风险提示:请理性看待区块链,树立正确的货币观念和投资理念,不要盲目跟风投资,本站内容不构成投资建议,请谨慎对待。 免责声明:本站所发布文章仅代表个人观点,与CoinVoice官方立场无关

平均每月 1 次攻击,涉及资金 1.2 亿美元,2020 年 DeFi 攻击大盘点

Defi之道
2021年01月08日

DeFi 是 2020 年加密经济秀上的明星,总体而言,这将是加密货币具有历史意义的一年。话虽如此,2020 年也出现了新一波复杂的攻击者,他们来探查并窃取年轻的 DeFi 项目持有的代币。让我们回顾一下今年最大规模、最“成功”的 DeFi 攻击。

平均每月 1 次攻击,涉及资金 1.2 亿美元,2020 年 DeFi 攻击大盘点

(译者注:本文为攻击事件的简要回顾,具体内容可参考正文详情回顾链接。)

bZx 的第一个漏洞——2 月 15 日

攻击类型:漏洞利用

损失金额:约 35.6 万美元

找回资金:无

详情回顾

https://www.8btc.com/media/557253

在这次攻击中,罪犯通过 dYdX 使用闪电贷启动了一个无需许可的“拉高出货”计划,涉及 WBTC 和 bZx、Compound、KyberSwap 和 Uniswap 项目。随后的操作使攻击者可以获得超过 1200 ETH 逃之夭夭。

平均每月 1 次攻击,涉及资金 1.2 亿美元,2020 年 DeFi 攻击大盘点

(bZx 攻击中 5 个可组合的 DeFi 协议,来源:派盾)

后续的 bZx 预言机快速攻击——2 月 18 日

攻击类型:预言机操控

损失金融:约 66.6 万美元

找回资金:无

详情回顾‌

https://www.8btc.com/media/557275

在 bZx 第一次遭受攻击的几天后,攻击者对协议发起了另一次闪电贷攻击。这次涉及对 Synthetix 的 sUSD 代币的预言机操控,攻击者同样拉升了 sUSD 代币价格,然后从 bZx 借出了 ETH。

平均每月 1 次攻击,涉及资金 1.2 亿美元,2020 年 DeFi 攻击大盘点

(第二次 bZx 攻击中 5 个可组合的 DeFi 协议,来源:派盾)

Uniswap 和 Lendf.me 重入攻击——4 月 18-19 日

攻击类型:通过 imBTC 的重入

损失金额:超过 2500 万美元

找回资金:约 2500 万美元

详情回顾‌

https://www.8btc.com/media/585510

2020 年 4 月,imBTC 发行方 Tokenlon 处于两次重入攻击的中心,第一次针对 Uniswap V1 (损失金额较小),第二次从 dForce 的 Lendf.me 协议窃取 2500 万美元。这次 DeFi 攻击围绕着 ERC-777 的“hook”机制展开,如果将代币存入本身不会消除 hook 的协议中,那么就可能导致代币被恶意合约利用。值得注意的是,Lendf.me 攻击者在他们的 IP 地址和其他身份信息被揭露后,最终返还了从该协议窃取的代币。

Bancor 大营救——6 月 18 日

攻击类型:无限批准+公开方法可见性

损失金额:约 13.5 万美元

找回资金:约 13.5 万美元

详情回顾‌

https://www.8btc.com/media/614857

Bancor 网络的这个严重漏洞意味着,许多用户会毫不怀疑地无限批准一个智能合约,而这个合约可能会让任何人都可以公开窃取 Bancor 用户的资金。在与白帽黑客的合作中,Bancor 发现了这个漏洞,并立即试图“利用”它,以防止恶意代理首先做同样的事情。

自动化的抢先交易机器人意外加入了其中,在不知情的情况下帮助 Bancor 节省了资金,这些机器人的持有者立即将这些资金归还给了 Bancor。

Balancer 的通缩攻击——6 月 28 日

攻击类型:通缩代币

损失金额:约 52.2 万美元

找回资金:无

详情回顾‌

https://www.8btc.com/media/615706

在这次事件中,一个非常聪明的 DeFi 黑客对 Balancer 发起了一场复杂的闪电贷攻击。黑客通过以太坊隐私解决方案 Tornado.cash 进行交易。该计划本身针对的是 STA 和 STONK 通缩型代币及其交易费用机制,这使得黑客盗取价值 50 万美元的 ETH、LINK、SNX 和 WBTC。

Opyn 的双重行权——8 月 5 日

攻击类型:漏洞利用

损失金额:约 37.1 万美元

找回资金:无

详情回顾‌

https://www.8btc.com/media/631860

DeFi 期权协议 Opyn 是这次黑客攻击的受害者,黑客利用漏洞“双重行权”了这个项目的 oToken。Opyn 迅速修补了这个攻击向量,但这次攻击仍然导致智能合约被盗了超过 37 万美元的 USDC 抵押品。

bZx 的 iToken 复制事件——9 月 15 日

攻击类型:漏洞利用

损失金额:约 800 万美元

找回资金:约 800 万美元

详情回顾‌

https://www.8btc.com/article/646719

在这次攻击中,黑客利用 bZx 的 iToken 系统代码中的漏洞“人为地增加他的余额”。这一事件凸显了智能合约审计并不能保证 DeFi 完全安全,就像在此前 bZx 被攻击之前其实已经通过了派盾和 Certik 的审计。幸运的是,bZx 成功从攻击者那里收回了所有丢失的资金。

