去中心化金融(DeFi)?是指區塊鏈應用程序,可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然DeFi帶來了高回報,但它也帶來了很多風險。?
由于幾乎任何人都可以啟動DeFi協議并編寫一些智能合約,因此代碼中的缺陷很常見。在DeFi中,有許多不擇手段的行為者已經準備好并且能夠利用這些缺陷。當這種情況發生時,數百萬美元將被盜取,而用戶通常沒有追索權。
根據Elliptic11月的一份報告,DeFi用戶在2021年因盜竊損失了105億美元。但正如我們最大的DeFi漏洞利用列表所示,這個數字已經增長了數百萬。
13?.?GrimFinance:?3000萬美元
dApp通常從構建它們的區塊鏈中獲取主題靈感。因此,Avalanche生態系統充滿了參考,例如Snowtrace、Blizz和Defrost。同時,Fantom生態系統感覺就像一場鏈上萬圣節派對。當出現問題時,這會增加一個更黑暗的旋轉,就像收益優化器協議GrimFinance的情況一樣。
2021年12月,該協議遭受了重入攻擊,這是一種攻擊者在之前的交易尚未結算的情況下偽造額外存款到保險庫的漏洞。最終,攻擊誘使智能合約釋放了價值3000萬美元的Fantom代幣。
DeFi協議通常使用可重入保護——防止此類攻擊的代碼片段。來自SolidityFinance的GrimFinance的審計報告錯誤地指出該協議有可重入保護——提醒審計并不能保證不會發生漏洞。
以太坊開發者大會Ethcon 2023將在韓國舉辦:金色財經報道,Ethcon Korea 2023韓國以太坊開發者大會和黑客馬拉松活動,將于9月1日至3日舉行。業內人士表示,IDCON是為在韓國以太坊社區擴大基于以太坊的本地開發者生態系統而創建的活動,將在首爾城東區圣水洞Plaza 2舉行。大會將在1日和3日舉行兩天,黑客馬拉松將在1日和3日共舉行3天。[2023/6/20 21:49:02]
12?.?MeerkatFinance:??3100萬美元
有時,DeFi協議很快就會遭受第一次攻擊。基于幣安智能鏈的借貸協議MeerkatFinance在2021年3月推出僅一天后就損失了3100萬美元的用戶資金。
攻擊者在合約中調用了一個函數,使他們的地址成為金庫所有者,從而耗盡了該項目1396萬美元的幣安穩定幣BUSD,以及另外73,000BNB。BNB搶劫案當時價值約1740萬美元。
許多用戶認為這是一項內部工作:協議開發人員的地毯式拉扯。MeerkatFinance否認了這些指控。
11.VeeFinance:3500萬美元
2021年夏季,Avalanche的活動有所增加,這也吸引了那些渴望利用區塊鏈網絡新興生態系統的人。
2021年9月,就在借貸平臺VeeFinance慶祝鎖定資產總價值達到3億美元的里程碑僅一周后,它遭受了Avalanche網絡上最大的攻擊。
2月以太坊鏈上NFT銷售額約8.5億美元,創2022年6月以來最高單月記錄:金色財經報道,據Cryptoslam數據顯示,2月以太坊鏈上NFT銷售額達到約8.5億美元,創下自2022年6月以來最高單月記錄。此外,以太坊鏈上NFT交易量為2,866,371筆,創下截至目前最高單月交易量記錄,其中獨立買家630,638個,獨立買家246,355個。[2023/3/1 12:36:09]
這次攻擊之所以成功,主要是因為VeeFinance的杠桿交易功能依賴于Avalanche的主要流動性協議Pangolin提供的代幣價格。為了濫用這一點,攻擊者在Pangolin上創建了7個交易對,提供了流動性,最后在Vee上進行了杠桿交易。這使他們能夠從協議中消耗3500萬美元的加密貨幣。
在發給“親愛的先生/女士0x**95BA”的推文中,該協議要求攻擊者將資金作為賞金計劃的一部分返還,這將讓攻擊者保留一部分。但Vee黑客沒有表現出歸還資金的意愿。
10.PancakeBunny:?4500萬美元
加密貨幣經常經歷短暫但強烈的時尚。而在2021年春季,幣安智能鏈是最熱門的DeFi趨勢,尤其是對于零售用戶而言,因為其網絡費用較低。?
