2020年对DeFi平台的10大黑客

到2020年，由于Covid-19及其后果，每个人都会记得的一年，对于那些沉迷于加密货币世界的人来说，也将具有特殊的含义。 尽管在过去的一个月中，比特币（BTC）的价格处于达到和超过历史高位的中心位置，但今年的另一件事是分散式金融协议的极大扩展（DeFi，其英文缩写）。

渴望快速启动新的DeFi服务有时超出了审核员和安全员的工作速度。 这些平台中的许多平台（包括一些已接受审核的平台）都看到了其保护壁垒遭到破坏，智能合约中存放的资金转交给了那些知道如何利用代码缺陷的人。

12月19日，存放在DeFi平台上的资金达到了历史最高水平：167亿美元。 资料来源：defipulse.com

以下是今年发生的10大DeFi平台盗窃案：

Opyn（361,260美元）

在2020年8月4日，Opyn用户得知ETH Put合约中的漏洞已被利用。 该代码错误使攻击者可以双重使用期权令牌（称为oToken）和由这些订单的某些卖方存放的不当抵押品。

361,260单位与美元保持平价的加密货币美元硬币（USDC）被盗。 由于该协议是非许可的，分散的协议，因此在发现该漏洞之后，由平台创始人Zubin Singh Koticha领导的管理员无法阻止对合同的访问。

为了减轻损失，他们所做的就是立即撤回他们在分散交易所Uniswap池中存放的流动性。 因此，他们避免了代币的快速贬值，代币可以以高于市场价值20％的价格从其持有者那里购买。

目前Opyn仍在运行。 除其他事项外，声称提供智能合约黑客保护。

平衡器（$ 450,000）

分散式交易所的Balancer在著名的信息网站DeFiPulse的“前10名”中。 但成为最知名和最常用的平台之一并不能保证安全。

一位知道如何使用智能合约在一次交易中自动执行多个操作的攻击者，成功提取了相当于450,000美元的包裹比特币（WBTC），Synthetix（SNX）和Chainlink（LINK）令牌。 它完全清空了包含它们的Balancer流动资金池。 该事件发生在2020年6月。

黑客使用来自分散式交易所dYdX的快速贷款来获得Wether封装的以太币（WETH）令牌，该令牌随后被交换为STA令牌。

由于Balancer具有向接收方收取1％的转移费的模型，因此，每次攻击者用WETH交换STA时，Balancer池中的收款量就会减少1％，从而降低了其流动性。 当流动性接近于零时，STA的价格大大增加，攻击者用它以非常低的价格收购了池中的其他WBTC，SNX和LINK。

Balancer联合创始人Mike McDonald他承认没有意识到这样的攻击是可能的。作为预防措施，他们合并了一个黑名单，其中包括带有转让费的代币，并再次审核了其平台。

阿克罗波利斯（USD 2,000,000）

2020年11月12日，Akropolis平台的流动性提供者收到一条消息，称从YCurve-SUSD池中提取了2,000,000个DAI（相当于等值的美元）。

盗窃是通过dYdX平台上的重入攻击和快速借用相结合进行的。 根据CriptoNoticias的定义，当可以在以前的功能完成执行之前在智能合约中重复调用同一功能时，则称为重入攻击。

攻击者设法多次撤回了加密货币。 当智能合约“意识到”没有余额时，为时已晚。

虽然该平台已经过审核，在代码检查期间未检测到该漏洞。 审计公司CertiK与审计bZx的公司相同，bZx也包括在此列表中。

价值DeFi（6,000,000美元）

虽然从Value DeFi平台盗窃600万美元并不是一年中最大的盗窃案，但这可能是最惊人的。 就是它黑客同情两名受害者的恳求还给了他们一些战利品

更确切地说，回返的受益人是一名失去了100,000美元（他的积蓄，他的生命）的护士和一名19岁的年轻人，他声称损失了200,000美元，这给他造成了家庭问题。 无论如何，退回的钱只有两者之间的95,000 DAI。

抢劫发生在11月中。 攻击者在Aave平台上提供了80,000以太网（ETH）的即时贷款，当时约为3600万美元。 他用它们的一部分购买了1.16亿DAI和3100万USDT。

然后，他用2500万DAI换成稳定币mvUSD，用9100万DAI换成USDC，用3100万USDT换成1700万USDC。 这些异常操作是由黑客适当计划的，它们改变了未经审核的DeFi协议库中的价格和取款方法。

原产地（USD 7,000,000）

与前述的阿克罗波利斯一样，再入攻击正是这样，攻击者才能从稳定币项目Origin手中扣押700万美元。 其中，100万美元是公司的创始人和员工存入的资金，他们相信并投资了该项目。

黑客设法人为地增加了代币的供应，从而在去中心化交易所UniSwap和Sushi Swap中将新发行的代币交换为USD Tether。 攻击后，被认为一直价值1美元的Origin Dollar（OUSD）代币没有抵抗，其价格在8小时后暴跌。