Eminence 预言机攻击——9 月 29 日

攻击类型:预言机操纵

损失金额:约 1500 万美元

找回资金:约 800 万美元

详情回顾‌

https://www.8btc.com/article/652181

Eminence Finance 是由 Yearn 创造者 Andre Cronje 开发的一款基于 NFT 的游戏,在其开发者宣布有关该项目的信息之前就已经吸引了大量链上关注。这导致 DeFi degens 模仿这个项目,把谨慎抛到风后,创造了一个相当大的代币宝库,一个黑客通过闪电贷驱动的预言机操纵攻击迅速窃取资金。攻击者最终归还了 1500 万美元赃款中的 800 万美元,这些赃款是通过社区退款机制分配的。

Harvest Finance 预言机攻击——10 月 26 日

攻击类型:预言机操纵

损失金额:约 2400 万美元

找回资金:约 250 万美元

详情回顾‌

https://www.8btc.com/article/661801

10 月下旬,收益聚合协议 Harvest Finance 遭受了一次预言机操纵攻击,攻击者通过窃取的代币获得了超过 2400 万美元。具体来说,该协议的 USDC 和 USDT 机枪池是 DeFi 攻击的目标,主要集中在 Curve.fi Y 池的无常损失。

Cheese Bank 劫案——11 月 6 日

攻击类型:预言机操纵

损失金额:约 330 万美元

找回资金:无

详情回顾‌

https://www.8btc.com/article/670003

去中心化的自治银行 Cheese Bank 因一次复杂的闪电贷攻击,被盗了价值超过 300 万美元的 Dai、USDC 和 USDT。

Akropolis 攻击——11 月 12 日

攻击类型:漏洞攻击+重入

损失金额:约 200 万美元

找回资金:无

详情回顾‌

https://www.8btc.com/article/668672

攻击者利用重入攻击,结合 Akropolis 项目存储池中的一个漏洞,窃取了价值 200 万美元的 Dai 稳定币。在攻击发生之前,Certik、Pessimistic 和 SmartDec 已经对这个池子进行了审计,这再次提醒我们,审计并不能绝对保证 DeFi 安全。

Value DeFi 预言机攻击——11 月 14 日

攻击类型:预言机操纵

损失金额:约 750 万美元

找回资金:约 200 万美元

详情回顾‌

https://www.8btc.com/article/669039

11 月,收益聚合协议 Value DeFi 发现其中心化预言机被利用,其 MultiStables 机枪池被抽干。就在这一事件发生之前,Value DeFi 刚刚发布了一个自命不凡的声明,称其优势之一是安全性更高。在攻击之后,该项目团队宣布了与去中心化预言机网络 Chainlink 整合的计划。

Origin Dollar 重入攻击——11 月 17 日

攻击类型:漏洞利用+重入攻击

损失金额:约 770 万美元

找回资金:无

详情回顾‌

https://www.8btc.com/article/670399

11 月,稳定币项目 Origin Dollar 也成为了闪电贷攻击的受害者。攻击者使用恶意合约制造了大量的 OUSD。事件发生后,Origin Dollar 团队悬赏 100 万美元寻找相关线索。

Pickle Finance 的*烦——11 月 22 日

攻击类型:漏洞利用

损失金额:约 1970 万美元

找回资金:无

详情回顾‌

https://www.8btc.com/media/672447

去年 11 月,收益聚合协议 Pickle Finance 的 pDAI PickleJar 被盗走近 2000 万 Dai。这次复杂的攻击是攻击者在 pDAI 系统中安装一个“Evil Jar”来进行的,这个 Jar 被用来盗取 pDAI 的资金。

平均每月 1 次攻击,涉及资金 1.2 亿美元,2020 年 DeFi 攻击大盘点

(Pickle 的 Evil Jar 攻击,来源:banteg)

Warp Finance 预言机攻击——11 月 22 日

攻击类型:预言机操控

损失金额:约 770 万美元

找回资金:约 585 万美元

详情回顾‌

https://www.8btc.com/article/6577679

DeFi 借贷平台 Warp Finance 在预言机操控中遭到攻击,被盗取超过 700 万美元的资金。由于该项目设计的一个奇怪之处,其团队能够取回被攻击者用作抵押品的币,即价值 585 万美元的 ETH/DAI LP 代币。

总结

上述攻击事件涉及的被盗资金超过了 1.2 亿美元。2020 年是 DeFi 的繁荣之年,随着该行业的崛起成为人们关注的焦点,攻击者也相应地将注意力转向了这一领域。从上面的攻击中可以清楚地看出,攻击 DeFi 协议并没有单一的方法,而是一些常见的攻击向量,导致一些年轻的 DeFi 项目沦为了牺牲品。到目前为止,这些日益增长的攻击造成的损失还不是灾难性的。然而,随着生态系统的持续发展和总锁仓量的膨胀,设计的资金将变得更多,攻击将更有利可图。至少可以预计,2021 年将会看到更复杂的 DeFi 攻击。


声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。

来源:Defi之道 原创
#DeFi #OPYN

评论0条

Defi之道

简介:专业性+洞察力的中文区块链媒体,致力于探索Web 3.0前瞻内容和深度解读。

专栏

更多>>