DeFi 再成安全事故高發區:本月 14 個 DeFi 項目遭攻擊,總損失超 2.5 億美元
原文標題:《本月至少有 14 個 DeFi 項目遭黑客攻擊,總損失金額超 2.5 億美元》
撰文:谷昱、Alyson
原文標題:《本月至少有 14 個 DeFi 項目遭黑客攻擊,總損失金額超 2.5 億美元》
撰文:谷昱、Alyson
今年以來 DeFi 行業發展迅速,大量 DeFi 項目相繼湧現,總鎖倉金額最高接近 900 億美元,但由於很多項目代碼審計不嚴格等原因,它們也成爲大量黑客所垂涎的攻擊目標。特別是在 5 月,DeFi 安全事故頻次大幅上升。
據鏈捕手統計,今年以來 DeFi 行業總計有 27 個項目遭到黑客攻擊,而本月就至少有 14 個項目遭到黑客攻擊,平均每兩天就有 1 個 DeFi 項目被攻擊,總損失至少爲 2.5 億美元,堪稱是 DeFi 歷史上遭遇攻擊頻次最高、損失最大的一個月。
具體而言,本月遭受黑客攻擊的 DeFi 項目包括 BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan。
其中,閃電貸是最主要的黑客攻擊手法,至少 7 個項目因此遭到攻擊;BSC 則是黑客最活躍的攻擊平臺,至少 11 次攻擊都發生在 BSC 公鏈;攻擊金額普遍較大,至少 7 個項目的損失金額超過 1000 萬美元,最高的 Venus 損失金額超過 1 億美元。
以下是鏈捕手對本月 14 起 DeFi 項目遭攻擊事件的詳細整理:
BurgerSwap
損失金額:約 700 萬美元
簡述:2 月 28 日,基於 BSC 的 AMM 項目 BergerSwap 遭到閃電貸攻擊,被盜超過 432874 個 BURGER。
Julswap
損失金額:未知
簡述:2 月 28 日,基於 BSC 的 AMM 項目 Julswap 遭到閃電貸攻擊,幣價最高下跌 90%。
Merlin
損失金額:約 68 萬美元
簡述:5 月 26 日,BSC 生態自動收益聚合器 Merlin 遭到黑客攻擊,由於該項目 getReward 代碼的存在漏洞,大量的 CAKE 代幣被手動轉移到 Vault 合約中,共導致了約 59,000 個 MERL 增發,並通過出售獲得 240 個 ETH。
處理方案:團隊將向用戶空投補償代幣 cMERL,該代幣持有者將能夠從補償池中獲得 BNB 獎勵。同時,額外的開發團隊資金將被用於執行燃燒和回購活動,以恢復代幣價格。
AutoShark Finance
損失金額:約 82 萬美元
簡述:5 月 25 日,基於 BSC 的固定利率協議 AutoShark Finance 遭到閃電貸攻擊,在 LP 價值錯誤和手續費獲取數量錯誤的情況下,SharkMinter 合約最後在計算攻擊者的貢獻的時候計算出了一個非常大的值,導致 SharkMinter 合約給攻擊者鑄出了大量的 SHARK 代幣,致使其幣價閃崩,從 1.2 美元快速跌至 0.01 美元,攻擊者獲利月 82 萬美元。
處理方案:官方表示將發行新代幣 JAWS 補償受損用戶。
Bogged Finance
損失金額:300 萬美元
簡述:5 月 23 日,基於 BSC 的聚合交易平臺 Bogged Finance 官方表示,黑客對 BOG 代幣合約質押功能漏洞進行了閃電貸攻擊,黑客利用 Pancake Pair Swap 代碼,在合約驗證完成前即提取了質押收益,導致鑄造了超過 1500 萬個 BOG 代幣,這些代幣大部分原本將分配給了 BOG 的質押者。
處理方案:發行新幣並將被盜 BOG 代幣返還給質押用戶。
Pancake Bunnny
損失金額:約 4200 萬美元
簡述:5 月 20 日,基於 BSC 的 DeFi 收益聚合器 PancakeBunny 遭遇閃電貸攻擊,損失 114631 枚 BNB 和 697245 枚 BUNNY,後者被黑客大量鑄造並拋售,價格從 240 美元閃崩,一度跌破 2 美元。根據 CertiK 安全團隊的調查,由於 PancakeBunny 使用 PancakeSwap AMM 來進行資產價格計算的,因此黑客惡意利用了閃電貸來操縱 AMM 池的價格,並利用 Bunny 在鑄造代幣的時候計算上的問題成功完成攻擊。
