摘要: 去中心化金融(DeFi)领域的发展令人瞩目,在以太坊、Solana和Avalanche等关键网络中锁定了超过580亿美元,包括Arbitrum和Optimism等第2层。智能合约中的巨额资金吸引了不良分子。
我们编制了一份截至2023年5月的10大DeFi黑客名单,从这些协议中非法提取的总额超过22亿美元,令人警醒,强调了加强安全的关键需求。
- 罗宁桥(Axie Infinity)。$615,000,000
- 保利网络:600,000,000美元
- 虫洞桥:326,000,000美元
- Nomad桥: 200,000,000美元
- Beanstalk (BEAN):$181,000,000
- 复合金融:150,000,000美元
- 火神锻造:140,000,000美元
- 地平线大桥: 100,000,000美元
- Rari Capital & Fei Protocol:80,000,000美元
- Qubit金融公司: 80,000,000美元
1.罗宁桥(615,000,000美元)
Ronin Bridge是一个跨链DeFi协议,用于在以太坊和Axie Infinitity的本地区块链第二层生态系统Ronin之间转移价值。该协议在2022年3月29日遭受了迄今为止最大的黑客攻击,当时一名黑客控制了持有超过615,000,000美元价值的私钥并盗取了资金。这些钱是通过龙卷风现金抽走的,损失总计超过17.3万ETH和2550万USDC。
据称黑客是由Lazarus Group完成的,这是一个由朝鲜资助的黑客团体。
2.保利网络(600,000,000美元)。
复利网是一个跨链协议,可以实现以太坊和比特币之间的互通。2020年8月15日,一名黑客利用多担保戴(MCD)合约的缺陷,从借贷协议Compound中抽走了6亿美元。这笔钱是以Flash贷款的形式从dYdX协议中取出的,并被发送到以太坊和比特币的混合钱包中。
据称,黑客是由一个未知的实体完成的,因为黑客的钱包没有与任何已知的实体联系起来。
3.虫洞桥(326,000,000美元)
虫洞桥(现在的Portal Token Bridge)是另一个跨链协议,允许在以太坊和Solana之间转移价值。2021年5月19日,一名黑客利用WETH合约的缺陷,铸造了超过200万个WETH,然后用来在Solana领先的DEX Serum上购买价值超过3.26亿美元的加密货币。这笔钱随后通过龙卷风现金发送到一个混合器上,黑客得以带着这些资金逃走。
黑客是由一个未知的实体实施的,因为黑客的钱包没有与任何已知实体相联系。
4.Nomad桥(200,000,000美元)。
Nomad Bridge黑客事件是另一个跨链协议被利用的例子,基于一个有缺陷的铸币和烧毁合约,获得了200,000,000美元。Nomad Bridge允许用户在Ethereum、Avalanche、Evmos、Milkomeda和Moonbeam之间发送价值。在这个漏洞中,黑客发现他们能够创建交易,而不需要Nomad的智能合约来验证交易的真实性。
这导致超过2亿美元的资金被匿名黑客从Nomad Bridge中抽走。白帽黑客也利用了该合同,然而后来归还了3600万美元,并因归还资金而获得了代币奖励。
5.Beanstalk Protocol ($181,000,000)
Beanstalk攻击与之前的漏洞不同,它是一种治理攻击,通过两个恶意的Beanstalk治理提案进行的。攻击者获得了足够的代币来批准Beanstalk第18号和第19号提案,这使得他们能够完全耗尽Beanstalk智能合约的资金,该合约持有超过180,000,000美元。
他们通过闪电贷款获得了足够的代币,后来他们又偿还了这笔贷款。黑客们将7600万美元的利润收入囊中,不得不将剩余的金额偿还给bZX协议的闪电贷款。
6.复式金融(150,000,000美元)
复合金融是一个借贷协议,允许用户从其持有的加密货币中获得利息。2020年6月17日,一名黑客利用复合金融的价格神谕系统的缺陷,铸造了价值超过1.5亿美元的COMP代币。然后,该黑客通过龙卷风现金将这些钱发给了一个混混,并能带着这些资金逃走。
黑客是由一个未知的实体实施的,因为黑客的钱包没有与任何已知实体相联系。
7.火神锻造 ($140,000,000)
Vulcan Forged是Polygon网络上一个受欢迎的玩赚加密货币,在2021年12月遭受了1.4亿美元的品牌破坏性利用。根据他们的开发者的事后报告,黑客能够通过社交工程和黑客攻击用户钱包的凭证来获得私钥。黑客能够提取450万个Vulcan Forged代币(PYR),这些代币在当时的价值超过了1.4亿美元。
