DeFi是2020年加密经济秀上的明星,整体而言,这将是加密货币具有历史意义的一年。话虽如此,2020年也呈现了新一波杂乱的进犯者,他们来探查并盗取年轻的DeFi项目持有的代币。让咱们回忆一下今年最大规划、最“成功”的DeFi进犯。

2020 年 DeFi 攻击回顾

(译者注:本文为进犯工作的简要回忆,具体内容可参阅正文详情回忆链接。)

bZx的第一个缝隙——2月15日

进犯类型:缝隙运用

丢失金额:约35.6万美元

找回资金:无

在这次进犯中,罪犯经过dYdX运用闪电贷启动了一个无需答应的“拉高出货”方案,涉及WBTC和bZx、Compound、KyberSwap和Uniswap项目。随后的操作使进犯者能够获得超越1200 ETH溜之大吉。

2020 年 DeFi 攻击回顾

(bZx进犯中5个可组合的DeFi协议,来历:派盾)

后续的bZx预言机快速进犯——2月18日

进犯类型:预言机控制

丢失金融:约66.6万美元

找回资金:无

在bZx第一次遭受进犯的几天后,进犯者对协议发起了另一次闪电贷进犯。这次涉及对Synthetix的sUSD代币的预言机控制,进犯者相同拉升了sUSD代币价格,然后从bZx借出了ETH。

2020 年 DeFi 攻击回顾

(第2次bZx进犯中5个可组合的DeFi协议,来历:派盾)

Uniswap和Lendf.me重入进犯——4月18-19日

进犯类型:经过imBTC的重入

丢失金额:超越2500万美元

找回资金:约2500万美元

2020年4月,imBTC发行方Tokenlon处于两次重入进犯的中心,第一次针对Uniswap V1(丢失金额较小),第2次从dForce的Lendf.me协议盗取2500万美元。这次DeFi进犯围绕着ERC-777的“hook”机制打开,如果将代币存入自身不会消除hook的协议中,那么就可能导致代币被恶意合约运用。值得注意的是,Lendf.me进犯者在他们的IP地址和其他身份信息被揭露后,终究返还了从该协议盗取的代币。

Bancor大解救——6月18日

进犯类型:无限批准+揭露办法可见性

丢失金额:约13.5万美元

找回资金:约13.5万美元

Bancor网络的这个严重缝隙意味着,许多用户会毫不怀疑地无限批准一个智能合约,而这个合约可能会让任何人都能够揭露盗取Bancor用户的资金。在与白帽黑客的合作中,Bancor发现了这个缝隙,并当即企图“运用”它,以防止恶意署理首要做相同的工作。自动化的抢先买卖机器人意外加入了其中,在不知情的情况下帮助Bancor节省了资金,这些机器人的持有者当行将这些资金归还给了Bancor。

Balancer的通缩进犯——6月28日

进犯类型:通缩代币

丢失金额:约52.2万美元

找回资金:无

在这次工作中,一个非常聪明的DeFi黑客对Balancer发起了一场杂乱的闪电贷进犯。黑客经过以太坊隐私解决方案Tornado.cash进行买卖。该方案自身针对的是STA和STONK通缩型代币及其买卖费用机制,这使得黑客盗取价值50万美元的ETH、LINK、SNX和WBTC。

Opyn的双重行权——8月5日

进犯类型:缝隙运用

丢失金额:约37.1万美元

找回资金:无

DeFi期权协议Opyn是这次黑客进犯的受害者,黑客运用缝隙“双重行权”了这个项目的oToken。Opyn迅速修补了这个进犯向量,但这次进犯依然导致智能合约被盗了超越37万美元的USDC抵押品。

bZx的iToken仿制工作——9月15日

进犯类型:缝隙运用

丢失金额:约800万美元

找回资金:约800万美元

在这次进犯中,黑客运用bZx的iToken体系代码中的缝隙“人为地添加他的余额”。这一工作凸显了智能合约审计并不能保证DeFi完全安全,就像在此前bZx被进犯之前其实现现已过了派盾和Certik的审计。幸运的是,bZx成功从进犯者那里收回了所有丢失的资金。

Eminence预言机进犯——9月29日

进犯类型:预言机操作

丢失金额:约1500万美元

找回资金:约800万美元

Eminence Finance是由Yearn创造者Andre Cronje开发的一款基于NFT的游戏,在其开发者宣告有关该项目的信息之前就现已吸引了很多链上关注。这导致DeFi degens模仿这个项目,把谨慎抛到风后,创造了一个相当大的代币宝库,一个黑客经过闪电贷驱动的预言机操作进犯迅速盗取资金。进犯者终究归还了1500万美元赃物中的800万美元,这些赃物是经过社区退款机制分配的。

Harvest Finance预言机进犯——10月26日

进犯类型:预言机操作

丢失金额:约2400万美元

找回资金:约250万美元

10月下旬,收益聚合协议Harvest Finance遭受了一次预言机操作进犯,进犯者经过盗取的代币获得了超越2400万美元。具体来说,该协议的USDC和USDT机枪池是DeFi进犯的方针,主要集中在Curve.fi Y池的无常丢失。