但BSC也遭受了許多詐騙和黑客攻擊,其中最大的一次是2021年5月針對單產農業協議PancakeBunny的攻擊。?
一名黑客通過一系列八次閃貸攻擊操縱了PancakeBunny的定價算法,抬高了該協議的原生代幣$BUNNY的價格。黑客通過以市場價格低價購買BUNNY并以人為夸大的高價出售,從而賺了4500萬美元。
Bitzlato相關地址僅剩約11,000美元資產,高峰期曾有約600萬美元資產:1月19日消息,鏈上數據顯示,加密交易平臺Bitzlato相關錢包地址內僅剩約11,000美元資產,該系列地址高峰期內曾有約600萬美元資產。在過去的24小時內,相關地址流出(或被罰沒)約67萬美元資產。此前美國司法部表示將對俄羅斯加密交易平臺Bitzlato采取執法行動。[2023/1/19 11:19:36]
9.bZx:5500萬美元
在“私鑰”被泄露后,多鏈借貸協議bZx于2021年11月遭到黑客攻擊。該協議在BinanceSmartChain和Polygon上總共損失了5500萬美元。
但是bZx之前已經經歷過兩次類似的痛苦。
盡管閃電貸攻擊是當今常見的DeFi攻擊策略,但bZx在這方面是一個“OG”。它在2020年2月遭受了針對其保證金交易平臺Fulcrum的閃電貸攻擊。黑客偷走了1,300個包裹的ETH,當時價值366,000美元。
在2020年9月的另一次攻擊中,bZx損失了30%的鎖定在其金庫中的資金,當時價值800萬美元。然而,持有未平倉保證金頭寸的用戶并沒有遭受損失,因為正如協議后來在一份報告中所說,這些資金是從bZx的保險基金中扣除的。
8.BadgerDAO:?1.2億美元
從DeFi項目中蒸發數百萬美元的智能合約漏洞并不總是如此。?
加密稅務軟件公司ZenLedger宣布裁員:12月10日消息,據兩位知情人士透露,加密貨幣稅務軟件公司ZenLedger本周裁員10%。ZenLedge首席執行官Pat Larsen證實裁員消息,表示12月5日六名員工被解雇,以期“將公司的生命周期延長至數年”,從而能夠“成功度過加密市場和全球宏觀經濟高度不確定的時期”。
據此前報道,今年5月,加密貨幣稅務分析和區塊鏈分析公司ZenLedger完成1500萬美元B輪融資。(Blockworks)[2022/12/10 21:35:46]
2021年12月,在詐騙者誘騙BadgerDAO成員批準惡意交易,讓他們控制用戶的保險庫資金并轉移資金后,比特幣到DeFi的橋接器BadgerDAO損失了1.2億美元。
區塊鏈安全公司PeckShield表示,該協議的合約不受攻擊,只有用戶界面受到影響。
7.CreamFinance:?1.3億美元
借貸協議CreamFinance在2021年10月?的一次閃電貸攻擊中損失了1.3億美元——這是該協議遭受的第三次攻擊。
如果您在同一筆交易中償還,閃電貸允許您立即獲得貸款。盡管對套利交易有用,但它們被惡意行為者廣泛部署以利用DeFi協議中的漏洞。在CreamFinance的案例中,閃電貸黑客能夠通過在不同的以太坊地址上反復進行閃電貸來利用定價漏洞。
CreamFinance以前見過這一切。2021年8月,一名黑客在另一次主要針對FlexaNetwork的原生代幣AMP的閃電貸攻擊中竊取了約2500萬美元。在2021年2月的一次閃電貸攻擊中,黑客從協議池中吸走了3750萬美元。
