去中心化金融 ( DeFi ) 是指区块链应用程序,可将中间商从贷款、储蓄和掉期等金融产品和服务中剔除。虽然 DeFi 带来了高回报,但它也带来了很多风险。?
由于几乎任何人都可以启动 DeFi 协议并编写一些智能合约,因此代码中的缺陷很常见。在 DeFi 中,有许多不择手段的行为者已经准备好并且能够利用这些缺陷。当这种情况发生时,数百万美元将被盗取,而用户通常没有追索权。
根据 Elliptic 11 月的一份报告,DeFi 用户在 2021 年因盗窃损失了 105 亿美元。但正如我们最大的 DeFi 漏洞利用列表所示,这个数字已经增长了数百万。
(以下所有数字均为事件发生时的资金价值。)
13?.?Grim Finance:?3000万美元
dApp 通常从构建它们的区块链中获取主题灵感。因此,Avalanche 生态系统充满了参考,例如 Snowtrace、Blizz 和 Defrost。同时,Fantom 生态系统感觉就像一场链上万圣节派对。当出现问题时,这会增加一个更黑暗的旋转,就像收益优化器协议Grim Finance 的情况一样。
2021 年 12 月,该协议遭受了重入攻击,这是一种攻击者在之前的交易尚未结算的情况下伪造额外存款到保险库的漏洞。最终,攻击诱使智能合约释放了价值 3000 万美元的 Fantom 代币。
DeFi 协议通常使用可重入保护——防止此类攻击的代码片段。来自 Solidity Finance 的 Grim Finance 的审计报告错误地指出该协议有可重入保护——提醒审计并不能保证不会发生漏洞。
12?.?Meerkat Finance:??3100 万美元
投资盘点公司Deal Box成立风投公司以投资Web3技术:金色财经报道,基于区块链的数字证券和投资盘点公司 Deal Box 成立 Deal Box Ventures,将向新兴增长领域、房地产、FinTech、FunTech 和社会影响五个方面的 Web3 技术投资 1.25 亿美元。 Deal Box 已经完成了对 Total Network Services、 Rypplzz 和 Forward-Edge AI 的初步战略投资。[2023/1/18 11:19:29]
有时,DeFi 协议很快就会遭受第一次攻击。基于币安智能链的借贷协议Meerkat Finance在 2021 年 3 月推出仅一天后就损失了 3100 万美元的用户资金。
攻击者在合约中调用了一个函数,使他们的地址成为金库所有者,从而耗尽了该项目 1396 万美元的币安稳定币BUSD,以及另外 73,000 BNB(币安的原生代币)。BNB 抢劫案当时价值约 1740 万美元。
许多用户认为这是一项内部工作:协议开发人员的地毯式拉扯。Meerkat Finance否认了这些指控。
11 . Vee Finance:3500万美元
2021 年夏季,Avalanche的活动有所增加,这也吸引了那些渴望利用区块链网络新兴生态系统的人。
2021 年 9 月,就在借贷平台 Vee Finance庆祝锁定资产总价值达到 3 亿美元的里程碑仅一周后,它遭受了 Avalanche 网络上最大的攻击。
Cobo 链上安全团队盘点分析 1 月区块链安全事件:2月17日消息,Cobo安全研究团队近日盘点并解析了 1 月发生的典型区块链安全事件,对跨链桥、智能合约、钱包等多种类型的真实攻击案例和漏洞进行了技术解读,并为普通用户规避区块链中的安全风险提供了一些建议。建议普通用户及时撤销无限授权、留意未审计项目风险等。
Cobo 区块链安全研究团队成员来自知名安全实验室,有多年网络安全与漏洞挖掘经验,曾协助谷歌 、微软处理高危漏洞。团队目前重点关注智能合约安全、DeFi 安全等方面 ,研究并分享前沿区块链安全技术。[2022/2/17 9:57:31]
这次攻击之所以成功,主要是因为Vee Finance 的杠杆交易功能依赖于 Avalanche 的主要流动性协议 Pangolin 提供的代币价格。为了滥用这一点,攻击者在 Pangolin 上创建了 7 个交易对,提供了流动性,最后在 Vee 上进行了杠杆交易。这使他们能够从协议中消耗 3500 万美元的加密货币。
在发给“亲爱的先生/女士 0x**95BA”的推文中,该协议要求攻击者将资金作为赏金计划的一部分返还,这将让攻击者保留一部分。但 Vee 黑客没有表现出归还资金的意愿。
10. PancakeBunny:?4500万美元
加密货币经常经历短暂但强烈的时尚。而在 2021 年春季,币安智能链(BSC)(现在只是 BNB 链)是最热门的 DeFi 趋势,尤其是对于零售用户而言,因为其网络费用较低。?
