DeFi 世界的樂高Dego Finance就這樣“塌了”嗎？_ETH

2月10日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DeFi應用DegoFinance遭到黑客攻擊，UniSwap和PancakeSwap上的DEGO流動性已被耗盡。關于本次攻擊，成都鏈安技術團隊第一時間進行了資金流向分析。

#1事件概覽

據悉，DegoFinance于2020年9月啟動，以打造可持續性和實用性的NFT生態系統為目標，打造了NFT+DeFi平臺。有人說，在DeFi的世界里，DEGO就相當于樂高。將每一個DeFi協議當作是一塊磚，包括穩定幣(DAI)、借貸(Aave,Compound)、去中心化交易所DEX(UniswapandBalancer)、衍生品(Synthetix)和保險(NexusMutual)等等。

美國阿拉巴馬州監管機構指控Coinbase的質押計劃違反州證券法:6月6日消息，美國阿拉巴馬州監管機構指控 Coinbase 的質押計劃違反了州證券法。Coinbase 有 28 天的時間向阿拉巴馬州證券委員會（ASC）解釋其質押計劃如何不違反州證券法。[2023/6/6 21:19:42]

2月10日，DegoFinance官方推特發布公告稱被黑客攻擊，DeFi世界的樂高就這樣“塌了”！

本次攻擊涉及多個賬戶地址私鑰泄露，黑客利用私鑰提取了多個鏈上的資產，具體分析請接著往下閱讀。

#2事件具體分析

我們以ETH鏈上攻擊為例，對Dego項目方其中一個地址的資金流向做了詳細分析。

NFT平臺Art Blocks宣布將繼續支持版稅，聚合列表即將納入Blur:2月23日消息，NFT平臺Art Blocks首席技術官purplehat.eth在社交媒宣布，雖然最近OpenSea和Blur圍繞創作者版稅進行了一些調整，但該NFT平臺仍將繼續支持版稅，因為他們堅信創作者版稅是一種有意義的贊助文化支柱。

同時，Art Blocks還宣布已拓展了二級市場功能，除了支持跨其他市場聚合NFT列表購買之外，藏家已可以直接在Art Blocks官方網站上上架/下架自己希望購買的NFT。截至目前，Art Blocks的聚合列表支持的NFT市場包括：OpenSea、LooksRare、X2Y2、Sansa、Zora、Foundation、CoinbaseNFT、Rarible、Sudoswap 和 Reservoir，后續即將納入Blur。

另據Cryptoslam最新數據顯示，Art Blocks交易總額剛剛突破14億美元，截至目前達到1,403,023,657美元。此前去年10月份消息，Art Blocks完成600美元融資，True Ventures領投。[2023/2/23 12:24:53]

首先，項目方私鑰泄露的DEGO.Finance:Deployer地址為：

Celsius競標計劃已獲美國聯邦法官批準，可在年底前出售資產:10月25日消息，據外媒報道，加密借貸平臺 Celsius 的競標程序計劃已獲美國聯邦法官批準，該程序列出了出售平臺資產的步驟，并設定了一個時間表，允許其在年底前出售資產。其中 Celsius 計劃為零售資產業務征求出價，其中包括賬戶和 Token 余額、零售和機構貸款組合、兌換服務、質押平臺、支付功能、DeFi 部門以及它持有的任何加密資產，它還計劃為剩余資產征求投標，其中包括挖礦業務。

據悉，該命令規定了與可能出售資產相關的日期和截止日期，授權Celsius選擇一個潛在投標人，如果它選擇這樣做，必須得到法院和債權人的批準。該命令將12月12日定為最終投標的截止日期，如有必要，將在12月15日進行拍賣。一旦中標者被選中，12月22日將舉行一場出售聽證會，聽取任何反對意見或相關討論。該命令還包括任命一名消費者隱私監察員，將確保客戶信息在整個銷售過程中得到充分保護。（TheBlock）[2022/10/25 16:37:52]

0x20FE4B1eD95911487499e53355BB8f14a881D735

攻擊者地址為：

0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91

1?攻擊者通過私鑰，使用minter權限分別向DEGO.Finance:Deployer賬戶和0x118賬戶鑄造了592,582.35個dego代幣。

2?之后移除ETH-dego交易池的流動性。

3?攻擊者通過DEGO.Finance:Deployer賬戶移除流動性獲取了269,502個dego代幣和378個ETH。

4然后將DEGO.Finance:Deployer賬戶獲取的378個ETH轉給了0x118地址。

同時，該黑客轉移原本屬于項目方地址的441個yvWETH給0x118地址。

此時0x118賬戶上有獲利的750.37個ETH和其他轉入的7.10個ETH一共757.4個。

截止目前發文，在Ethereum鏈上，攻擊者在0x118地址將441個yvWETH轉入Zapper.Fi:YearnyVaultZapOut兌換了445個ETH，獲取共1202個ETH，轉入Tornado.Cash:Proxy400ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入202個ETH。

在Cronos鏈上，在0x118地址獲取了196256.7個USDT和199401.9個USDCoin，還未轉出。

在BSC鏈上，獲取3736.17個BNB，通過代幣兌換獲取9188個BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入了12,741個BNB。

三條鏈上0x118地址總計約17,627,676美元，目前，官方稱正在調查原因并試圖挽回損失。

隨著DeFi的不斷發展，DeFi項目的安全問題也愈發緊急。對比于傳統金融，DeFi的底層靠的是智能合約，本質上是程序，程序擁有傳統金融不可比擬的高效性和便捷性，但也存在傳統金融無需考慮的代碼漏洞問題。所以成都鏈安建議大家，對未公開智能合約和審計報告的項目，要保持警惕，項目方也需要避免私鑰泄露，導致項目受損。

擴展閱讀：

純干貨分享|DEFI安全問題之基礎篇

當DeFi淪為黑客的“提款機”，我們如何保證它的安全性？

Tags：ETHEGODEGDEGOETHw幣官方近況dego幣價格Degen Token Financedandy.dego

火必交易所