去中心化金融(DeFi)是指区块链应用程序,可将中间商从贷款、储蓄和掉期等金融产品和服务中剔除。虽然DeFi带来了高回报,但它也带来了很多风险。?
由于几乎任何人都可以启动DeFi协议并编写一些智能合约,因此代码中的缺陷很常见。在DeFi中,有许多不择手段的行为者已经准备好并且能够利用这些缺陷。当这种情况发生时,数百万美元将被盗取,而用户通常没有追索权。
根据Elliptic11月的一份报告,DeFi用户在2021年因盗窃损失了105亿美元。但正如我们最大的DeFi漏洞利用列表所示,这个数字已经增长了数百万。
13?.?GrimFinance:?3000万美元
dApp通常从构建它们的区块链中获取主题灵感。因此,Avalanche生态系统充满了参考,例如Snowtrace、Blizz和Defrost。同时,Fantom生态系统感觉就像一场链上万圣节派对。当出现问题时,这会增加一个更黑暗的旋转,就像收益优化器协议GrimFinance的情况一样。
2021年12月,该协议遭受了重入攻击,这是一种攻击者在之前的交易尚未结算的情况下伪造额外存款到保险库的漏洞。最终,攻击诱使智能合约释放了价值3000万美元的Fantom代币。
DeFi协议通常使用可重入保护——防止此类攻击的代码片段。来自SolidityFinance的GrimFinance的审计报告错误地指出该协议有可重入保护——提醒审计并不能保证不会发生漏洞。
12?.?MeerkatFinance:??3100万美元
Cobo 链上安全团队盘点分析 1 月区块链安全事件:2月17日消息,Cobo安全研究团队近日盘点并解析了 1 月发生的典型区块链安全事件,对跨链桥、智能合约、钱包等多种类型的真实攻击案例和漏洞进行了技术解读,并为普通用户规避区块链中的安全风险提供了一些建议。建议普通用户及时撤销无限授权、留意未审计项目风险等。
Cobo 区块链安全研究团队成员来自知名安全实验室,有多年网络安全与漏洞挖掘经验,曾协助谷歌 、微软处理高危漏洞。团队目前重点关注智能合约安全、DeFi 安全等方面 ,研究并分享前沿区块链安全技术。[2022/2/17 9:57:31]
有时,DeFi协议很快就会遭受第一次攻击。基于币安智能链的借贷协议MeerkatFinance在2021年3月推出仅一天后就损失了3100万美元的用户资金。
攻击者在合约中调用了一个函数,使他们的地址成为金库所有者,从而耗尽了该项目1396万美元的币安稳定币BUSD,以及另外73,000BNB。BNB抢劫案当时价值约1740万美元。
许多用户认为这是一项内部工作:协议开发人员的地毯式拉扯。MeerkatFinance否认了这些指控。
11.VeeFinance:3500万美元
2021年夏季,Avalanche的活动有所增加,这也吸引了那些渴望利用区块链网络新兴生态系统的人。
2021年9月,就在借贷平台VeeFinance庆祝锁定资产总价值达到3亿美元的里程碑仅一周后,它遭受了Avalanche网络上最大的攻击。
这次攻击之所以成功,主要是因为VeeFinance的杠杆交易功能依赖于Avalanche的主要流动性协议Pangolin提供的代币价格。为了滥用这一点,攻击者在Pangolin上创建了7个交易对,提供了流动性,最后在Vee上进行了杠杆交易。这使他们能够从协议中消耗3500万美元的加密货币。
央行盘点2020:积极运用区块链等技术将金融服务融入实体经济“关键动脉”:央行发布《盘点央行的2020 | ⑦金融科技和金融基础设施》表示,积极运用大数据、人工智能、区块链等技术将金融服务融入实体经济“关键动脉”。首个由我国专家召集制定的ISO标准《银行产品服务描述规范》正式发布,同时牵头研制移动支付、区块链、绿色金融等多项国际标准。(中国人民银行公众号)[2021/1/11 15:53:08]
在发给“亲爱的先生/女士0x**95BA”的推文中,该协议要求攻击者将资金作为赏金计划的一部分返还,这将让攻击者保留一部分。但Vee黑客没有表现出归还资金的意愿。
10.PancakeBunny:?4500万美元
加密货币经常经历短暂但强烈的时尚。而在2021年春季,币安智能链是最热门的DeFi趋势,尤其是对于零售用户而言,因为其网络费用较低。?
