polygon会是继BSC之后的下一个黑客聚集地吗？

自“DeFi盛夏”以来，至今几乎整整一年，DeFi的整体锁定量和日成交量都逐渐飙升。除了以太坊生态稳定外，更多新兴的公链也开始露头，BSC、heco、pogon、fantom等公链的生态建设逐步完善。生态繁荣不仅给开发者带来更多的发展可能性，也让更多的“科学家”闻到了钱的味道。

今年上半年，DeFi领域的安全问题越来越多，风险不容忽视。鸵鸟区块链根据已公布的安全事件统计数据，截至目前，仅今年上半年，DeFi领域的安全攻击就多达52起。已公布具体损失金额的攻击总损失超过8亿美元。如果加上一些没有公布具体损失金额的攻击，预计损失总额约为10亿美元。2020年全年共发生60起DEFI安全袭击事件，损失2.5亿美元。2021年的半年，攻击总数接近去年全年，损失金额是去年的3倍多。

今年3月之后，以太坊在DeFi领域的主导地位发生了变化。BSC和pogon在3月和4月相继爆发。特别是BSC的生态正在蓬勃发展，各种指标正在一步步逼近以太坊。然而，自5月中旬以来，BSC生态工程频频遭到攻击，且攻击方式基本相同。据统计，整个5月份，BSC链攻击损失超过2.6亿美元，占上半年DeFi总损失的近30%。

5月无疑是BSC生态最黑暗的一个月。虽然6月份的损失总额有所减少，但DeFi领域仍有14起安全攻击，其中BSC生态攻击8起。目前，BSC生态仍然是攻击的重灾区。发生这么多袭击事件的第一个原因是生态环境的发展。第二个原因是BSC生态的项目大多属于模仿盘，在了解不多的基础上进行创新，因此同类攻击较多。

此外，最近还报道了一次黑客攻击流行POLOGAN的事件。在攻击safepolar之后，代币立即被粉碎为零。这是第一个众所周知的对POLOGAN的攻击。有没有可能打开POLOGAN黑客的魔盒，像BSC一样落入攻击漩涡？以下是对鸵鸟区块链在2021年上半年发起的攻击的总结和分析。本文从以太坊、BSC和POLOGAN三个方面入手，分析了DeFi的安全现状。

以太坊：生态安全围城已建成，攻击明显减少

到2020年，WiFi安全的重灾区仍在以太坊链上，几乎每个月都会出现重大漏洞，如2月份的BZX flash loan事件，3月份的makerdao 预言机崩溃事件，4月份的lendf.me和Uniswap重入攻击事件，9月EOS生态漏洞事件、12月11月value WiFi、Akropolis和origin协议闪贷攻击事件、harvest finance闪贷攻击、cover协议事件、nexus mutual事件等，特别是11月和12月，以太坊DeFi生态多次遭到黑客轰炸，很多项目都被*杀了，特别是闪电贷款攻击。

原因是，毕竟在2020年，DeFi开始蓬勃发展，项目建设主要中心化在以太坊生态上。2020年全年，DeFi从野蛮生长到逐渐形成，一路尝试，在没有规则的情况下寻找标准，逐步建立起一套可靠可行的DeFi领域规范，为安全增添砝码，为生态保驾护航。从6月到12月，以太坊的WiFi生态系统一直是黑客关注的焦点。

自今年3月以来，在以太坊之外新兴的DeFi生态兴起之后，对以太坊生态的攻击明显减少。首先，在近一年的试用中，以太坊的生态项目逐渐成熟，经过几次安全事件后，项目方的安全意识增强，项目的安全防护系数提高，这意味着黑客攻击的成本和门槛都有所提高；另外，随着新生态的兴起和以太坊攻击门槛的提高，黑客们更容易转向攻击BSC等生态。

内部安全意识和项目保护力度增强，外部新兴生态受到更多关注。两者结合，以太坊生态的安全攻击大大减少。然而，不可否认的是，以太坊公链每月仍有攻击。虽然围城已经建立，但我们仍然需要警惕安全问题，避免掉以轻心。

BSC：本地狗猖獗，黑客**，攻击态势不减

可能是BSC的分水岭。20天后，BSC在5月9日达到344亿美元的**锁定量后，整体锁定量迅速大幅下降，在5月底徘徊在150亿美元。除了过山车锁量的变化，5月堪称BSC生态工程最黑暗的一个月。5月份，BSC生态项目遭到11起袭击，损失2.64亿美元。

5月前，BSC生态区偶有雷雨天气。但在4月份之前，DeFi的总体安全系数较高，攻击次数不多，攻击损失事件对BSC生态的影响不显著。5月后的两个月，BSC生态的“潘多拉魔盒”似乎已经打开，生态已经连续两个月遭到黑客的轰炸。今年6月，又有8个项目，其中梅林实验室仅一个月后就遭到黑客攻击。

今年5月，BSC生态经常被黑客光顾。当时，这位官员说，是一个有组织的黑客团队针对BSC。也许攻击是有组织的，但苍蝇不会咬无缝的蛋。通过比较几种针对BSC生态的攻击，我们可以发现BSC链上的许多攻击项都有相应的漏洞。

