火币观察：本月安全问题频出DeFi项目风控机制有待完善

5月30日，据PeckShield预警显示，多策略收益优化的AMM协议Belt Finance遭到闪电贷攻击。通过追踪和分析，PeckShield发现此次攻击源于攻击者通过重复买入卖出BUSD，利用bEllipsisBUSD策略余额计算中的漏洞操纵beltBUSD的价格进行获利。

从具体攻击过程来看，攻击者首先是从PancakeSwap中借出8笔闪电贷，并将其中1千万BUSD存入bEllipsisBUSD策略中；其次，他们将贷出的1.87亿BUSD继续存入bVenusBUSD策略，再通过Ellipsis合约将1.9亿BUSD兑换为1.69 亿USDT，并重复7次“提现——兑换——充值”操作。

由于beltBUSD的价格依赖于所有机枪池余额的总和，因此攻击者将BUSD存入bVenusBUSD策略，再提出BUSD。从理论上来说，由于资产数量不变，即使攻击者重复多次操作，也不会获利。但是，他们如果操纵其他策略的话，beltBUSD的价格就会受到影响。

在此次攻击中，攻击者通过多次买入卖出BUSD，再利用bEllipsis策略余额计算中的漏洞，操纵了价格。随后，攻击者通过Nerve（Anyswap）跨链桥将所获资产分批次转换为ETH。

据统计，2021年5月，至少有15个项目遭到黑客攻击，累计损失已超过2.5亿美元，与2020全年以太坊Defi生态总共损失的1.2亿美元相比，当月损失总额已经超过去年的100%。这是DeFi历史上遭遇攻击频次最高、损失最大的一个月。

在本月的黑客攻击中，闪电贷是最主要的攻击手法，至少有7个项目因此遭到攻击。而BSC是黑客最活跃的平台，至少有10次攻击都发生在BSC公链。并且，本月受到攻击的涉及金额普遍较大，至少有7个项目的损失金额超过1000万美元，最高的Venus损失金额则超过1亿美元。

火币研习社认为，近期DeFi安全问题频出，这提醒我们目前DeFi生态的发展还处于相对早期，该领域的项目风控机制有待完善。为提高DeFi项目的安全性，有关方面应确保原始编码安全准确，并利用高级审计和测试工具来进一步提高代码质量；在通过高级安全审核工具进行代码审核之后，项目方还应该使用所有可用的外部资源进行全面的外部安全审核；在审核完成后，项目方还可以进行本地实际网络测试，邀请社区成员和团队测试智能合约，这有助于识别难以发现的隐藏错误；最后，围绕项目本身甚至还可以发起一个寻找漏洞的赏金计划，邀请白帽黑客社区的成员参与并激励他们查找项目的安全漏洞。

行情分析

BTC日内下跌回升，成交量相对萎靡

根据火币全球站数据显示，BTC早间延续凌晨的下跌，最低至34149.63USDT，随后日内开始反弹，目前最高至36388.00USDT。一小时级别来看，早间下跌在34400附近得到了支撑，近期BTC持续在低位震荡，震荡区间上沿在37300一线，下沿在33800一线。日线级别来看，BTC迎来二连阳，处于相对低位。晚间持续关注上涨趋势的延续情况以及上方37300的突破情况和下方34400的支撑情况。

根据火币全球站数据显示，ETH早间小幅下跌，最低至2272.00USDT，随后在2300附近短时横盘，下午开始反弹，目前最高至2521.62USDT，成交量相对萎靡。一小时级别来看，ETH近期持续在低位震荡横盘，日内反弹突破了前期2460的阻力位，上方阻力位在2540一线。日线级别来看，ETH迎来二连阳。晚间持续关注上涨趋势的延续情况以及上方2460的突破情况和下方2300的支撑情况。

合约方面，火币合约大数据显示，BTC合约持仓量相对稳定，合约成交量小幅下降，合约市场不活跃。交割合约基差小幅上升。

ETH合约持仓量相对稳定，合约成交量小幅下降，合约市场不活跃。交割合约基差小幅上升。

据火币研习社数据监控显示，今日DeFi总锁仓量（TVL）小幅下降达到了752.3亿美元，真实锁仓量小幅下降达到了554.7亿美元。其中，头部项目变化幅度不大。今日Defi总交易量小幅下降，达到了40.0亿美元。其中，PancakeSwap跌幅较大，达到了18.08%。

—-

编译者/作者：火币研习社

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。