但BSC也遭受了许多和黑客攻击,其中最大的一次是2021年5月针对单产农业协议PancakeBunny的攻击。?
一名黑客通过一系列八次闪贷攻击操纵了PancakeBunny的定价算法,抬高了该协议的原生代币$BUNNY的价格。黑客通过以市场价格低价购买BUNNY并以人为夸大的高价出售,从而赚了4500万美元。
9.bZx:5500万美元
恒指期货夜盘现涨0.69%,报23909点,较恒指最新收盘点位高水160点:恒指期货夜盘现涨0.69%,报23909点,较恒指最新收盘点位高水160点。(金十)[2020/4/6]
在“私钥”被泄露后,多链借贷协议bZx于2021年11月遭到黑客攻击。该协议在BinanceSmartChain和Polygon上总共损失了5500万美元。
但是bZx之前已经经历过两次类似的痛苦。
尽管闪电贷攻击是当今常见的DeFi攻击策略,但bZx在这方面是一个“OG”。它在2020年2月遭受了针对其保证金交易平台Fulcrum的闪电贷攻击。黑客偷走了1,300个包裹的ETH,当时价值366,000美元。
在2020年9月的另一次攻击中,bZx损失了30%的锁定在其金库中的资金,当时价值800万美元。然而,持有未平仓保证金头寸的用户并没有遭受损失,因为正如协议后来在一份报告中所说,这些资金是从bZx的保险基金中扣除的。
8.BadgerDAO:?1.2亿美元
从DeFi项目中蒸发数百万美元的智能合约漏洞并不总是如此。?
2021年12月,在者诱BadgerDAO成员批准恶意交易,让他们控制用户的保险库资金并转移资金后,比特币到DeFi的桥接器BadgerDAO损失了1.2亿美元。
区块链安全公司PeckShield表示,该协议的合约不受攻击,只有用户界面受到影响。
7.CreamFinance:?1.3亿美元
动态 | 澳媒盘点12国加密货币税制 日本税率最高:7月23日,澳大利亚加密货币媒体Mickey发文盘点各国加密货币税制,并指出日本加密货币税率非常高。根据2017年4月实行的资金结算法修订版,加密货币交易所产生的利益所得划分为杂项收入,所得税最高可达45%,作为伴随着损失的交易市场税率来说非常高。此外,该媒体列举了以下几个国家的加密货币税制:1、德国:加密货币交易免除附加税,持续保有加密货币一年以上可免除转让所得税。全部欧洲市民向德国转移资产时可免除转移税。2、新加坡:长期投资加密货币的企业和个人免除转让所得税。3、葡萄牙:不像加密货币征收附加税和所得税,但企业通过加密货币交易所得的收益需要课税。4、马耳他:加密货币的日交易作为法人税征收税金,但个人投资者购买和拥有加密货币不用缴纳税金。5、马来西亚:不需要缴纳转让所得税。6、白俄罗斯:对加密货币挖矿和对加密货币的投资不征收税金。7、瑞士:对专业投资者的加密货币交易征收法人税,挖矿被视为个人营业收入,但个人投资者的投资及交易不需缴纳转让所得税。8、加密货币被认为是资产,纳税方式和股票一样;如果购买加密货币并保留一年以上,根据收入水平征收0%至20%的税金。9、澳大利亚:当所有交易均被视为转让收入,并且兑换为澳元时要求保留所有准确的交易记录;如果进行加密货币投资获得的利润,就要交纳与个人所得税相同速率的税金。但如果持有1年以上的加密货币,将减免50%的税金。10、以色列和瑞典:如果纳税人不能证明他们购买的加密货币的购买额,将会征收百分之百的税金。[2019/7/23]
借贷协议CreamFinance在2021年10月?的一次闪电贷攻击中损失了1.3亿美元——这是该协议遭受的第三次攻击。
如果您在同一笔交易中偿还,闪电贷允许您立即获得贷款。尽管对套利交易有用,但它们被恶意行为者广泛部署以利用DeFi协议中的漏洞。在CreamFinance的案例中,闪电贷黑客能够通过在不同的以太坊地址上反复进行闪电贷来利用定价漏洞。
