11月共發生安全事件35起,DeFi為何淪為一小撮人的狂歡?
據 PeckShield 態勢感知平台數據显示,過去一個月,整個區塊鏈生態共發 35 起較為突出的 DeFi 安全事件,危害程度評級為「高
級」。涉及 DeFi 相關 13 起、錢包安全 2 起、勒索相關 5 起,詐騙事件 10 起、其他攻擊 5 起。
黑客肆虐,DeFi為何淪為一小撮人的狂歡?
牛市來臨之後,DeFi(去中心化金融)一度被譽為支撐加密貨幣成為今年真正“頭號”投資產品的關鍵。
據 DappTotal 數據显示,11月以來,DeFi 的總鎖倉量突破新高。
整個 DeFi 生態一副欣欣向榮的景象。然而,另一邊,DeFi 正陷入弱代碼流行病的困擾。據 PeckShield 統計,11月共發生逾 13 起與 DeFi 相關的安全事件,造成損失近 5000萬 美元。
11月1日,YFI 披露一個新的閃電貸安全漏洞,團隊在 1.5 個小時后移除該漏洞;
11月2日,主網僅上線幾個小時的 Axion Network 遭到黑客攻擊,黑客利用其質押相關漏洞鑄造 790億 枚代幣 AXN,導致其代幣價格短時下跌 100%,並且損失 50萬 美元;
11月6日,PercentFinance 因出現漏洞而凍結了 100萬 美元的代幣,包括 44.6萬 枚 USDC、28 枚WBTC 和 313 枚ETH;
11月7日,PeckShield 監控到黑客利用閃電貸(Flash loan)通過一筆交易攻擊一家去中心化数字銀行 Cheese Bank,憑空套利 330 萬美元;
11月10日,JustSwap 白名單 DeFi 項目 SharkTron 被竊取價值 1000萬 美元的 波場幣(TRX),波場聯合幣安凍結部分資金;
11月14日, PeckShield 監控到黑客利用 Akropolis 項目存在的存儲資產校驗缺陷,向合約發起連續多次的重入攻擊,憑空增發大量的 pooltokens,擄走 203萬 枚 DAI;
11月15日,PeckShied 監控到黑客利用 Value DeFi 協議中基於AMM 算法的價格預言機 (Curve) 存在的漏洞,操縱 Curve 上代幣的價格,鑄造 pooltokens,最終獲利 540萬 美元
11月17日,PeckShield 監控到 DeFi 協議 Origin Protocol 穩定幣 OUSD 遭到攻擊,攻擊者利用dYdX 的閃電貸進行重入攻擊(Re-entrancy attack),造成價值 770萬 美元的 ETH 和 DAI 的損失;
11月18日,PeckShield 監控到僅上線 48小時 的 DeFi 固定利率借貸協議 88mph 存在代碼漏洞,攻擊者利用該漏洞鑄造價值 10 萬美元 MPH 代幣
11月22日,PeckShield 監控到曾被 V神 發推文讚賞的 DeFi 項目 Pickle Finance(酸黃瓜),因被黑客攻擊未經審核新創建的智能合約漏洞,損失近 2000萬 美元的 DAI;
11月26日,Compound 遭預言機攻擊,9000萬 美元資產遭清算。此次 Compound 巨額清算是由於預言機信息源Coinbase Pro的DAI價格劇烈波動導致的,操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊;
11月29日,RGT Distributor 的合約出現漏洞,智能合約 DeFi 智能投顧 Rari Capital 發布官方推特稱已修複合約漏洞,沒有資金丟失;
11月30日,流動性挖礦項目 SushiSwap 遭到流動性提供者攻擊,該攻擊者通過一筆交易中獲取了 1 至 1.5萬 美元,隨後該修復通過 PeckShield 審核。
區塊鏈世界信仰“Code is Law”,認為代碼即法律,分佈式技術可確保數據不可篡改,最大程度地保證系統安全,但現在基於區塊鏈技術開發的 DeFi 為何頻遭安全問題困擾?
PeckShield 相關負責人分析道:“DeFi 的金融屬性強,與資金綁定緊密,一旦發生安全事件,大概率會直接涉及到切身利益,但此類安全問題並非沒有破解的方法。DeFi 還處於發展階段,在主網上線前,一定要確保代碼進行徹底地審計和研究。例如 Pickle Finance(酸黃瓜)被攻擊的事件,略過了新增代碼的審計,造成黑客有機可乘。同類 DeFi 被攻擊后,要及時確認自己的合約是否也存在類似的漏洞,或者尋求專業的審計機構,例如 PeckShield 對同類攻擊進行監控。”
- Su
- Mo
- Tu
- We
- Th
- Fr
- Sa
精選專題