但 BSC 也遭受了许多和黑客攻击,其中最大的一次是2021 年 5 月针对单产农业协议 PancakeBunny 的攻击。?
一名黑客通过一系列八次闪贷攻击操纵了 PancakeBunny 的定价算法,抬高了该协议的原生代币 $BUNNY 的价格。黑客通过以市场价格低价购买 BUNNY 并以人为夸大的高价出售,从而赚了 4500 万美元。
央行盘点2020:积极运用区块链等技术将金融服务融入实体经济“关键动脉”:央行发布《盘点央行的2020 | ⑦金融科技和金融基础设施》表示,积极运用大数据、人工智能、区块链等技术将金融服务融入实体经济“关键动脉”。首个由我国专家召集制定的ISO标准《银行产品服务描述规范》正式发布,同时牵头研制移动支付、区块链、绿色金融等多项国际标准。(中国人民银行公众号)[2021/1/11 15:53:08]
9 . bZx:5500 万美元
在“私钥”被泄露后,多链借贷协议 bZx 于2021 年 11 月遭到黑客攻击。该协议在 Binance Smart Chain 和 Polygon 上总共损失了 5500 万美元。
但是bZx之前已经经历过两次类似的痛苦。
尽管闪电贷攻击是当今常见的 DeFi 攻击策略,但 bZx 在这方面是一个“OG”。它在 2020 年 2 月遭受了针对其保证金交易平台 Fulcrum 的闪电贷攻击。黑客偷走了 1,300 个包裹的 ETH,当时价值 366,000 美元。
在 2020 年 9 月的另一次攻击中,bZx 损失了 30% 的锁定在其金库中的资金,当时价值 800 万美元。然而,持有未平仓保证金头寸的用户并没有遭受损失,因为正如协议后来在一份报告中所说,这些资金是从 bZx 的保险基金中扣除的。
8. Badger DAO:?1.2亿美元
从 DeFi 项目中蒸发数百万美元的智能合约漏洞并不总是如此。?
动态 | 信通院盘点2018金融科技十大热词 区块链在多个领域均有应用:据中国信通院官网消息,3月21日,中国信通院盘点2018金融科技十大热词。区块链在保险科技、供应链金融、监管科技、数字金融反欺诈和支付科技等金融科技热点均有应用。比如供应链金融方面,区块链通过加密数据的交易确权、基于存证的交易真实证明、基于共享账本的信用拆解和基于智能合约的执行等,能有效解决上述痛点,助力供应链金融的落地;支付科技方面,区块链技术带来支付变革,港版支付宝AlipayHK用户通过区块链技术向菲律宾钱包Gcash汇款也能像境内转账一样实时到账,7×24小时不间断、省钱省事、安全透明,可谓重新定义了“跨境汇款”。[2019/3/21]
2021 年 12 月,在者诱 Badger DAO 成员批准恶意交易,让他们控制用户的保险库资金并转移资金后,比特币到 DeFi 的桥接器 Badger DAO损失了 1.2 亿美元。
区块链安全公司 PeckShield 表示,该协议的合约不受攻击,只有用户界面受到影响。
7. Cream Finance:?1.3亿美元
借贷协议 Cream Finance在 2021 年 10 月?的一次闪电贷攻击中损失了 1.3 亿美元——这是该协议遭受的第三次攻击。
如果您在同一笔交易中偿还,闪电贷允许您立即获得贷款。尽管对套利交易有用,但它们被恶意行为者广泛部署以利用 DeFi 协议中的漏洞。在 Cream Finance 的案例中,闪电贷黑客能够通过在不同的以太坊地址上反复进行闪电贷来利用定价漏洞。
Cream Finance以前见过这一切。2021 年 8 月,一名黑客在另一次主要针对 Flexa Network 的原生代币 AMP 的闪电贷攻击中窃取了约 2500 万美元。在 2021 年 2 月的一次闪电贷攻击中,黑客从协议池中吸走了 3750 万美元。
