BSC 是黑客最活跃的攻击平台,其中 Venus 损失金额最高,超过 1 亿美元。

原文标题:《本月至少有 14 个 DeFi 项目遭黑客攻击,总损失金额超 2.5 亿美元》
撰文:谷昱、Alyson

今年以来 DeFi 行业发展迅速,大量 DeFi 项目相继涌现,总锁仓金额最高接近 900 亿美元,但由于很多项目代码审计不严格等原因,它们也成为大量黑客所垂涎的攻击目标。特别是在 5 月,DeFi 安全事故频次大幅上升。

据链捕手统计,今年以来 DeFi 行业总计有 27 个项目遭到黑客攻击,而本月就至少有 14 个项目遭到黑客攻击,平均每两天就有 1 个 DeFi 项目被攻击,总损失至少为 2.5 亿美元,堪称是 DeFi 历史上遭遇攻击频次最高、损失最大的一个月。

具体而言,本月遭受黑客攻击的 DeFi 项目包括 BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan。

其中,闪电贷是最主要的黑客攻击手法,至少 7 个项目因此遭到攻击;BSC 则是黑客最活跃的攻击平台,至少 11 次攻击都发生在 BSC 公链;攻击金额普遍较大,至少 7 个项目的损失金额超过 1000 万美元,最高的 Venus 损失金额超过 1 亿美元。

以下是链捕手对本月 14 起 DeFi 项目遭攻击事件的详细整理:

BurgerSwap

损失金额:约 700 万美元

简述:2 月 28 日,基于 BSC 的 AMM 项目 BergerSwap 遭到闪电贷攻击,被盗超过 432874 个 BURGER。

Julswap

损失金额:未知

简述:2 月 28 日,基于 BSC 的 AMM 项目 Julswap 遭到闪电贷攻击,币价最高下跌 90%。

Merlin

损失金额:约 68 万美元

简述:5 月 26 日,BSC 生态自动收益聚合器 Merlin 遭到黑客攻击,由于该项目 getReward 代码的存在漏洞,大量的 CAKE 代币被手动转移到 Vault 合约中,共导致了约 59,000 个 MERL 增发,并通过出售获得 240 个 ETH。

处理方案:团队将向用户空投补偿代币 cMERL,该代币持有者将能够从补偿池中获得 BNB 奖励。同时,额外的开发团队资金将被用于执行燃烧和回购活动,以恢复代币价格。

AutoShark Finance

损失金额:约 82 万美元

简述:5 月 25 日,基于 BSC 的固定利率协议 AutoShark Finance 遭到闪电贷攻击,在 LP 价值错误和手续费获取数量错误的情况下,SharkMinter 合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致 SharkMinter 合约给攻击者铸出了大量的 SHARK 代币,致使其币价闪崩,从 1.2 美元快速跌至 0.01 美元,攻击者获利月 82 万美元。

处理方案:官方表示将发行新代币 JAWS 补偿受损用户。

Bogged Finance

损失金额:300 万美元

简述:5 月 23 日,基于 BSC 的聚合交易平台 Bogged Finance 官方表示,黑客对 BOG 代币合约质押功能漏洞进行了闪电贷攻击,黑客利用 Pancake Pair Swap 代码,在合约验证完成前即提取了质押收益,导致铸造了超过 1500 万个 BOG 代币,这些代币大部分原本将分配给了 BOG 的质押者。

处理方案:发行新币并将被盗 BOG 代币返还给质押用户。

Pancake Bunnny

损失金额:约 4200 万美元

简述:5 月 20 日,基于 BSC 的 DeFi 收益聚合器 PancakeBunny 遭遇闪电贷攻击,损失 114631 枚 BNB 和 697245 枚 BUNNY,后者被黑客大量铸造并抛售,价格从 240 美元闪崩,一度跌破 2 美元。根据 CertiK 安全团队的调查,由于 PancakeBunny 使用 PancakeSwap AMM 来进行资产价格计算的,因此黑客恶意利用了闪电贷来操纵 AMM 池的价格,并利用 Bunny 在铸造代币的时候计算上的问题成功完成攻击。