Cheese Bank劫案——11月6日

进犯类型:预言机操作

丢失金额:约330万美元

找回资金:无

去中心化的自治银行Cheese Bank因一次杂乱的闪电贷进犯,被盗了价值超越300万美元的Dai、USDC和USDT。

Akropolis进犯——11月12日

进犯类型:缝隙进犯+重入

丢失金额:约200万美元

找回资金:无

进犯者运用重入进犯,结合Akropolis项目存储池中的一个缝隙,盗取了价值200万美元的Dai稳定币。在进犯产生之前,Certik、Pessimistic和SmartDec现已对这个池子进行了审计,这再次提醒咱们,审计并不能肯定保证DeFi安全。

Value DeFi预言机进犯——11月14日

进犯类型:预言机操作

丢失金额:约750万美元

找回资金:约200万美元

11月,收益聚合协议Value DeFi发现其中心化预言机被运用,其MultiStables机枪池被抽干。就在这一工作产生之前,Value DeFi刚刚发布了一个自命不凡的声明,称其优势之一是安全性更高。在进犯之后,该项目团队宣告了与去中心化预言机网络 Chainlink整合的方案。

Origin Dollar重入进犯——11月17日

进犯类型:缝隙运用+重入进犯

丢失金额:约770万美元

找回资金:无

11月,稳定币项目Origin Dollar也成为了闪电贷进犯的受害者。进犯者运用恶意合约制造了很多的OUSD。工作产生后,Origin Dollar团队悬赏100万美元寻找相关头绪。

Pickle Finance的*****烦——11月22日

进犯类型:缝隙运用

丢失金额:约1970万美元

找回资金:无

去年11月,收益聚合协议Pickle Finance的pDAI PickleJar被盗走近2000万Dai。这次杂乱的进犯是进犯者在pDAI体系中安装一个“Evil Jar”来进行的,这个Jar被用来盗取pDAI的资金。

2020 年 DeFi 攻击回顾

(Pickle的Evil Jar进犯,来历:banteg)

Warp Finance预言机进犯——11月22日

进犯类型:预言机控制

丢失金额:约770万美元

找回资金:约585万美元

DeFi借贷平台Warp Finance在预言机控制中遭到进犯,被盗取超越700万美元的资金。由于该项目设计的一个古怪之处,其团队能够取回被进犯者用作抵押品的币,即价值585万美元的ETH/DAI LP代币。

总结

上述进犯工作涉及的被盗资金超越了1.2亿美元。2020年是DeFi的昌盛之年,跟着该职业的崛起成为人们关注的焦点,进犯者也相应地将注意力转向了这一领域。从上面的进犯中能够清楚地看出,进犯DeFi协议并没有单一的办法,而是一些常见的进犯向量,导致一些年轻的DeFi项目沦为了牺牲品。到目前为止,这些日益增长的进犯形成的丢失还不是灾难性的。但是,跟着生态体系的持续发展和总锁仓量的膨胀,设计的资金将变得更多,进犯将更有利可图。至少能够预计,2021年将会看到更杂乱的DeFi进犯。

视野开拓

从950年到1250年的中世纪温暖期,是北大西洋区域气候的一个反常现象。冬季温暖宜人,生长季节漫长。土壤耕作技术向北大西洋北部区域传播:生机盎然的葡萄萄园遍及挪威南部,从阿尔卑斯山到苏格兰,粮食作物遍及所有丘陵和高原。800年之后的5个世纪之内,欧洲人口骤然增加了3倍,达到了7000万人。英格兰的人口到1300年左右达到了峰值,之后到17世纪末之前,再没有达到这个峰值。农业剩余价值增长更加迅猛。城镇如雨后春笋般到处涌现,到1300年时,在农业之外就业的人口占比越来越大(1/5左右)。如此相对繁荣的景象也助长了扩张的欲望。十字军东征就是一个例子:始于1095年的高度商业化和军事化的行动针对的是地中海东部的财富。与其相伴的还有其他几次征服运动,其中的两次对5个世纪之后现代世界的形成影响极大。第一次就是发生在今天葡萄牙和西班牙境内的针对伊比利亚穆斯林的收复失地运动。在十字军东征的第一次浪潮中,卡斯蒂利亚人和阿拉贡人开始击退半岛上伊斯兰教的势力,十字军逼着被征服者缴纳贡金,此做法后来成为殖民地资本主义的一个特点。第二次运动比较微妙,而且力量更加强大。封建主义最重要的特点是它有能力不靠中央集权,而维系大规模的、不间断的殖民扩张行动。为了达到这一目的,它依靠耕种——这是所有征服者中最伟大的征服者。到14世纪,农业占据欧洲全部土地使用面积的1/3,这是一个巨大的增长,是前5个世纪耕种土地面积总和的6倍,但其中许多地方都以森林的毁灭为代价。-《廉价的代价》

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注