午间行情盘点:BTC比特币报7977美元,24小时跌幅约10.43%。ETH以太币报797美元,24小时跌幅约10.64%。瑞波币报5.66元人民币,24小时涨幅0.70%。ADA艾达币报2.18元人民币,24小时涨幅约7.94%。[2018/2/11]
6. Vulcan Forged:??1.4亿美元
Play-to-earn是加密领域的最新趋势之一,但它并非摆脱了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戏赚钱平台 Vulcan Forged在 2021 年 12 月的用户损失 1.4 亿美元时惨痛地吸取了这一教训。
根据报告,一名黑客获得了该平台集中式用户钱包 Venly 的凭据,以获取 96 个加密钱包的私钥。后来,黑客利用它获取了平台资产组合功能 MyForge 中的私钥,最终盗取了 450 万枚 Vulcan Forged 原生 PYR 代币。
Vulcan Forged 首席执行官 Jamie Thomson 在对社区的讲话中说:“当然,展望未来,我们将只使用去中心化钱包,因此我们再也不必遇到这个问题了。”
5. Compound:?1.5亿美元?
与大多数 DeFi 协议一样,借贷协议 Compound有一个治理令牌 COMP。该协议在特定条件下向用户分发代币。
2021 年 10 月,Compound出现了一个漏洞——“ DeFi 中保存最完好的秘密”——让借款人索取的 COMP 份额超过了他们的预期份额。该漏洞涉及其两个保险库,或智能合约上的资金池。用户将调用 Reservoir 保险库上的特定函数 —drip(),它会重新填充另一个保险库 Comptroller。该保险库会自动将大量 COMP 分配到错误的地址。泄漏水龙头是先前协议更新中引入的错误的结果。
在将 8000 万美元的 COMP 发送给错误的人之后,该团队急于修补。但在实施任何修复之前,该协议需要通过治理提案。它创建于 10 月 2 日,最终于 10 月 9 日被接受。在社区辩论期间,金库又损失了 6880 万美元。
Compound 的创始人罗伯特·莱什纳 (Robert Leshner) 是如何试图把钱拿回来的?通过推特,“任何将 COMP 归还给社区的人都是外星人。如果一队外星巨魔召唤我,我会出现的。”?几乎一半的资金被退回。?
4. Beanstalk:?1.82亿美元?
闪电贷款——如此有用,但又如此危险。在庆祝 1.5 亿美元的资产被锁定在其协议中仅仅两天后,基于以太坊的 Beanstalk发现在一次闪电贷款攻击中丢失了 1.82 亿美元。黑客设法通过 Tornado Cash 在以太坊中 8000 万美元。
Beanstalk 以其算法稳定币 BEAN 而闻名,它应该价值 1 美元。虽然它设法在攻击发生后立即保持锚定,但该漏洞证明算法稳定币仅与支撑它们的合约一样稳定。
3. Wormhole:?3.26亿美元?
随着越来越多的第 1 层区块链构建在其上,用户对在链之间转移资金的愿望越来越强烈。跨链桥解决了这一需求,但它们也带来了新的漏洞。最具破坏性的跨链事件发生在 2022 年 1 月,当时流行的桥梁 Wormhole在 Wrapped Ethereum (wETH)中损失了 3.2 亿美元。WETH 是一种与以太坊价格 1:1 挂钩的加密货币。
黑客瞄准了 Solana 上的桥段,用户必须首先将以太坊锁定在智能合约中,才能获得等量的 Wrapped Ethereum。黑客设法通过铸造 WETH 而不将 ETH 锁定在 Wormhole 中找到解决此问题的方法。
