本月至少有14个DeFi项目遭黑客攻击，总损失金额超2.5亿美元

本文系链捕手原创文章，作者谷昱、Alyson。

今年以来DeFi行业发展迅速，大量DeFi项目相继涌现，总锁仓金额最高接近900亿美元，但由于很多项目代码审计不严格等原因，它们也成为大量黑客所垂涎的攻击目标。特别是在5月，DeFi安全事故频次大幅上升。

据链捕手统计，今年以来DeFi行业总计有27个项目遭到黑客攻击，而本月就至少有14个项目遭到黑客攻击，平均每两天就有1个DeFi项目被攻击，总损失至少为2.5亿美元，堪称是DeFi历史上遭遇攻击频次最高、损失最大的一个月。

具体而言，本月遭受黑客攻击的DeFi项目包括BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan。

其中，闪电贷是最主要的黑客攻击手法，至少7个项目因此遭到攻击；BSC则是黑客最活跃的攻击平台，至少11次攻击都发生在BSC公链；攻击金额普遍较大，至少7个项目的损失金额超过1000万美元，最高的Venus损失金额超过1亿美元。

以下是链捕手对本月14起DeFi项目遭攻击事件的详细整理：

1、BurgerSwap

损失金额：约700万美元

简述：2月28日，基于BSC的AMM项目BergerSwap遭到闪电贷攻击，被盗超过432874个BURGER。

2、Julswap

损失金额：未知

简述：2月28日，基于BSC的AMM项目Julswap遭到闪电贷攻击，币价最高下跌90%。

3、Merlin

损失金额：约68万美元

简述：5月26日，BSC生态自动收益聚合器Merlin遭到黑客攻击，由于该项目getReward代码的存在漏洞，大量的CAKE代币被手动转移到Vault合约中，共导致了约59,000个MERL增发，并通过出售获得240个ETH。

处理方案：团队将向用户空投补偿代币cMERL，该代币持有者将能够从补偿池中获得BNB奖励。同时，额外的开发团队资金将被用于执行燃烧和回购活动，以恢复代币价格。

4、AutoShark Finance

损失金额：约82万美元

简述：5月25日，基于BSC的固定利率协议AutoShark Finance遭到闪电贷攻击，在 LP 价值错误和手续费获取数量错误的情况下，SharkMinter 合约最后在计算攻击者的贡献的时候计算出了一个非常大的值，导致 SharkMinter 合约给攻击者铸出了大量的 SHARK 代币，致使其币价闪崩，从1.2美元快速跌至0.01美元，攻击者获利月82万美元。

处理方案：官方表示将发行新代币 JAWS 补偿受损用户。

5、Bogged Finance

损失金额：300万美元

简述：5月23日，基于BSC的聚合交易平台 Bogged Finance 官方表示，黑客对 BOG 代币合约质押功能漏洞进行了闪电贷攻击，黑客利用 Pancake Pair Swap 代码，在合约验证完成前即提取了质押收益，导致铸造了超过1500万个BOG代币，这些代币大部分原本将分配给了BOG的质押者。

处理方案：发行新币并将被盗BOG代币返还给质押用户。

6、Pancake Bunnny

损失金额：约4200万美元

简述：5月20日，基于BSC的DeFi 收益聚合器 PancakeBunny遭遇闪电贷攻击，损失114631枚BNB和697245枚BUNNY，后者被黑客大量铸造并抛售，价格从 240 美元闪崩，一度跌破 2 美元。根据CertiK安全团队的调查，由于PancakeBunny使用PancakeSwap AMM来进行资产价格计算的，因此黑客恶意利用了闪电贷来操纵AMM池的价格，并利用Bunny在铸造代币的时候计算上的问题成功完成攻击。