黑客是由一个未知的实体实施的,因为黑客的钱包没有与任何已知实体相联系。
8.地平线大桥(100,000,000美元)
Horizon Bridge是允许用户在Harmony One网络和Ethereum之间转移代币的主要桥梁。这个漏洞从美国东部时间上午7点左右开始,持续了20分钟,黑客从桥上进行了11笔交易,桥上的各种代币价值超过了100,000,00美元。黑客通过从多重签名者那里获得私钥细节,从而获得了这些资金。
总共有Frax(FRAX)、以太坊(ETH)、AAVE(AAVE)、SushiSwap(SUSHI)和其他许多代币通过这个漏洞的桥接被盗。从那时起,Harmony One桥接就被停止了,一直没有重新上线。
9.Rari Capital & Fei Protocol ($80,000,000)
Rari Capital和Fei Protocol在去年年底合并,然后根据领先的审计团队BlockSec的说法,由于一个重入漏洞,遭受了80,000,000美元的黑客攻击。 这正是用于耗尽Compound Finance和Compound代码库的其他分叉的漏洞,突出了整个DeFi的贷款和借贷空间的漏洞。
Rari和Fei团队试图通过提供1000万美元的赏金来让黑客归还资金,然而,这个匿名的剥削者通过以太坊上的Tornado Cash等混合器抽走了资金,从而获得了8000万美元。
10.Qubit金融公司(80,000,000美元)。
Qubit金融是一个基于Binance智能链的协议,允许用户以低费用进行借贷,其设计与Compound Finance和Rari Capital类似。黑客们能够利用一个智能合约漏洞,使他们能够铸造无限量的xETH,使他们能够借入BNB,出售它并在链外桥接价值。
在事后分析中,与该攻击有关的地址能够窃取超过206,000个Binance币(BNB),在利用时价值超过80,000,00美元。CertiK的一份第三方事件报告称,该攻击利用存款功能非法铸造了77,162个qXETH,而不需要存款。
什么是常见的DeFi黑客?
DeFi,即去中心化金融,是加密货币市场中一个快速增长的领域,它允许金融交易在区块链上发生,没有中间商。然而,去中心化和缺乏监管也使DeFi容易受到各种类型的黑客攻击。
这里有一些常见的DeFi黑客。
- 智能合约的漏洞。智能合约是在区块链上运行的自我执行的计算机程序。黑客可以利用智能合约代码的漏洞来窃取资金。
- 钓鱼式诈骗。网络钓鱼诈骗涉及欺骗用户透露他们的私人钥匙或种子短语,这些都是用来访问资金的。黑客创建虚假网站或社交媒体账户,看起来像合法的DeFi协议,并欺骗用户放弃他们的证书。
- 伪造的Defi协议。曾有黑客制造假的德菲协议,看起来像合法的协议,并欺骗用户存入资金。
- 流氓管理员对协议的访问。在某些情况下,能够访问DeFi协议的流氓管理员可以为了自己的利益而操纵它,例如耗尽流动资金池或改变智能合约代码。
- 流动资金池的攻击。流动性池是DeFi的一个关键组成部分,允许分散的交易。然而,如果黑客获得了对流动性池中很大一部分的控制权,他们可以为了自己的利益操纵市场。
- 前期运行。前期运行是一种市场操纵,交易者利用对交易的先进知识,在原始交易进行之前执行自己的交易。在DeFi中,如果黑客能够在区块链上执行交易之前查看交易,就会发生这种情况。
重要的是要意识到这些常见的DeFi黑客行为,并采取措施保护你的资金,如使用有信誉的DeFi协议,谨慎对待钓鱼诈骗,并使用硬件钱包来存储你的私钥或种子短语。
最后的想法
总之,随着DeFi行业继续其令人印象深刻的增长,超过580亿美元被锁定在各种网络上,安全挑战仍然存在。截至2023年5月,排名前10位的黑客普遍存在,其损失超过22亿美元,这强调了提高警惕的必要性。从Ronin Bridge的6.15亿美元损失到Qubit Finance的8000万美元盗窃,这些事件强调了DeFi的潜在漏洞。
常见的黑客攻击,如智能合约漏洞、网络钓鱼诈骗、伪造的DeFi协议、流氓管理员访问、流动性池攻击和前置运行,需要采取主动的安全措施。建议用户使用有信誉的DeFi平台,谨慎行事以避免钓鱼诈骗,并采用硬件钱包来安全存储私钥或种子短语。随着DeFi的发展,其安全性也必须提高,为用户营造一个更安全的环境,以浏览这一创新的金融景观。
联合创始人&前投资银行家(金融MBA)转为购买比特币银行的全职分析师和研究主管。离开传统金融业,追求我对数字资产和去中心化金融的兴趣。