CreamFinance以前见过这一切。2021年8月,一名黑客在另一次主要针对FlexaNetwork的原生代币AMP的闪电贷攻击中窃取了约2500万美元。在2021年2月的一次闪电贷攻击中,黑客从协议池中吸走了3750万美元。
雅虎财经2018年2月7日加密峰会盘点:
1. 摩根大通区块链负责人Farooq:区块链将从根本上改变商业的运作;数字货币必须解决问题。
2.Blockchain CEO:数字货币最厉害之处,就是在与任何国家无关的情况下成为金融体系的一部分。
3.DCG(数字货币集团)创始人Barry Silbert:大多数币种没有真正的实用性;希望未来让DCG上市。
4.Fundstrat Global Advisors联合创始人Tom Lee:数字货币市场不仅仅是个“十年的故事”,它将持续存在30年。数字货币市场像新兴市场。如果相信区块链,那就必须相信比特币、以太坊以及所有的公链。
5.Indiegogo股权众筹和加密货币投资负责人:最终将需要与监管机构来一次有意义的、权威的对话。
6.Chain联合创始人兼CEO Adam Ludwin:人们其实希望对数字货币进行监管;以加密方式上发行传统货币以后将是这个领域中的很大一部分。
7.瑞波CEO:瑞波超过50%合作金融机构为日本公司,瑞波币将在3-5年内成功;长期看好比特币,认为比特币不会灭亡,但也不会解决付款问题。
8.Goodwin Procter律所合伙人Grant Fondo:不管某个项目看起来有多好,别把鸡蛋放在一个篮子里。
9.数字商会总裁Perianne Boring:数字货币投资者需要做好研究,同时要有批判性思维。[2018/2/8]
6.VulcanForged:??1.4亿美元
Play-to-earn是加密领域的最新趋势之一,但它并非摆脱了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戏赚钱平台VulcanForged在2021年12月的用户损失1.4亿美元时惨痛地吸取了这一教训。
根据报告,一名黑客获得了该平台集中式用户钱包Venly的凭据,以获取96个加密钱包的私钥。后来,黑客利用它获取了平台资产组合功能MyForge中的私钥,最终盗取了450万枚VulcanForged原生PYR代币。
VulcanForged首席执行官JamieThomson在对社区的讲话中说:“当然,展望未来,我们将只使用去中心化钱包,因此我们再也不必遇到这个问题了。”
5.Compound:?1.5亿美元?
与大多数DeFi协议一样,借贷协议Compound有一个治理令牌COMP。该协议在特定条件下向用户分发代币。
2021年10月,Compound出现了一个漏洞——“DeFi中保存最完好的秘密”——让借款人索取的COMP份额超过了他们的预期份额。该漏洞涉及其两个保险库,或智能合约上的资金池。用户将调用Reservoir保险库上的特定函数—drip(),它会重新填充另一个保险库Comptroller。该保险库会自动将大量COMP分配到错误的地址。泄漏水龙头是先前协议更新中引入的错误的结果。
在将8000万美元的COMP发送给错误的人之后,该团队急于修补。但在实施任何修复之前,该协议需要通过治理提案。它创建于10月2日,最终于10月9日被接受。在社区辩论期间,金库又损失了6880万美元。
Compound的创始人罗伯特·莱什纳(RobertLeshner)是如何试图把钱拿回来的?通过推特,“任何将COMP归还给社区的人都是外星人。如果一队外星巨魔召唤我,我会出现的。”?几乎一半的资金被退回。?
