發布了一封絕望的信,稱其為“親愛的黑客”。
這種溝通嘗試以及隨後的外展努力最終奏效了。該協議提供了50 萬美元的賞金,並讓黑客有機會成為其首席安全顧問。但在鏈上問答環節中,黑客解釋說,該漏洞只是為了給Poly Network 上一課。他們說,歸還被盜資金“始終是計劃”。
加密貨幣安全公司SlowMist 表示,它識別了攻擊者的身份標記,並且該漏洞“很可能是一次長期計劃、有組織和有準備的攻擊”。
“現在每個人都聞到了陰謀的味道,”黑客說,否認他們是內部人員。 “但誰知道呢?”