DeFi 再成安全事故高發區：本月 14 個 DeFi 項目遭攻擊，總損失超 2.5 億美元 原文標題：《本月至少有 14 個 DeFi 項目遭黑客攻擊，總損失金額超 2.5 億美元》 撰文：谷昱、Alyson 原文標題：《本月至少有 14 個 DeFi 項目遭黑客攻擊，總損失金額超 2.5 億美元》 撰文：谷昱、Alyson 今年以來 DeFi 行業發展迅速，大量 DeFi 項目相繼湧現，總鎖倉金額最高接近 900 億美元，但由於很多項目代碼審計不嚴格等原因，它們也成爲大量黑客所垂涎的攻擊目標。特別是在 5 月，DeFi 安全事故頻次大幅上升。 據鏈捕手統計，今年以來 DeFi 行業總計有 27 個項目遭到黑客攻擊，而本月就至少有 14 個項目遭到黑客攻擊，平均每兩天就有 1 個 DeFi 項目被攻擊，總損失至少爲 2.5 億美元，堪稱是 DeFi 歷史上遭遇攻擊頻次最高、損失最大的一個月。 具體而言，本月遭受黑客攻擊的 DeFi 項目包括 BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan。 其中，閃電貸是最主要的黑客攻擊手法，至少 7 個項目因此遭到攻擊；BSC 則是黑客最活躍的攻擊平臺，至少 11 次攻擊都發生在 BSC 公鏈；攻擊金額普遍較大，至少 7 個項目的損失金額超過 1000 萬美元，最高的 Venus 損失金額超過 1 億美元。 以下是鏈捕手對本月 14 起 DeFi 項目遭攻擊事件的詳細整理： BurgerSwap 損失金額：約 700 萬美元 簡述：2 月 28 日，基於 BSC 的 AMM 項目 BergerSwap 遭到閃電貸攻擊，被盜超過 432874 個 BURGER。 Julswap 損失金額：未知 簡述：2 月 28 日，基於 BSC 的 AMM 項目 Julswap 遭到閃電貸攻擊，幣價最高下跌 90%。 Merlin 損失金額：約 68 萬美元 簡述：5 月 26 日，BSC 生態自動收益聚合器 Merlin 遭到黑客攻擊，由於該項目 getReward 代碼的存在漏洞，大量的 CAKE 代幣被手動轉移到 Vault 合約中，共導致了約 59,000 個 MERL 增發，並通過出售獲得 240 個 ETH。 處理方案：團隊將向用戶空投補償代幣 cMERL，該代幣持有者將能夠從補償池中獲得 BNB 獎勵。同時，額外的開發團隊資金將被用於執行燃燒和回購活動，以恢復代幣價格。 AutoShark Finance 損失金額：約 82 萬美元 簡述：5 月 25 日，基於 BSC 的固定利率協議 AutoShark Finance 遭到閃電貸攻擊，在 LP 價值錯誤和手續費獲取數量錯誤的情況下，SharkMinter 合約最後在計算攻擊者的貢獻的時候計算出了一個非常大的值，導致 SharkMinter 合約給攻擊者鑄出了大量的 SHARK 代幣，致使其幣價閃崩，從 1.2 美元快速跌至 0.01 美元，攻擊者獲利月 82 萬美元。 處理方案：官方表示將發行新代幣 JAWS 補償受損用戶。 Bogged Finance 損失金額：300 萬美元 簡述：5 月 23 日，基於 BSC 的聚合交易平臺 Bogged Finance 官方表示，黑客對 BOG 代幣合約質押功能漏洞進行了閃電貸攻擊，黑客利用 Pancake Pair Swap 代碼，在合約驗證完成前即提取了質押收益，導致鑄造了超過 1500 萬個 BOG 代幣，這些代幣大部分原本將分配給了 BOG 的質押者。 處理方案：發行新幣並將被盜 BOG 代幣返還給質押用戶。 Pancake Bunnny 損失金額：約 4200 萬美元 簡述：5 月 20 日，基於 BSC 的 DeFi 收益聚合器 PancakeBunny 遭遇閃電貸攻擊，損失 114631 枚 BNB 和 697245 枚 BUNNY，後者被黑客大量鑄造並拋售，價格從 240 美元閃崩，一度跌破 2 美元。根據 CertiK 安全團隊的調查，由於 PancakeBunny 使用 PancakeSwap AMM 來進行資產價格計算的，因此黑客惡意利用了閃電貸來操縱 AMM 池的價格，並利用 Bunny 在鑄造代幣的時候計算上的問題成功完成攻擊。 處理方案：PancakeBunny 將通過發行新代幣 pBUNNY 並創建補償池，補償 BUNNY 原始持有者由於代幣價格大跌造成的損失。 