4.Beanstalk:?1.82亿美元?
闪电贷款——如此有用,但又如此危险。在庆祝1.5亿美元的资产被锁定在其协议中仅仅两天后,基于以太坊的Beanstalk发现在一次闪电贷款攻击中丢失了1.82亿美元。黑客设法通过TornadoCash在以太坊中8000万美元。
Beanstalk以其算法稳定币BEAN而闻名,它应该价值1美元。虽然它设法在攻击发生后立即保持锚定,但该漏洞证明算法稳定币仅与支撑它们的合约一样稳定。
3.Wormhole:?3.26亿美元?
随着越来越多的第1层区块链构建在其上,用户对在链之间转移资金的愿望越来越强烈。跨链桥解决了这一需求,但它们也带来了新的漏洞。最具破坏性的跨链事件发生在2022年1月,当时流行的桥梁Wormhole在WrappedEthereum(wETH)中损失了3.2亿美元。WETH是一种与以太坊价格1:1挂钩的加密货币。
黑客瞄准了Solana上的桥段,用户必须首先将以太坊锁定在智能合约中,才能获得等量的WrappedEthereum。黑客设法通过铸造WETH而不将ETH锁定在Wormhole中找到解决此问题的方法。
Wormhole开发的利益相关者JumpTradingGroup主动补充虫洞的以太坊金库,使其重新完整。
2.Ronin:?5.52亿美元?
NFT驱动的游戏赚钱游戏AxieInfinity是去年最大的加密成功案例之一。2022年3月23日,它成为加密领域最大的黑客攻击之一的受害者,估计有5.52亿美元的加密货币使用“被黑的私钥”从桥流到其Ronin侧链。
一周后,当AxieInfinity开发商SkyMavis披露该漏洞利用时,被盗资金的价值已升至6.22亿美元。
根据SkyMavis的一份报告,攻击者使用“通过我们的无气体RPC节点的后门,他们滥用该后门来获取AxieDAO验证器的签名”。
解释说,由于用户负载高,SkyMavis在2021年11月转向AxieDAO分发免费交易,报告补充说,“AxieDAO允许SkyMavis代表其签署各种交易。这已于2021年12月停止,但未撤销许可名单访问权限。”
利用该漏洞,攻击者随后能够签署来自Ronin网络上九个验证节点中的五个节点的交易,包括AxieDAO的节点和SkyMavis自己的四个节点。这反过来又让攻击者伪造交易并索取173,600WETH和2550万美元,总计约6.22亿美元。
AxieInfinity联合创始人JeffZirlin称其为“历史上最大的黑客攻击之一”,并指出“有可能会识别出并将其绳之以法。”
1.PolyNetwork:??6.11亿美元
PolyNetwork黑客仍然是加密领域最大的黑客——不仅仅是DeFi。不过幸运的是,始于2021年8月10日的传奇故事在经历了一系列奇怪的曲折后三天后圆满结束。
当一名黑客利用PolyNetwork的“合约调用”中的漏洞时,盗窃开始了。黑客迅速用各种加密货币窃取了6.11亿美元,导致Poly发布了一封绝望的信,称其为“亲爱的黑客”。
这种沟通尝试以及随后的外展努力最终奏效了。该协议提供了50万美元的赏金,并让黑客有机会成为其首席安全顾问。但在链上问答环节中,黑客解释说,该漏洞只是为了给PolyNetwork上一课。他们说,归还被盗资金“始终是计划”。
加密货币安全公司SlowMist表示,它识别了攻击者的身份标记,并且该漏洞“很可能是一次长期计划、有组织和有准备的攻击”。?
“现在每个人都闻到了阴谋的味道,”黑客说,否认他们是内部人员。“但谁知道呢?”
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。