RSS3將幫助Arweave實現Instagram中NFT信息的跨平臺展示:11月3日消息,據Meta官方推特宣布,Instagram將上線支持Polygon上NFT信息展示的新功能。該功能由Arweave提供支持,RSS3宣布已經針對該功能的支持者Arweave開始相關適配工作。完成適配后,NFT信息將可實現跨社交平臺展示。[2022/11/3 12:12:33]
6.VulcanForged:??1.4億美元
Play-to-earn是加密領域的最新趨勢之一,但它并非擺脫了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戲賺錢平臺VulcanForged在2021年12月的用戶損失1.4億美元時慘痛地吸取了這一教訓。
根據報告,一名黑客獲得了該平臺集中式用戶錢包Venly的憑據,以獲取96個加密錢包的私鑰。后來,黑客利用它獲取了平臺資產組合功能MyForge中的私鑰,最終盜取了450萬枚VulcanForged原生PYR代幣。
VulcanForged首席執行官JamieThomson在對社區的講話中說:“當然,展望未來,我們將只使用去中心化錢包,因此我們再也不必遇到這個問題了。”
5.Compound:?1.5億美元?
與大多數DeFi協議一樣,借貸協議Compound有一個治理令牌COMP。該協議在特定條件下向用戶分發代幣。
2021年10月,Compound出現了一個漏洞——“?DeFi中保存最完好的秘密”——讓借款人索取的COMP份額超過了他們的預期份額。該漏洞涉及其兩個保險庫,或智能合約上的資金池。用戶將調用Reservoir保險庫上的特定函數—drip(),它會重新填充另一個保險庫Comptroller。該保險庫會自動將大量COMP分配到錯誤的地址。泄漏水龍頭是先前協議更新中引入的錯誤的結果。
在將8000萬美元的COMP發送給錯誤的人之后,該團隊急于修補。但在實施任何修復之前,該協議需要通過治理提案。它創建于10月2日,最終于10月9日被接受。在社區辯論期間,金庫又損失了6880萬美元。
Compound的創始人羅伯特·萊什納(RobertLeshner)是如何試圖把錢拿回來的?通過推特,“任何將COMP歸還給社區的人都是外星人。如果一隊外星巨魔召喚我,我會出現的。”?幾乎一半的資金被退回。?
4.Beanstalk:?1.82億美元?
閃電貸款——如此有用,但又如此危險。在慶祝1.5億美元的資產被鎖定在其協議中僅僅兩天后,基于以太坊的Beanstalk發現在一次閃電貸款攻擊中丟失了1.82億美元。黑客設法通過TornadoCash在以太坊中洗錢8000萬美元。
Beanstalk以其算法穩定幣BEAN而聞名,它應該價值1美元。雖然它設法在攻擊發生后立即保持錨定,但該漏洞證明算法穩定幣僅與支撐它們的合約一樣穩定。
3.Wormhole:?3.26億美元?
隨著越來越多的第1層區塊鏈構建在其上,用戶對在鏈之間轉移資金的愿望越來越強烈。跨鏈橋解決了這一需求,但它們也帶來了新的漏洞。最具破壞性的跨鏈事件發生在2022年1月,當時流行的橋梁Wormhole在WrappedEthereum(wETH)中損失了3.2億美元。WETH是一種與以太坊價格1:1掛鉤的加密貨幣。
黑客瞄準了Solana上的橋段,用戶必須首先將以太坊鎖定在智能合約中,才能獲得等量的WrappedEthereum。黑客設法通過鑄造WETH而不將ETH鎖定在Wormhole中找到解決此問題的方法。
Wormhole開發的利益相關者JumpTradingGroup主動補充蟲洞的以太坊金庫,使其重新完整。
2.Ronin:?5.52億美元?
