原文标题:《本月至少有 14 个 DeFi 项目遭黑客进犯,总丢失金额超 2.5 亿美元》
撰文:谷昱、Alyson
今年以来 DeFi 职业发展迅速,许多 DeFi 项目相继呈现,总锁仓金额最高接近 900 亿美元,但因为许多项目代码审计不严厉等原因,它们也成为许多黑客所垂涎的进犯方针。特别是在 5 月,DeFi 安全事故频次大幅上升。
据链捕手统计,今年以来 DeFi 职业总计有 27 个项目遭到黑客进犯,而本月就至少有 14 个项目遭到黑客进犯,均匀每两天就有 1 个 DeFi 项目被进犯,总丢失至少为 2.5 亿美元,堪称是 DeFi 历史上遭受进犯频次最高、丢失最大的一个月。
具体而言,本月遭受黑客进犯的 DeFi 项目包含 BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan。
其中,闪电贷是最主要的黑客进犯手法,至少 7 个项目因而遭到进犯;BSC 则是黑客最活泼的进犯渠道,至少 11 次进犯都发生在 BSC 公链;进犯金额普遍较大,至少 7 个项目的丢失金额超越 1000 万美元,最高的 Venus 丢失金额超越 1 亿美元。
以下是链捕手对本月 14 起 DeFi 项目遭进犯事情的具体整理:
BurgerSwap
丢失金额:约 700 万美元
简述:2 月 28 日,依据 BSC 的 AMM 项目 BergerSwap 遭到闪电贷进犯,被盗超越 432874 个 BURGER。
Julswap
丢失金额:未知
简述:2 月 28 日,依据 BSC 的 AMM 项目 Julswap 遭到闪电贷进犯,币价最高跌落 90%。
Merlin
丢失金额:约 68 万美元
简述:5 月 26 日,BSC 生态自动收益聚合器 Merlin 遭到黑客进犯,因为该项目 getReward 代码的存在缝隙,许多的 CAKE 代币被手动转移到 Vault 合约中,共导致了约 59,000 个 MERL 增发,并经过出售取得 240 个 ETH。
处理计划:团队将向用户空投补偿代币 cMERL,该代币持有者将能够从补偿池中取得 BNB 奖赏。一起,额定的开发团队资金将被用于执行焚烧和回购活动,以康复代币价格。
AutoShark Finance
丢失金额:约 82 万美元
简述:5 月 25 日,依据 BSC 的固定利率协议 AutoShark Finance 遭到闪电贷进犯,在 LP 价值错误和手续费获取数量错误的情况下,SharkMinter 合约最后在核算进犯者的奉献的时分核算出了一个非常大的值,导致 SharkMinter 合约给进犯者铸出了许多的 SHARK 代币,致使其币价闪崩,从 1.2 美元快速跌至 0.01 美元,进犯者获利月 82 万美元。
处理计划:官方表明将发行新代币 JAWS 补偿受损用户。
Bogged Finance
丢失金额:300 万美元
简述:5 月 23 日,依据 BSC 的聚合交易渠道 Bogged Finance 官方表明,黑客对 BOG 代币合约质押功用缝隙进行了闪电贷进犯,黑客利用 Pancake Pair Swap 代码,在合约验证完成前即提取了质押收益,导致铸造了超越 1500 万个 BOG 代币,这些代币大部分本来将分配给了 BOG 的质押者。
处理计划:发行新币并将被盗 BOG 代币返还给质押用户。
Pancake Bunnny
丢失金额:约 4200 万美元
简述:5 月 20 日,依据 BSC 的 DeFi 收益聚合器 PancakeBunny 遭受闪电贷进犯,丢失 114631 枚 BNB 和 697245 枚 BUNNY,后者被黑客许多铸造并抛售,价格从 240 美元闪崩,一度跌破 2 美元。依据 CertiK 安全团队的查询,因为 PancakeBunny 运用 PancakeSwap AMM 来进行财物价格核算的,因而黑客歹意利用了闪电贷来操纵 AMM 池的价格,并利用 Bunny 在铸造代币的时分核算上的问题成功完成进犯。
处理计划:PancakeBunny 将经过发行新代币 pBUNNY 并创立补偿池,补偿 BUNNY 原始持有者因为代币价格大跌形成的丢失。
Venus
丢失金额:超 1 亿美元
