幣安智能鏈(BSC)近期因頻繁遭黑客攻擊而引發關注,5月份共發生12起安全事件,損失超過2.7億美元。以下是事件重點與背後原因:
-
重大攻擊案例
- Venus項目遭巨鯨操縱抵押資產XVS價格,導致1億美元虧空。
- PancakeBunny遭閃電貸攻擊,損失4200萬美元。
- Spartan Pools因流動性計算漏洞被盜3000萬美元。
- DeFi 100項目被盜3200萬美元後,黑客更囂張留下嘲諷訊息。
-
攻擊頻發原因
- 生態粗放創新不足:多數項目直接複製以太坊代碼,組合協議時未深入審查邏輯,漏洞頻出。
- 低手續費降低攻擊成本:BSC鏈上交易費用遠低於以太坊,黑客僅需數百美元即可發動攻擊。
- 部分項目方監守自盜:如AutoShark、Merlinlab等仿盤項目捲款跑路,疑似預謀詐騙。
-
行業反思與建議
- 項目方需加強代碼審計,避免盲目複製,並引入風控熔斷機制。
- 投資者應提升DeFi常識,警惕高風險項目。
- 區塊鏈行業仍處早期,需各界共同建立規範,平衡創新與安全。
事件導致BSC鎖倉資金回流至以太坊,凸顯安全問題對生態的衝擊,但也提醒行業正本清源的必要性。
但在幣安智能鏈持續火爆之後,也逐漸成為了黑客的溫床,尤其在最近,幣安智能鏈不斷發生資金被盜或被套利的安全事件,BSC 在5 月份一共發生了12起安全事件,總共損失了超過2.7 億美元。攻擊規模最大的是一直以來被稱為幣安親兒子的明星DeFi項目Venus,5月18日晚間,基於BSC 的DeFi 借貸平台Venus 代幣XVS 被巨鯨拉漲翻倍,之後以XVS 為抵押資產借走並轉移出去價值上億美元的BTC 和ETH,此後抵押資產XVS 價格大跌並面臨清算,但由於XVS 市場流動性不足系統未能及時清算,導致Venus 出現超過1億美元的巨額虧空。除了Venus 這個過億美元的巨大虧空項目,其餘超過千萬美元損失的項目也比比皆是。 5月20日,基於BSC 的DeFi 收益聚合器PancakeBunny 遭遇閃電貸攻擊,損失114631 枚BNB 和697245 枚BUNNY,後者被黑客大量鑄造並拋售,價格從240 美元閃崩,一度跌破2 美元,該攻擊總共造成損失約4200萬美元。 5月2日,基於BSC的合成資產協議Spartan Pools V1 被攻擊,由於流動性份額計算不當的漏洞,攻擊者從資金池中轉移了約3000 萬美元的資金。 5 月16 日,基於BSC的跨鏈DeFi 協議bEarn Fi其bVaults 的BUSD-Alpaca 策略遭遇閃電貸攻擊,池中近1086 萬枚BUSD 被耗盡,損失大約1086萬美金。甚至還有更過分的黑客,對受害者進行更為狠毒的“殺人誅心”操作,在DeFi 100 項目當中,黑客盜走了3200 萬美金的鏈上資產,隨後在官方網站上發布文字: 「我們欺騙了你們,但你們做什麼都沒用了」。
其實,自從2020 年下半年DeFi 開始火熱興起之後,以太坊鏈上的項目就已經經歷過大規模的閃電貸攻擊,黑客們利用預言機操縱價格、重入攻擊等等方式都曾給鏈上用戶都造成了巨大的資金損失。但本次BSC 鏈上在一個月的時間內頻繁被盜、黑客高密度、高強度作案,的確是DeFi 發展史上的第一次,這不得不讓人引起重視。那麼,BSC 幣安智能鏈這次到底是為何出現這種狀況呢?原因也許可以粗略歸結為如下幾點:一、BSC生態建設粗放,缺乏自主創新氛圍,Fork項目居多
背靠幣安這座大山並作為以太坊的“二層網絡”,BSC 上的新項目雖然蓬勃發展,資金體量不斷飆升,但一些項目卻沒有“敬畏心”,在黑客面前成了“人傻錢多”的優質攻擊目標。
不少項目簡單Fork 以太坊生態協議的代碼,肆意的組合不同協議,在他人的代碼上進行微創新,或是本就沒有長期做項目的“初心”。
要知道,隨著DeFi 在協議的可組合性方面愈發豐富,如果沒有完全理解原協議背後的邏輯,進行隨意的組合或創新,過程中的排斥性就會出現,導致潛在的漏洞和風險,從而給予黑客可乘之機。