Wormhole开发的利益相关者 Jump Trading Group主动补充虫洞的以太坊金库,使其重新完整。
2. Ronin:?5.52亿美元?
NFT 驱动的游戏赚钱游戏Axie Infinity是去年最大的加密成功案例之一。2022 年 3 月 23 日,它成为加密领域最大的黑客攻击之一的受害者,估计有 5.52 亿美元的加密货币使用“被黑的私钥”从桥流到其 Ronin 侧链。
一周后,当 Axie Infinity 开发商 Sky Mavis 披露该漏洞利用时,被盗资金的价值已升至 6.22 亿美元。
根据 Sky Mavis 的一份报告,攻击者使用“通过我们的无气体 RPC 节点的后门,他们滥用该后门来获取 Axie DAO 验证器的签名”。
解释说,由于用户负载高,Sky Mavis 在 2021 年 11 月转向 Axie DAO 分发免费交易,报告补充说,“Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止,但未撤销许可名单访问权限。”
利用该漏洞,攻击者随后能够签署来自 Ronin 网络上九个验证节点中的五个节点的交易,包括 AxieDAO 的节点和 Sky Mavis 自己的四个节点。这反过来又让攻击者伪造交易并索取 173,600 WETH(Wrapped Ethereum)和 2550 万美元,总计约 6.22 亿美元。
Axie Infinity 联合创始人 Jeff Zirlin 称其为“历史上最大的黑客攻击之一”,并指出“有可能会识别出 [黑客] 并将其绳之以法。”
1. Poly Network:??6.11亿美元
Poly Network 黑客仍然是加密领域最大的黑客——不仅仅是 DeFi。不过幸运的是,始于 2021 年 8 月 10 日的传奇故事在经历了一系列奇怪的曲折后三天后圆满结束。
当一名黑客利用 Poly Network 的“合约调用”(为协议提供动力的代码片段)中的漏洞时,盗窃开始了。黑客迅速用各种加密货币窃取了 6.11 亿美元,导致 Poly 发布了一封绝望的信,称其为“亲爱的黑客”。
这种沟通尝试以及随后的外展努力最终奏效了。该协议提供了 50 万美元的赏金,并让黑客有机会成为其首席安全顾问。但在链上问答环节中,黑客解释说,该漏洞只是为了给 Poly Network 上一课。他们说,归还被盗资金“始终是计划”。
加密货币安全公司 SlowMist 表示,它识别了攻击者的身份标记,并且该漏洞“很可能是一次长期计划、有组织和有准备的攻击”。?
“现在每个人都闻到了阴谋的味道,”黑客说,否认他们是内部人员。“但谁知道呢?”
Crypto作为一种社区建构机制Crypto一个隐秘的事实在于,它最强大的武器不是去中心化,而是从无到有,自下而上构建一个紧密连接的社区的能力.
1900/1/1 0:00:00比推消息,DappRadar 发布的一份定量分析报告揭示了一些具有启发性的全球数字资产采用行为的市场指标.
1900/1/1 0:00:00通常,一提到元宇宙,人们就会联想到如增强现实 (AR)、虚拟现实 (VR) 和混合现实 (MR)以及其他未来技术.
1900/1/1 0:00:00舍 Luna,保 UST,可行吗?Terra 的死亡螺旋终于到来了。5 月 11 日起,LUNA 币价几乎彻底崩盘,现已跌破?0.5 USDT 且仍在继续下探,单日跌幅逾 95%;UST 的脱锚.
1900/1/1 0:00:00本周你绝对应该阅读一下这个,Tim Beiko 带来了?AllCoreDevs 更新 011,这篇文章全面地告诉了我们以太坊在通往合并的道路上还剩下些什么.
1900/1/1 0:00:00头条▌英伟达因未披露加密挖矿对公司业务的影响被美SEC罚款550万美元5月6日消息,美国证券交易委员会今天宣布了对科技公司NVIDIA Corporation(纳斯达克股票代码:NVDA)的和解.
1900/1/1 0:00:00