處理方案:PancakeBunny 將通過發行新代幣 pBUNNY 並創建補償池,補償 BUNNY 原始持有者由於代幣價格大跌造成的損失。
Venus
損失金額:超 1 億美元
簡述:5 月 18 日晚間,基於 BSC 的 DeFi 借貸平臺 Venus 代幣 XVS 被巨鯨拉漲翻倍,之後以 XVS 爲抵押資產借走並轉移出去價值上億美元的 BTC 和 ETH,此後抵押資產 XVS 價格大跌並面臨清算,但由於 XVS 市場流動性不足系統未能及時清算,導致 Venus 出現上億美元的鉅額虧空。
處理方案:Venus 向幣安出售部分 XVS 代幣以彌補平臺虧損。
FinNexus
損失金額:700 萬美元
簡述:5 月 17 日,鏈上期權協議 FinNexus 遭遇黑客攻擊,該黑客滲入並設法恢復了 FNX 代幣合約管理者的私鑰,攻擊者鑄造了超過 3.23 億枚 FNX,然後在中心化和去中心化交易所中出售,導致價格暴跌。
處理方案:FinNexus 團隊表示將發行新幣並按 1 比 1 補償給所有在黑客入侵之前持有 FNX 的用戶;DEX 上的流動性提供者因遭受更高的損失將獲得額外的補償。
bEarn Fi
損失金額:約 1086 萬美元
簡述:5 月 16 日,基於 BSC 的跨鏈 DeFi 協議 bEarn Fi 其 bVaults 的 BUSD-Alpaca 策略遭遇閃電貸攻擊,池中近 1086 萬枚 BUSD 被耗盡。
處理方案:bEarn Fi 表示將創建一個補償基金,由剩餘的儲蓄資金、開發資金、DAO 資金和協議產生的一部分費用組成,之後將對餘額進行快照以部署補償合約。
EOS Nation
損失金額:1500 萬美元
簡述:5 月 14 日,EOS Nation 閃電貸智能合約遭受到重入攻擊(re-entry attack),相繼有約 120 萬枚 EOS 和 46.2 萬枚 USDT 被盜。
處理方案:flash.sx 稱,損失的所有資金都在 eosio.prods 的安全控制下,已發起提案更改黑客 EOS 賬戶權限,通過後會將資金返還給用戶。
xToken
損失金額:約 2500 萬美元
簡述:5 月 13 日,DeFi 質押和流動性策略平臺 xToken 遭到閃電貸攻擊,xBNTa Bancor 池以及 xSNXa Balancer 池流動性被立即被耗盡,造成約 2500 萬美元損失,
處理方案:xToken 團隊表示計劃將 XTK 供應總量的 2%用於彌補被盜損失。
Rari Capital
損失金額:1400 萬美元
簡述:5 月 8 日,DeFi 智能投顧協議 Rari Capital 其 ETH 資金池出現了一個因集成 Alpha Finance Lab 協議而導致的漏洞,擊者通過部署一個輔助合約操控 ibETH 中 ibETH Token 的價格,導致 Rari 遭受 1400 萬美元的鉅額損失。
處理方案:Rari Capital 將把用來擴大團隊規模的 200 萬枚預留 RGT 歸還給 DAO,用來補償受攻擊影響用戶和獎勵貢獻者。
Value DeFi
損失金額:兩次共計 1500 萬美元
簡述:基於以太坊與 BSC 的 DeFi 協議 Value DeFi 在 5 月 5 日和 5 月 7 日分別遭受兩次攻擊,第一次攻擊源於 Value DeFi 的 ProfitSharingRewardPool 合約出現代碼漏洞,其 vStake 池子受影響,共損失超 20 萬枚 BUSD 和 8790 枚 BNB;第二次攻擊源於 Value DeFi 的 vSwap 合約出現代碼漏洞,IRON Finance 的部分池和產品受到攻擊。
處理方案:團隊將使用保險基金中的 8,530 VALUE 和多籤中的 122,463 VALUE,共計 130994 VALUE 進行補償,其餘 251702 VALUE 將使用團隊的 VALUE 進行補償。
Spartan
損失金額:3000 萬美金
簡述:5 月 2 日,基於 BSC 的合成資產協議 Spartan Pools V1 被攻擊,由於流動性份額計算不當的漏洞,攻擊者從資金池中轉移了約 3000 萬美元的資金。
處理方案:發行新的 SPARTA 代幣,並將原本未發行的 2000 萬枚代幣補償此前因攻擊遭受損失的資金池 LP。
來源鏈接:www.chaincatcher.com
==