处理方案:PancakeBunny 将通过发行新代币 pBUNNY 并创建补偿池,补偿 BUNNY 原始持有者由于代币价格大跌造成的损失。

Venus

损失金额:超 1 亿美元

简述:5 月 18 日晚间,基于 BSC 的 DeFi 借贷平台 Venus 代币 XVS 被巨鲸拉涨翻倍,之后以 XVS 为抵押资产借走并转移出去价值上亿美元的 BTC 和 ETH,此后抵押资产 XVS 价格大跌并面临清算,但由于 XVS 市场流动性不足系统未能及时清算,导致 Venus 出现上亿美元的巨额亏空。

处理方案:Venus 向币安出售部分 XVS 代币以弥补平台亏损。

FinNexus

损失金额:700 万美元

简述:5 月 17 日,链上期权协议 FinNexus 遭遇黑客攻击,该黑客渗入并设法恢复了 FNX 代币合约管理者的私钥,攻击者铸造了超过 3.23 亿枚 FNX,然后在中心化和去中心化交易所中出售,导致价格暴跌。

处理方案:FinNexus 团队表示将发行新币并按 1 比 1 补偿给所有在黑客入侵之前持有 FNX 的用户;DEX 上的流动性提供者因遭受更高的损失将获得额外的补偿。

bEarn Fi

损失金额:约 1086 万美元

简述:5 月 16 日,基于 BSC 的跨链 DeFi 协议 bEarn Fi 其 bVaults 的 BUSD-Alpaca 策略遭遇闪电贷攻击,池中近 1086 万枚 BUSD 被耗尽。

处理方案:bEarn Fi 表示将创建一个补偿基金,由剩余的储蓄资金、开发资金、DAO 资金和协议产生的一部分费用组成,之后将对余额进行快照以部署补偿合约。

EOS Nation

损失金额:1500 万美元

简述:5 月 14 日,EOS Nation 闪电贷智能合约遭受到重入攻击(re-entry attack),相继有约 120 万枚 EOS 和 46.2 万枚 USDT 被盗。

处理方案:flash.sx 称,损失的所有资金都在 eosio.prods 的安全控制下,已发起提案更改黑客 EOS 账户权限,通过后会将资金返还给用户。

xToken

损失金额:约 2500 万美元

简述:5 月 13 日,DeFi 质押和流动性策略平台 xToken 遭到闪电贷攻击,xBNTa Bancor 池以及 xSNXa Balancer 池流动性被立即被耗尽,造成约 2500 万美元损失,

处理方案:xToken 团队表示计划将 XTK 供应总量的 2%用于弥补被盗损失。

Rari Capital

损失金额:1400 万美元

简述:5 月 8 日,DeFi 智能投顾协议 Rari Capital 其 ETH 资金池出现了一个因集成 Alpha Finance Lab 协议而导致的漏洞,击者通过部署一个辅助合约操控 ibETH 中 ibETH Token 的价格,导致 Rari 遭受 1400 万美元的巨额损失。

处理方案:Rari Capital 将把用来扩大团队规模的 200 万枚预留 RGT 归还给 DAO,用来补偿受攻击影响用户和奖励贡献者。

Value DeFi

损失金额:两次共计 1500 万美元

简述:基于以太坊与 BSC 的 DeFi 协议 Value DeFi 在 5 月 5 日和 5 月 7 日分别遭受两次攻击,第一次攻击源于 Value DeFi 的 ProfitSharingRewardPool 合约出现代码漏洞,其 vStake 池子受影响,共损失超 20 万枚 BUSD 和 8790 枚 BNB;第二次攻击源于 Value DeFi 的 vSwap 合约出现代码漏洞,IRON Finance 的部分池和产品受到攻击。

处理方案:团队将使用保险基金中的 8,530 VALUE 和多签中的 122,463 VALUE,共计 130994 VALUE 进行补偿,其余 251702 VALUE 将使用团队的 VALUE 进行补偿。

Spartan

损失金额:3000 万美金

简述:5 月 2 日,基于 BSC 的合成资产协议 Spartan Pools V1 被攻击,由于流动性份额计算不当的漏洞,攻击者从资金池中转移了约 3000 万美元的资金。

处理方案:发行新的 SPARTA 代币,并将原本未发行的 2000 万枚代币补偿此前因攻击遭受损失的资金池 LP。

来源链接: www.chaincatcher.com