11月17日发生的事件并没有阻止该项目继续进行。 根据其开发者的说法，Origin是“第一个在仍在您的钱包中时能获得回报的稳定币”。 在撰写本文时，年收益率为0.00％，可以在他们的网站上看到。

翘曲融资（7,700,000美元）

在此选项中，对Warp Finance的攻击是最近的攻击。 它发生在12月17日星期四，就在该平台启用贷款支持后的第二天。

恶意操作员要求提供一笔超速贷款，金额超过可作为抵押的资金，并导致DAI和USDC稳定币损失7,700,000美元。 攻击者将在没有任何类型的障碍或不便的情况下执行了该操作。

Warp Finance背后的团队承诺针对受害者的完整赔偿计划，这应该在2020年底之前完成。这包括发行和交付新的代币（IOU），如果无法对所有DAI和USDC进行补充，将使用这些代币。 没有报道该代币的价值是什么，如果它是另一种稳定币，或者将取决于投标者和需求者的决定。

bZx（8,000,000美元）

本年度bZx遭受的第三次攻击在9月中旬，这笔损失使他损失了8,000,000美元，相当于他智能合约中所存资金的30％。

但是，尽管有过往记录，但仍然信任bZx的用户可以放心，这次他们的资金没有受到威胁。 攻击者并没有直接寻求用户的钱，而是利用平台中的漏洞来产生“人为钱”。

使用该协议的智能合约的_internalTransferForm（）函数（存在一个错误），用户可以人为地增加其余额以复制其令牌，然后将其交换给其他人。

根据bZx的说法，在此黑客入侵之前，他们的智能合约已经过数次审核。 这是一个明显的例子审核不一定是安全的保证在这些类型的平台上。

Pickle Finance（20,000,000美元）

“有报道称，我们的DAI PickleJar策略已被利用。 我们正在积极调查此事，并将提供进一步的更新。 通过Twitter上的此消息，11月21日，在Pickle Finance中存储了加密货币的人得知有些不对劲。

确实，黑客知道如何利用协议中的漏洞（经过独立审核两次）通过重新进入攻击来窃取2000万个DAI。

那些没有直接遭受损失的人仍然受到影响，因为Pickle治理令牌的价格在24小时内下跌了50％。

著名的比特币制造商和Morgan Creek Digital的联合创始人Anthony Pompliano对这一事实表达了自己的看法：“这一点有人感到惊讶吗？ 这些DeFi项目大多数都未经审核，没有真正的治理并且没有分散化。 他补充说，这似乎是一个“ ICO 2.0”，将2020年的“ DeFi狂热”与2017年初始代币发行（ICO）的巨大扩张进行了比较。

嘉实融资（24,000,000美元）

2020年10月26日，Harvest Finance协议遭到黑客攻击，仅用7分钟，就从其流动性池中提取了价值24,000,000美元的加密货币。

该协议的开发者团队从匿名的角度进行了报告，攻击是通过紧急贷款发生的。犯罪者研究了代码中的漏洞，并设法操纵了价格，以耗尽资金池的流动性。

事件发生后，FARM治理令牌的价格在24小时内下跌了65％。 该协议虽然不是分叉的，但与Yearn Finance非常相似。

Lendf.me（25,000,000美元）

Lendf.me是2020年DeFi排名第一的黑客。 4月18日，这个中国借贷平台遭受了一次攻击，相当于25,000,000美元的加密货币被盗。

正如CriptoNoticias报道的那样，盗窃与以太坊ERC-777标准中的漏洞有关。 该漏洞起源于Lendf.me与imBTC的集成，imBTC是一种以太坊令牌，与比特币保持平价，并使用该标准作为保证。

该漏洞使罪犯能够进行上述再入攻击。 他们使用这种技术在资产负债表更新之前从流动资金池中撤出资金。

该平台目前已停用，该域名Lendf.me可以出售，并且自6月以来，该协议的社交网络已被放弃而没有更新。

为了好奇和雄心勃勃

这10个示例显示了许多分散式金融协议的一般状态。 以天文数字的年回报率来获利的动力有时使投资者忘记了常识性的经验法则：“如果某事太好以至不能成为事实，那可能就不是。”

DeFi平台处于早期阶段，通常会提供非常高的投资回报，这些投资以自己的治理令牌支付。 资料来源：@ poemz / twitter.com

DeFi的创新可能会为加密用户和整个社区带来众多好处。 许多没有银行账户的人可以从获得金融服务中受益。 此外，可以避免不必要的延迟和昂贵的佣金支付。 但是还有很长的路要走。

对于那些好奇而有野心的人，他们不被这里提供的示例所吓倒，并且也将自己的加密货币放入将继续出现在各个地方的DeFi协议中，提醒不伤人：永远不要投资超过您愿意损失的钱。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/10-mayores-hackeos-plataformas-defi-durante-2020/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。