例如,PancakeBunny 遭到攻擊後,Fork 其代碼的AutoShark、Merlin 接連遭受同源攻擊。
而從攻擊手法來看,攻擊者並不需要太高的技術門檻,只要將同源漏洞在Fork PancakeBunny 的DeFi 協議上重複試驗就能撈上可觀的一筆。
相比以太坊上高昂的Gas費,黑客在BSC鏈上進行攻擊的成本可能最多只需要幾百美元。
值得注意的是,近幾次在BSC 鏈上發生的閃電貸攻擊,攻擊者在獲利後,都通過Nerve 協議(Anyswap)的跨鏈橋將所獲資產快速轉移到以太坊上並將資產重新投到DeFi的流動性挖礦中。 DeFi 領域的技術創新也衍出新型洗錢方式,對於反洗錢提出了新的挑戰。
不過,跟閃電貸一樣,跨鏈橋本身也是一種金融創新,它並不是惡意的洗錢工具,它打破了各類加密資產的流通存在的壁壘,協助資產自由流動以及公鏈之間自由交互,進而使得DeFi 能夠向縱深發展。
三、部分無良項目方監守自盜
不得不承認在如此混亂的環境下,並不是所有的項目方都是為了做一個好項目而來,一些無良項目方其實在一開始就已經埋下了精心的騙局,吸引無辜的投資者們“上鉤”。 5月24日Pancake Bunny 仿盤AutoShark 捲走了70萬美元之後,相隔一天又出現了一個仿盤,名叫Merlinlab,一天被攻擊兩次,重操AutoShark 的舊業,捲走了680萬,這些騙局不斷寄生在幣安智能鏈上欺騙用戶。至於在上文提到的“殺人誅心”的DeFi 100 項目,在推特上解釋稱官網首頁的狂妄言論也是由於黑客的攻擊,而後就沒有了下文,這一切到底是真的被盜還是項目方監守自盜,可能只有它們心裡最清楚。頻頻發生的黑客攻擊事件給BSC 生態亮起了警示燈,畢竟沒有玩家願意將自己的資金放在那些有漏洞的項目上,區塊鏈世界也是用腳投票。
根據The Block 數據顯示,因為黑客攻擊事件,BSC 已有部分鎖倉資金回流至以太坊,總鎖倉量回落至20 億美元。
面對最近這樣一系列困局,十分值得我們反思,到底如何做才能盡量避免出現這種安全問題。
對於項目開發團隊而言,需要提安全意識,不能只是簡單的複制其他協議的代碼,務必查邏輯,排除可能的漏洞,或尋求專業代碼審計團隊的幫助。
新合約上線之前除了要進全專業的智能合約安全審計,排查已知的各類漏洞外,還要注意排查與其他DeFi產品進組合時的業務邏輯漏洞,避免出現跨合約等邏輯兼容性漏洞。
另外,還需要引入一定的風控熔斷機制,比如第三方安全公司的威脅感知情報和數據態勢情報服務等,做到第一時間響應安全風險,及時排查封堵安全攻擊。
在攻擊事件發時,應聯動各方力量,搭建套完善的資產追踪機制,事後需做到查缺補漏,完善防禦系統。
而投資者本身,也需要學習最基本的DeFi常識,能夠對於市場上的新項目做出辨別,切莫在一問三不知的情況下一頭衝進新礦,殊不知你圖它的利息,它卻有可能圖你的本金。
實際上,區塊鏈這一行業誕生至今也不過12年的時間,與市面上很多發展成熟的行業相比,還非常的早期,行業底層基礎設施仍然不夠完善,行業發展規則和標準不清晰,各界監管框架也十分模糊。
因此,不光是DeFi 協議的安全事件頻發,隨著各種應用落地,區塊鏈數字資產引發的安全問題總體呈上升趨勢,加密資產犯罪五花八門,盜幣、詐騙、洗錢等案件頻發,各種原因造成的“黑天鵝”事件也層出不窮。
而這更加需要區塊鏈各界同仁一起重視這些問題,項目方自身首先應把握正確的發展方向,不搞短視、撈快錢、詐騙等損害區塊鏈行業發展的事,向外界樹立區塊鏈行業的正面形象,努力將區塊鏈行業早日推上正軌;廣大投資者和用戶則應該不斷學習提升自身對於行業的認知,積極探索實踐,不僅有能力做到辨別騙局、保護好個人資產安全,更能通過個人的學習和實踐通過這一行業,抓住未來數字經濟時代的新機遇,獲得成功。
總之,無論在這個行業中發生瞭如何聳人聽聞的故事,區塊鏈的機遇仍然還在,風險與機遇永遠並存,當你還在害怕市場反複收割、DeFi項目安全事故頻發,猶猶豫豫的時候,已經一批人已經悄然走向了新時代的光明之路。