NFT驅動的游戲賺錢游戲AxieInfinity是去年最大的加密成功案例之一。2022年3月23日,它成為加密領域最大的黑客攻擊之一的受害者,估計有5.52億美元的加密貨幣使用“被黑的私鑰”從橋流到其Ronin側鏈。
一周后,當AxieInfinity開發商SkyMavis披露該漏洞利用時,被盜資金的價值已升至6.22億美元。
根據SkyMavis的一份報告,攻擊者使用“通過我們的無氣體RPC節點的后門,他們濫用該后門來獲取AxieDAO驗證器的簽名”。
解釋說,由于用戶負載高,SkyMavis在2021年11月轉向AxieDAO分發免費交易,報告補充說,“AxieDAO允許SkyMavis代表其簽署各種交易。這已于2021年12月停止,但未撤銷許可名單訪問權限。”
利用該漏洞,攻擊者隨后能夠簽署來自Ronin網絡上九個驗證節點中的五個節點的交易,包括AxieDAO的節點和SkyMavis自己的四個節點。這反過來又讓攻擊者偽造交易并索取173,600WETH和2550萬美元,總計約6.22億美元。
AxieInfinity聯合創始人JeffZirlin稱其為“歷史上最大的黑客攻擊之一”,并指出“有可能會識別出并將其繩之以法。”
1.PolyNetwork:??6.11億美元
PolyNetwork黑客仍然是加密領域最大的黑客——不僅僅是DeFi。不過幸運的是,始于2021年8月10日的傳奇故事在經歷了一系列奇怪的曲折后三天后圓滿結束。
當一名黑客利用PolyNetwork的“合約調用”中的漏洞時,盜竊開始了。黑客迅速用各種加密貨幣竊取了6.11億美元,導致Poly發布了一封絕望的信,稱其為“親愛的黑客”。
這種溝通嘗試以及隨后的外展努力最終奏效了。該協議提供了50萬美元的賞金,并讓黑客有機會成為其首席安全顧問。但在鏈上問答環節中,黑客解釋說,該漏洞只是為了給PolyNetwork上一課。他們說,歸還被盜資金“始終是計劃”。
加密貨幣安全公司SlowMist表示,它識別了攻擊者的身份標記,并且該漏洞“很可能是一次長期計劃、有組織和有準備的攻擊”。?
“現在每個人都聞到了陰謀的味道,”黑客說,否認他們是內部人員。“但誰知道呢?”
數字身份是個人在參與網絡活動時形成的可以表征自己身份的數字信息,是連接現實與網絡世界的入口。嚴格來說,它是一種數字簽名技術,用來確認互聯網雙方或者多方在交換數據時的身份.
1900/1/1 0:00:00最近的俄烏戰爭中,美國聯合歐盟對俄羅斯扔下了“金融核武器”,不僅僅凍結了俄羅斯的外匯儲備和將俄羅斯踢出了SWIFT,而且要求各大交易所確保被美國和西方制裁的俄羅斯人無法通過加密貨幣來躲避制裁.
1900/1/1 0:00:00曾領導?Facebook?的穩定幣項目Diem的DavidMarcus正在創建一家新的加密公司.
1900/1/1 0:00:00并非每一位加入你的Discord服務器的人都是你的DAO成員,并且他們也不應該是。不同級別的社區參與度對應著不同的權限和期望,混淆這些對于社區是有害的.
1900/1/1 0:00:00事情是這樣的:朱嘯虎買了一雙鞋,跑了一次步,發了一條朋友圈;照常理來說,買鞋不新鮮,發朋友圈沒什么,跑步也不稀奇。但稀奇的是,他瞄準的是當下最火的Web3.0游戲StepN.
1900/1/1 0:00:00Azuki創始人ZAGABOND強調:“接下來,我們想讓Azuki社區知道他們對我們有多重要。”但是對于此時Azuki社區中的質疑者而言,ZAGABOND所強調的社區重要性卻顯得格外諷刺.
1900/1/1 0:00:00