破坏DeFi党的攻击

关键事实：

黑客利用了协议中智能合约的弱点。

在启动新项目的竞赛中，安全性仍然是一项悬而未决的任务。

去中心化金融（DeFi）领域在2020年迅速发展，由于用户可以在短时间内获得高收益收入以及快速贷款而受到欢迎。 黑客们被平台上的繁荣所吸引，这些平台封锁了数百万美元的资金，黑客也将DeFi看作是利用某些漏洞来获取丰厚利润的机会。

到2020年，到目前为止，大约有五个DeFi平台遭受了攻击，有些反复出现，例如bZx，造成了至少3000万美元的损失。攻击揭示黑客试图利用智能合约弱点不同协议的。 漏洞已蔓延到DeFi派对。 大多数协议都确保对它们进行适当的审核，但是发生的不同事件在合同和令牌处理的安全性方面都显示出重要的缺陷。

在很短的时间内，生态系统已经出现了数十种新产品和服务。 这些是传统银行业以前提供的金融服务，但现在未经许可被开放协议采用。 范围很广：提供和接收贷款，货币兑换，付款，流动性，谈判，投资，保管等等。

毫无疑问，最新的bZx等安全漏洞重申了以太坊联合创始人Vitalik Buterin的最新评论，即人们低估了DeFi的风险。

这一年发生的多次攻击表明，DeFi生态系统可能更像是狂野西部，而不是加密货币世界的新领域。

2020年DeFi平台的攻击和安全漏洞遭受第三次攻击

事故月份：九月
平台：bZx贷款协议
资金损失：800万美元

DeFi生态系统中最新的安全漏洞案例发生在上周末，攻击者利用了bZx借贷平台智能合约中的漏洞。 该公司确认损失了约800万美元的加密货币。

该平台今年迄今为止遭受的第三次黑客攻击是错误的结果攻击者可以在其帐户中复制不受支持的iToken令牌，然后将其删除。 注意这一漏洞，bZx团队暂停了iTokens复制过程，修复了该错误，然后恢复了操作。 但是，此最新攻击特别引人注目，因为该协议经过两次审核，未发现此漏洞。

Opyn被剥夺了371,000美元

事故月份： 八月
平台：Opyn融资协议
资金损失：美元371,000

去中心化的资金协议Opyn在八月份遭到两次支出攻击时被剥夺了371,000美元。 专家指出，在这种情况下，就像在DeFi生态系统中发生的许多其他情况一样，必须事先检测到这种漏洞-并非那么微妙。

某些协议的低安全性使黑客更容易找到简单的方法来为自己的利益提取资金。 资料来源：TheDigitalWay / stock.com

当时由安全研究人员PeckShield分析，由于智能合约中的漏洞利用，导致双倍支出，这使攻击者可以公开掠夺Opyn智能合约内的资金。

平台团队随后寻求白帽黑客“ samczsun”的帮助，从Opyn剩余的智能合约中提取总计572,165美元，以减轻额外损失。

DeFi Balancer耗尽了$ 450,000

事故月份：六月
平台：DeFi平衡器
资金损失：450,000美元

Balancer做市协议是去年六月的攻击者的受害者，后者消耗了450,000美元。攻击者利用了由通缩令牌STA和STONK促进的漏洞利用，只需两个事务即可清空两个池的内容。

攻击者用了601.3 ETH（约134,000美元），11.36 WBTC（103,000美元），22,593 LINK（102,000美元）和60,915 SNX（110,000美元）。 总共，攻击者可以获得大约450,000美元。

DEX Aggregator 1inch在其报告中说，攻击者是“一个非常老练的智能合约工程师，对主要的DeFi协议具有广泛的知识和了解。”

用于执行智能合约的ETH通过Tornado Cash进行混合以隐藏来源。 Balancer表示，他们并未意识到这种特定类型的攻击是可能的，但据称警告了通缩令牌和转移费用的有害影响。

对Lendf的攻击使我负担了2500万美元

事故月份：四月
平台：dForce协议，Lendf.Me部分
资金损失：2500万美元

Lendf.Me的DeFi dForce即时贷款的一部分遭受了攻击，导致今年4月19日损失了2500万美元的加密货币。 发生抢劫是因为攻击者利用了以太坊ERC-777标准中的漏洞。

黑客篡改了Lendf.Me的合同分类账，允许他们注册imBTC令牌而无需存放它们。 ImBTC是与比特币绑定的以太坊令牌，使用称为“抵押品”的标准。 攻击者利用了合同没有重入保护的事实，这通常是用来保护合同不受这些攻击的。

简而言之，该漏洞利用了通过imBTC及其ERC777令牌标准进行的重入攻击。 再入漏洞使黑客能够反复增加借阅能力。 因此，它从HBTC处扣押了1000万以太币，660万美元的USDT，220万美元，USDC的75万美元，HUSD的381000美元，DAI的13.7万美元，MKR的13.2万美元和PAX的126000美元在事件发生时共计2500万美元。

如果未经过专家的适当审核，则在DeFi平台上进行交易可能会给用户带来高风险的体验。 资料来源：Alexas_Fotos / Foto.com

遭到攻击后，Lendf.Me的团队被指控复制Compound的代码，受到社区数百名批评，称Lendf.Me依赖于原始的Compound V1智能合约，而该合约没有再入保护器，使平台容易受到基于ERC777令牌标准的受支持资产的攻击。

攻击者从一笔快速贷款中扣押了360,000美元的ETH

事故月份：二月
平台：bZx贷款平台
资金损失：945,000美元

2月15日，攻击者只需七个步骤即可通过涉及Fulcrum，Compound，DyDx和Uniswap的快速贷款获得360,000美元的ETH。 也许说这个人完成了七个步骤听起来很容易，细节在于他必须一次完成所有交易，因为那是快速贷款的工作方式。 整个操作只花费黑客8.71美元的交易费用，因为使用这种类型的贷款，您可以在无需提供任何抵押品的情况下借入资产，只要它在一次交易中即可完成。

与其通过合同本身直接利用错误，不如说是攻击者利用了多种DeFi协议中日益增加的复杂性来操纵系统。 通过访问可以相互交互的各种不同协议，攻击者将其用于自己的利益。

简而言之，没有智能合约漏洞，而是跨多种DeFi协议的一系列复杂的套利机会，从而使黑客获利。

四天后，攻击者再次使用相同的交易模型获得了额外的645,000美元。 在这两次事件之间，事件发生时，被盗金额达到了3,581个以太币，约合945,000美元。

当心下次攻击

今年到目前为止发生的一系列攻击表明，DeFi中的风险不仅与进行金融冒险有关，而且还代表技术风险。 评估服务或产品背后的软件中的潜在漏洞可能是用户在与协议进行接触之前通常应实施的先决条件。

在使用DeFi平台之前评估优缺点可以避免将来出现一些不利情况。 资料来源：Alexas_Fotos / Foto.com

开源和去中心化的朋友可能会赞扬DeFi平台，生态系统可能需要更多时间来改善其安全性和可用性。

随着行业逐步走向成熟，用户需要谨记DeFi平台并非完全“不信任”，请注意，有些项目是基于未经审核的代码库构建的，测试不足或盲目使用引入攻击媒介的第三方库。

还应注意，随着DeFi协议中存储更多的价值，黑客将更有动力寻找这些攻击媒介并利用未经审核的代码库。 不成为下一个受害者可能是您最大的收获。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/vulnerabilidades-explotadas-ataques-arruinan-fiesta-defi/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。