今年以来,DeFi产业发展迅速,一大批DeFi项目相继涌现,总锁定金额近900亿元。然而,由于许多项目的代码审核不严,它们也成为众多黑客觊觎的攻击目标。特别是5月份,DeFi安全事件频发明显增多。
据chain catcher统计,今年DeFi行业有27个项目遭到黑客攻击,而本月至少有14个项目遭到黑客攻击。平均每两天就有一个DeFi项目遭到攻击,总损失至少2.5亿美元,堪称DeFi历史上攻击频率**、损失**的一个月。
具体来说,本月遭到黑客攻击的DeFi项目包括burgerswap、julswap、Merlin、autoshark finance、bogged finance、pancake bunny、Venus、finnexus、bean fi、EOS nation、xtoken、rari capital、value DeFi和Spartan。
其中,闪电贷款是最重要的黑客攻击,至少有7个项目受到攻击;BSC是黑客最活跃的攻击平台,BSC公链中至少发生了11次攻击;攻击量一般都很大,至少有7个项目损失在1000万美元以上,金星损失**的也在1亿美元以上。
以下是本月chain catcher对DeFi项目发起的14起攻击的详细总结:
1、 汉堡交换
损失金额:约700万元
简介:2月28日,基于BSC的AMM项目bergerswap遭到FlashLoan攻击,432874个Buger被盗。
2、 七月交换
损失金额:未知
简介:2月28日,基于BSC的AMM项目julswap遭遇闪贷攻击,货币价格下跌高达90%。
3、 梅林
损失金额:约68万元
简介:5月26日,BSC生态自动收入聚合器Merlin遭到黑客攻击。由于该项目的getreward代码存在漏洞,大量蛋糕代币被手动转移到保险库合同中,导致约59000个额外的merls和240个ETH通过销售。
解决方案:团队将补偿代币cmerrl空投给用户,代币持有者将能够从补偿池中获得BNB奖励。同时,额外的开发团队资金将用于执行烧录和回购活动,以恢复代币价格。
4、 自动共享金融
损失金额:约82万元
简介:5月25日,基于BSC的固定利率协议autoshark finance遭到flash loan攻击。在LP值错误和手续费数目错误的情况下,SharkInter合同在计算攻击者的贡献时最终计算出了一个非常大的值,导致SharkInter合同为攻击者铸造了大量鲨鱼代币,导致货币价格暴跌,从1.2美元跌至0.01美元,袭击者每月获利82万美元。
如何处理:官方表示,他们将发行一种新的代币jaws,以补偿受损用户。
5、 陷入困境的金融
损失金额:300万美元
简介:5月23日,基于BSC的聚合交易平台bogged finance正式发布消息称,黑客对bog代币合约质押功能漏洞进行了flash loan攻击。黑客利用煎饼对交换码,在完成合同验证前提取质押收入,最终铸造了1500多万枚bog代币,其中大部分原分配给bog出质人。
解决方案:发行新币,将被盗bog代币返还质押用户。
6、 班尼煎饼
损失金额:约4200万元
简介:5月20日,基于BSC的WiFi收入聚合器pancake bunny遭遇闪电贷款攻击,损失了114631个BNB和697245个bunny。后者被黑客大量铸造和出售,价格一度从240美元跌至2美元。据certik安全团队调查,由于pancakebunny使用pancakeswap AMM计算资产价格,黑客恶意利用flash loan操纵AMM池价格,利用Bunny在投币时的计算问题成功完成攻击。
解决方案:pancake Bunny将发行一个新的代币pbunny,并创建一个补偿池,以补偿Bunny的原主人因代币价格大幅下跌而造成的损失。
7、 维纳斯
损失金额:1亿美元以上
简介:5月18日晚,基于BSC的DeFi借贷平台Venus token被巨鲸翻倍。然后,它以xvs作为抵押资产,借入并转让了价值数亿美元的BTC和ETH。此后,抵押资产xvs的价格暴跌,面临清算。然而,由于xvs市场缺乏流动性,系统未能及时清理,导致金星出现数亿元的巨额亏损。
解决方案:Venus向coin出售一些xvs代币,以弥补平台的损失。
8、 芬尼克索斯
损失金额:700万美元
简介:5月17日,连锁期权协议finnexus遭到黑客攻击。黑客潜入并设法恢复了fnx代币合同管理器的私钥。攻击者伪造了3.23亿多fnx,然后在中心化和去中心化的交易所出售,导致价格大幅下跌。
解决方案:芬尼克斯团队表示,将在黑客攻击前发行新硬币,并按1:1的比例补偿所有fnx用户;DEX上的流动性提供者将因更高的损失获得额外补偿。
9、 比尔恩Fi;
损失金额:约1086万美元
简介:5月16日,基于BSC的交叉链路DeFi协议Bearn fi的bvaults的busd-Alpaca策略遭遇雷击,池中近1086万条总线耗尽。
解决方案:bean-fi称将创建一个补偿基金,由剩余的储蓄基金、开发基金、Dao基金和协议产生的部分费用组成,然后将余额快照以部署补偿合同。
10、 EOS国家
损失金额:1500万美元
简介:5月14日,EOS国家闪电贷款智能合约遭遇重入攻击,约120万EOS和46.2万USDT先后被盗。
解决方案:flash.sx表示,所有丢失的资金都在eosio.prods的安全控制之下,并已发起修改黑客EOS账户权限的建议,通过后将返还给用户。
11、 克托肯
损失金额:约2500万美元
简介:5月13日,DeFi质押和流动性策略平台xtoken遭到闪贷攻击,xbnta Bancor池和xsnxa balancer池的流动性立即耗尽,损失约2500万美元。
解决方案:xtoken团队表示,计划使用xtk总供应量的2%来弥补被盗损失。
12、 Rari资本
损失金额:1400万美元
简介:5月8日,由于集成了alpha finance lab协议,DeFi智能投资咨询协议rari capital的ETH池出现漏洞。攻击者通过部署辅助合同,操纵ibETH中ibETH代币的价格,导致rari capital损失1400万美元。
解决方案:rari capital将向Dao返还200万个保留rgt,用于扩大团队规模,以补偿受影响的用户并奖励贡献者。
13、 价值定义
损失金额:两次,共计1500万美元
简述:基于以太坊和BSC的value DeFi协议分别于5月5日和5月7日遭到两次攻击。第一次攻击是由value DeFi的profitsharing rewardpool合同中的代码漏洞引起的,该漏洞影响了其vstack池,导致超过200000个总线和8790个BNB的总损失;第二次攻击是由vswap contract of value DeFi中的代码漏洞引起的,iron finance的一些池和产品受到攻击。
处理方案:团队将使用保险基金中的8530个值和多重签名中的122463个值,共计130994个值进行赔偿,剩余的251702个值将使用团队的值进行赔偿。
14、 斯巴达人
损失金额:3000万美元
简介:5月2日,基于BSC的综合资产协议Spartan pools V1遭到攻击。由于流动性份额计算不当的漏洞,攻击者从资金池中转移了约3000万美元。
解决方案:发行新的斯巴达代币,并用2000万未发行的代币赔偿因攻击而遭受损失的基金池LP。
文章标题:本月至少有14个defi项目遭到黑客攻击,总损失超过2.5亿美元
文章链接:https://www.btchangqing.cn/268747.html
更新时间:2021年06月12日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。