处理方案：PancakeBunny 将通过发行新代币 pBUNNY 并创建补偿池，补偿BUNNY原始持有者由于代币价格大跌造成的损失。

7、Venus

损失金额：超1亿美元

简述：5月18日晚间，基于BSC的DeFi借贷平台 Venus 代币 XVS 被巨鲸拉涨翻倍，之后以 XVS 为抵押资产借走并转移出去价值上亿美元的 BTC 和 ETH，此后抵押资产 XVS 价格大跌并面临清算，但由于XVS市场流动性不足系统未能及时清算，导致Venus出现上亿美元的巨额亏空。

处理方案：Venus向币安出售部分XVS代币以弥补平台亏损。

8、FinNexus

损失金额：700万美元

简述：5月17日，链上期权协议FinNexus遭遇黑客攻击，该黑客渗入并设法恢复了 FNX 代币合约管理者的私钥，攻击者铸造了超过 3.23 亿枚 FNX，然后在中心化和去中心化交易所中出售，导致价格暴跌。

处理方案：FinNexus 团队表示将发行新币并按 1 比 1 补偿给所有在黑客入侵之前持有 FNX 的用户；DEX 上的流动性提供者因遭受更高的损失将获得额外的补偿。

9、bEarn Fi?

损失金额：约1086万美元

简述：5 月 16 日，基于BSC的跨链DeFi 协议 bEarn Fi其bVaults 的BUSD-Alpaca 策略遭遇闪电贷攻击，池中近 1086 万枚 BUSD 被耗尽。

处理方案：bEarn Fi 表示将创建一个补偿基金，由剩余的储蓄资金、开发资金、DAO 资金和协议产生的一部分费用组成，之后将对余额进行快照以部署补偿合约。

10、EOS Nation

损失金额：1500万美元

简述：5月14日，EOS Nation闪电贷智能合约遭受到重入攻击（re-entry attack），相继有约 120 万枚 EOS 和 46.2 万枚 USDT 被盗。

处理方案：flash.sx称，损失的所有资金都在 eosio.prods 的安全控制下，已发起提案更改黑客EOS账户权限，通过后会将资金返还给用户。

11、xToken

损失金额：约 2500 万美元

简述：5月13日，DeFi 质押和流动性策略平台 xToken 遭到闪电贷攻击，xBNTa Bancor 池以及 xSNXa Balancer 池流动性被立即被耗尽，造成约 2500 万美元损失。

处理方案：xToken 团队表示计划将XTK供应总量的2％用于弥补被盗损失。

12、Rari Capital

损失金额：1400万美元

简述：5月8日，DeFi 智能投顾协议 Rari Capital其 ETH 资金池出现了一个因集成 Alpha Finance Lab 协议而导致的漏洞，击者通过部署一个辅助合约操控ibETH中ibETH Token的价格，导致Rari遭受1400万美元的巨额损失。

处理方案：Rari Capital 将把用来扩大团队规模的 200 万枚预留 RGT 归还给 DAO，用来补偿受攻击影响用户和奖励贡献者。

13、Value DeFi

损失金额：两次共计1500万美元

简述：基于以太坊与BSC的DeFi协议Value DeFi在5月5日和5月7日分别遭受两次攻击，第一次攻击源于 Value DeFi 的 ProfitSharingRewardPool 合约出现代码漏洞，其 vStake 池子受影响，共损失超 20 万枚 BUSD 和 8790 枚 BNB；第二次攻击源于Value DeFi 的 vSwap 合约出现代码漏洞，IRON Finance 的部分池和产品受到攻击。

处理方案：团队将使用保险基金中的8,530 VALUE和多签中的122,463 VALUE，共计130994 VALUE进行补偿，其余251702 VALUE将使用团队的VALUE进行补偿。

14、Spartan

损失金额：3000万美金

简述：5月2日，基于BSC的合成资产协议 Spartan Pools V1 被攻击，由于流动性份额计算不当的漏洞，攻击者从资金池中转移了约 3000 万美元的资金。

处理方案：发行新的SPARTA 代币，并将原本未发行的2000万枚代币补偿此前因攻击遭受损失的资金池LP。

—-

编译者/作者：链捕手

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。