典的攻击包括：清算BSC上**的贷款平台Venus morage xvs的恶意贷款（1亿美元，损失**）、BSC上**的机*库pancakebunny flash贷款攻击（4500万美元）、burgerswap两次flash贷款攻击，BSC上最早的DEX平台（700万美元），而银行的资金损失机*池在三天内遭到两次攻击（2100万美元），最强大的面部聚合器梅林实验室在30天内遭到两次攻击（680万美元）。

自5月20日pancakebunny被flash loan攻击后，由于BSC上的很多项目都是fork的pancakebunny，隐患已经埋下，但没有多少项目方关注。不到一周后，autoshark和Merlin实验室都遭到了黑客的攻击。在此之前，autoshark和Merlin实验室都强调，该项目已经做了许多安全审计，以确保不会出现问题，但这一巴掌来得太快了。

迄今为止，金星在BSC的thunderbolt项目中损失**，达1亿美元。作为平衡计分卡上**的贷款项目，金星有着独特的优势。然而，该团队似乎故意在疯狂的边缘探索，导致了1亿美元的坏账情况。据报道，大抵押贷款xvs借给了很多BTC和ETH，然后xvs迅速崩溃，抵押的xvs被清算。之后，金星也没能恢复过来，对BSC生态的发展也是一个很大的打击。

区块链安全团队Sharkteam告诉ostrich blockchain，BSC ecology连续两个月遭受一系列攻击的原因是有很多同源的项目，因为这些被攻击的项目很多都属于fork pancakebunny或Uniswap。事实上，项目方可能并不完全理解这些项目背后的逻辑，但他们做了一些创新性的改变，导致引入了一些系统漏洞。另一个因素可能是BSC生态中很多开发者的合约开发能力和安全维护能力都不够高，开发者的经验和能力确实需要提升。这些类似的漏洞攻击还提醒开发人员了解原始的底层代码，并在创新时提高他们的安全意识。

POLOGAN：多个项目突然归零，释放危险信号

我没想到他开始倒下了。6月28日，链上的算法稳定币项目safedollar遭到黑客攻击。攻击者利用合同硬币的漏洞发行了83万亿SDO稳定硬币，并拿走了池中约25万美元的代币。当天上午12点25分左右，SDO从1.07美元跌至0美元。

在safepolar项目归零之前，6月份曾发生过两起连锁项目归零的事件。6月17日，POLOGAN（pogon）抵押贷款稳定币项目（morage stabilization currency project）的一部分“铁金融”（iron finance）遭遇“银行挤兑”，其治理代币泰坦（Titan）在24小时内暴跌至几乎为零。6月22日，powhale finance首家收入农场宣布停止该项目的开发，并称这是由于token的经济表现和市场状况不佳所致。连锁交易显示，powhale团队从项目资金库中提取了100多万美元，存入自己的钱包。目前，国库中只有22.34万枚协议代币，价值约2.98万元，这已被认定为典的退市骗局。

Safepolar是POLOGAN生态**遭到黑客攻击。金额不算太多，但影响深远。此外，还有两起归零和逃逸事件。很多人不禁担心，pogon的年轻生态将再次反映出BSC在5月份的黑暗？毕竟在此之前，DEFI生态的整体上升速度还是比较令人欣慰的，这是POLOGAN的。

区块链安全团队Sharkteam告诉ostrich blockchain，safepolar攻击确实暴露了巨大的隐患。如果pogon发展很快，但生态开发者的能力和pogon的审计机制都不够，很可能会引发类似5月份BSC的问题，引发连锁反应。不仅如此，很多新兴的公链平台也存在类似的问题：分叉、开发者能力不足、平台审核不严。然而，POLOGAN的实际情况取决于其链上项目的开发和黑客对各个生态的关注。

肃然起敬，斩荆棘

通过对以太坊、BSC和pogon三次生态安全攻击的分析，似乎每个公链都经历了一个黑暗的过程，但类似同源漏洞攻击，都有可以避免的机会。正如区块链安全团队sharkteam在接受鸵鸟区块链采访时所说，无论是项目还是平台，我们都必须对我们的产品和用户资产保持敬畏和负责，以避免漏洞。

Sharkteam从项目端和平台两个方面总结了如何避免攻击，繁荣DeFi的开发生态。

作为项目方，必须对项目安全和资产安全负责，保持敬畏之心，寻求审计公司的帮助，对项目代码进行多轮审计检查，避免漏洞，同时建立应急机制；作为平台，必须提高项目准入门槛，做好控制工作。

BSC对链上项目发出了安全呼吁，总结如下：1、配合审计公司进行多轮审计。如果是分叉项目，请反复检查对原版本所做的更改；2、采取必要的风险控制措施，对异常情况进行实时主动监控，出现异常情况及时中止协议；3、制定应急预案；4.有条件的，可以设置漏洞奖励计划。

年轻的生态发展总是要经历曲折。希望以往项目的众多悲剧，能警示所有DEFI生态建设者，保持敬畏，提高警惕，建设更加繁荣的DEFI生态。