Venus 損失金額：超 1 億美元 簡述：5 月 18 日晚間，基於 BSC 的 DeFi 借貸平臺 Venus 代幣 XVS 被巨鯨拉漲翻倍，之後以 XVS 爲抵押資產借走並轉移出去價值上億美元的 BTC 和 ETH，此後抵押資產 XVS 價格大跌並面臨清算，但由於 XVS 市場流動性不足系統未能及時清算，導致 Venus 出現上億美元的鉅額虧空。 處理方案：Venus 向幣安出售部分 XVS 代幣以彌補平臺虧損。 FinNexus 損失金額：700 萬美元 簡述：5 月 17 日，鏈上期權協議 FinNexus 遭遇黑客攻擊，該黑客滲入並設法恢復了 FNX 代幣合約管理者的私鑰，攻擊者鑄造了超過 3.23 億枚 FNX，然後在中心化和去中心化交易所中出售，導致價格暴跌。 處理方案：FinNexus 團隊表示將發行新幣並按 1 比 1 補償給所有在黑客入侵之前持有 FNX 的用戶；DEX 上的流動性提供者因遭受更高的損失將獲得額外的補償。 bEarn Fi 損失金額：約 1086 萬美元 簡述：5 月 16 日，基於 BSC 的跨鏈 DeFi 協議 bEarn Fi 其 bVaults 的 BUSD-Alpaca 策略遭遇閃電貸攻擊，池中近 1086 萬枚 BUSD 被耗盡。 處理方案：bEarn Fi 表示將創建一個補償基金，由剩餘的儲蓄資金、開發資金、DAO 資金和協議產生的一部分費用組成，之後將對餘額進行快照以部署補償合約。 EOS Nation 損失金額：1500 萬美元 簡述：5 月 14 日，EOS Nation 閃電貸智能合約遭受到重入攻擊（re-entry attack），相繼有約 120 萬枚 EOS 和 46.2 萬枚 USDT 被盜。 處理方案：flash.sx 稱，損失的所有資金都在 eosio.prods 的安全控制下，已發起提案更改黑客 EOS 賬戶權限，通過後會將資金返還給用戶。 xToken 損失金額：約 2500 萬美元 簡述：5 月 13 日，DeFi 質押和流動性策略平臺 xToken 遭到閃電貸攻擊，xBNTa Bancor 池以及 xSNXa Balancer 池流動性被立即被耗盡，造成約 2500 萬美元損失， 處理方案：xToken 團隊表示計劃將 XTK 供應總量的 2％用於彌補被盜損失。 Rari Capital 損失金額：1400 萬美元 簡述：5 月 8 日，DeFi 智能投顧協議 Rari Capital 其 ETH 資金池出現了一個因集成 Alpha Finance Lab 協議而導致的漏洞，擊者通過部署一個輔助合約操控 ibETH 中 ibETH Token 的價格，導致 Rari 遭受 1400 萬美元的鉅額損失。 處理方案：Rari Capital 將把用來擴大團隊規模的 200 萬枚預留 RGT 歸還給 DAO，用來補償受攻擊影響用戶和獎勵貢獻者。 Value DeFi 損失金額：兩次共計 1500 萬美元 簡述：基於以太坊與 BSC 的 DeFi 協議 Value DeFi 在 5 月 5 日和 5 月 7 日分別遭受兩次攻擊，第一次攻擊源於 Value DeFi 的 ProfitSharingRewardPool 合約出現代碼漏洞，其 vStake 池子受影響，共損失超 20 萬枚 BUSD 和 8790 枚 BNB；第二次攻擊源於 Value DeFi 的 vSwap 合約出現代碼漏洞，IRON Finance 的部分池和產品受到攻擊。 處理方案：團隊將使用保險基金中的 8,530 VALUE 和多籤中的 122,463 VALUE，共計 130994 VALUE 進行補償，其餘 251702 VALUE 將使用團隊的 VALUE 進行補償。 Spartan 損失金額：3000 萬美金 簡述：5 月 2 日，基於 BSC 的合成資產協議 Spartan Pools V1 被攻擊，由於流動性份額計算不當的漏洞，攻擊者從資金池中轉移了約 3000 萬美元的資金。 處理方案：發行新的 SPARTA 代幣，並將原本未發行的 2000 萬枚代幣補償此前因攻擊遭受損失的資金池 LP。 來源鏈接：www.chaincatcher.com == -- Sent from my Windows -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.34.230.125 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1622202426.A.372.html