简述:5 月 18 日晚间,依据 BSC 的 DeFi 假贷渠道 Venus 代币 XVS 被巨鲸拉涨翻倍,之后以 XVS 为典当财物借走并转移出去价值上亿美元的 BTC 和 ETH,此后典当财物 XVS 价格大跌并面对清算,但因为 XVS 商场流动性不足体系未能及时清算,导致 Venus 呈现上亿美元的巨额亏空。
处理计划:Venus 向币安出售部分 XVS 代币以补偿渠道亏损。
FinNexus
丢失金额:700 万美元
简述:5 月 17 日,链上期权协议 FinNexus 遭受黑客进犯,该黑客进入并设法康复了 FNX 代币合约管理者的私钥,进犯者铸造了超越 3.23 亿枚 FNX,然后在中心化和去中心化交易所中出售,导致价格暴降。
处理计划:FinNexus 团队表明将发行新币并按 1 比 1 补偿给所有在黑客侵略之前持有 FNX 的用户;DEX 上的流动性提供者因遭受更高的丢失将取得额定的补偿。
bEarn Fi
丢失金额:约 1086 万美元
简述:5 月 16 日,依据 BSC 的跨链 DeFi 协议 bEarn Fi 其 bVaults 的 BUSD-Alpaca 战略遭受闪电贷进犯,池中近 1086 万枚 BUSD 被耗尽。
处理计划:bEarn Fi 表明将创立一个补偿基金,由剩余的储蓄资金、开发资金、DAO 资金和协议发生的一部分费用组成,之后将对余额进行快照以部署补偿合约。
EOS Nation
丢失金额:1500 万美元
简述:5 月 14 日,EOS Nation 闪电贷智能合约遭遭到重入进犯(re-entry attack),相继有约 120 万枚 EOS 和 46.2 万枚 USDT 被盗。
处理计划:flash.sx 称,丢失的所有资金都在 eosio.prods 的安全控制下,已建议提案更改黑客 EOS 账户权限,经过后会将资金返还给用户。
xToken
丢失金额:约 2500 万美元
简述:5 月 13 日,DeFi 质押和流动性战略渠道 xToken 遭到闪电贷进犯,xBNTa Bancor 池以及 xSNXa Balancer 池流动性被立即被耗尽,形成约 2500 万美元丢失,
处理计划:xToken 团队表明计划将 XTK 供应总量的 2%用于补偿被盗丢失。
Rari Capital
丢失金额:1400 万美元
简述:5 月 8 日,DeFi 智能投顾协议 Rari Capital 其 ETH 资金池呈现了一个因集成 Alpha Finance Lab 协议而导致的缝隙,击者经过部署一个辅佐合约控制 ibETH 中 ibETH Token 的价格,导致 Rari 遭受 1400 万美元的巨额丢失。
处理计划:Rari Capital 将把用来扩大团队规划的 200 万枚预留 RGT 归还给 DAO,用来补偿受进犯影响用户和奖赏奉献者。
Value DeFi
丢失金额:两次共计 1500 万美元
简述:依据以太坊与 BSC 的 DeFi 协议 Value DeFi 在 5 月 5 日和 5 月 7 日分别遭受两次进犯,第一次进犯源于 Value DeFi 的 ProfitSharingRewardPool 合约呈现代码缝隙,其 vStake 池子受影响,共丢失超 20 万枚 BUSD 和 8790 枚 BNB;第2次进犯源于 Value DeFi 的 vSwap 合约呈现代码缝隙,IRON Finance 的部分池和产品遭到进犯。
处理计划:团队将运用保险基金中的 8,530 VALUE 和多签中的 122,463 VALUE,共计 130994 VALUE 进行补偿,其余 251702 VALUE 将运用团队的 VALUE 进行补偿。
Spartan
丢失金额:3000 万美金
简述:5 月 2 日,依据 BSC 的合成财物协议 Spartan Pools V1 被进犯,因为流动性份额核算不当的缝隙,进犯者从资金池中转移了约 3000 万美元的资金。
处理计划:发行新的 SPARTA 代币,并将本来未发行的 2000 万枚代币补偿此前因进犯遭受丢失的资金池 LP。
视野开拓
不需要劝说人们去消费,因为人类的需求永远不会得到满足,如果人们不想要某样东西,那一定是有理由的。要么是产品不够好,要么是买不起。不管是因为什么,推迟购买物品,或者把要花的钱存起来,都是出于理性的考虑,而且对于整个社会都有好处。 事实上,如果消费者不愿意消费,刺激需求最好的办法就是让物价降到一个更合理的水平。-《经济为什么会崩溃》
