2021年DeFi安全事故全紀錄（6月23日更新）_ANC

31、?ElevenFinance?

損失金額：460萬美元

簡述：6月23日，基于BSC的收益聚合器ElevenFinance中與Nerve相關的機槍池遭到閃電貸攻擊。此次攻擊源于ElevenFinance的Emergencyburn計算余額錯誤，且未執行銷毀機制，攻擊者獲利近460萬美元。此攻擊者與ImpossibleFinance攻擊者是同一位。

30、impossibleFinance

損失金額：50萬美元

簡述：6月21日，基于BSC的DeFi項目ImpossibleFinance遭遇閃電貸攻擊。由于?cheapSwap函數中未進行K值檢查，攻擊者可以通過在一次兌換過程中進行多次兌換操作以獲得額外的代幣。

處理方案：所有在攻擊前向流動性池充值的用戶獲得100%的補償。

29、VisorFinance

損失金額：50萬美元

簡述：6月20日，基于UniswapV3的DeFi項目VisorFinance遭遇攻擊，Hypervisor在攻擊期間遭到了破壞，使得攻擊者獲得了一個管理帳戶的訪問權限，能夠從尚未存入流動性提供者頭寸的存款中提取資金。

處理方案：官方則用資金庫支付用戶50萬美元損失。

28、Alchemix

損失金額：866萬美元

簡述：6月16日，未來收益代幣化協議Alchemix的alETH合約出現安全問題，由于alETH池腳本部署錯誤，用戶在以4：1的抵押比例借出alETH后卻沒有待償還債務，并且近2000個ETH的債務上限被釋放出來，可以再次鑄造新的alETH，加之Alchemix在金庫數組中使用了錯誤的索引，迫使transmuter支持協議機制中資金被完全送去償還用戶的債務。

27、PancakeHunny

損失金額：10萬美元

簡述：6月3日，基于BSC的PancakeHunny項目遭遇黑客攻擊。在本次被黑事件中，黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似，均是在短時間內增發大量的代幣并拋向市場，并引起了HunnyToken幣價暴跌。

2021第四屆全國高校人工智能大數據區塊鏈教育教學創新獎揭榜:2021年12月10日-11日，由教育部中國教育發展戰略學會、科技部科技人才交流開發服務中心指導，全國高校人工智能與大數據創新聯盟主辦的“2021第四屆全國高校人工智能大數據區塊鏈創新論壇”在北京召開。全國高校人工智能與大數據創新聯盟向來自全國52位教師24所高校代表頒發了人工智能大數據區塊鏈教育教學“創新獎”。本次評選旨在鼓勵高校轉型升級，創新校企合作模式，加快人工智能、大數據、區塊鏈專業建設和人才培養質量，進一步促進高校學科發展，為高校爭創“雙一流”建設目標提供支撐。（網易）[2021/12/13 7:35:52]

26、BurgerSwap

損失金額：約700萬美元

簡述：5月28日，BSC的AMM項目BergerSwap遭到閃電貸攻擊，被盜超過432874個BURGER，攻擊者從PancakeSwapWBNB-BUSDT資金池中通過閃電貸借出6,047.13WBNB；然后在BurgerSwap中，將6,029WBNB兌換為92,677BURGER，并創造假幣進行攻擊。

25、Julswap

損失金額：700萬美元

簡述：5月28日，基于BSC的AMM項目Julswap遭到閃電貸攻擊，攻擊者通過閃電貸借到70000個JULB代幣，然后調用JULB-WBNB的交易對進行兌換得到1400個BNB，隨后攻擊合約調用JulProtocolV2合約函數進行抵押挖礦。最后把這些WBNB轉入錢包地址，完成了閃電貸套利。

處理方案：更新版本并回購JULB代幣用于補償用戶。

24、Merlin

損失金額：約68萬美元

簡述：5月26日，BSC生態自動收益聚合器Merlin遭到黑客攻擊，由于該項目getReward代碼的存在漏洞，大量的CAKE代幣被手動轉移到Vault合約中，共導致了約59,000個MERL增發，并通過出售獲得240個ETH。

處理方案：團隊將向用戶空投補償代幣cMERL，該代幣持有者將能夠從補償池中獲得BNB獎勵。同時，額外的開發團隊資金將被用于執行燃燒和回購活動，以恢復代幣價格。

MF總裁：預計到2026年，中國對全球增長平均貢獻超25％:5月30日消息，據鈦媒體報道，在昨日開幕的國際金融論壇（IFF）2021年春季會議上，國際貨幣基金組織（IMF）總裁格奧爾基耶娃表示，IMF將2021年和2022年的全球增長預測分別上調到6%和4.4%，把中國2021年的增長預測上調到了8.4%。IMF還預計，從現在到2026年，中國對全球增長的平均貢獻將超過四分之一。[2021/5/30 22:56:29]

23、AutoSharkFinance

損失金額：約82萬美元

簡述：5月25日，基于BSC的固定利率協議AutoSharkFinance遭到閃電貸攻擊，在LP價值錯誤和手續費獲取數量錯誤的情況下，SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值，導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣，致使其幣價閃崩，從1.2美元快速跌至0.01美元，攻擊者獲利月82萬美元。

處理方案：官方表示將發行新代幣JAWS補償受損用戶。

22、BoggedFinance

損失金額：300萬美元

簡述：5月23日，基于BSC的聚合交易平臺BoggedFinance官方表示，黑客對BOG代幣合約質押功能漏洞進行了閃電貸攻擊，黑客利用PancakePairSwap代碼，在合約驗證完成前即提取了質押收益，導致鑄造了超過1500萬個BOG代幣，這些代幣大部分原本將分配給了BOG的質押者。

處理方案：發行新幣并將被盜BOG代幣返還給質押用戶。

21、PancakeBunnny

損失金額：約4200萬美元

簡述：5月20日，基于BSC的DeFi收益聚合器PancakeBunny遭遇閃電貸攻擊，損失114631枚BNB和697245枚BUNNY，后者被黑客大量鑄造并拋售，價格從240美元閃崩，一度跌破2美元。根據CertiK安全團隊的調查，由于PancakeBunny使用PancakeSwapAMM來進行資產價格計算的，因此黑客惡意利用了閃電貸來操縱AMM池的價格，并利用Bunny在鑄造代幣的時候計算上的問題成功完成攻擊。

報告：2020年是企業區塊鏈和分布式賬本技術領域增長的重要一年:美國市場研究公司Forrester最近發布了2021年區塊鏈的預測。該報告指出2020年是企業區塊鏈和分布式賬本技術領域增長的重要一年。Forrester的首席分析師、該報告的合著者Martha Bennet表示，該公司對區塊鏈的預測是基于顯示明確變化的拐點，而不是趨勢的延續。例如，該報告預測，全球30%的項目將在明年投產。這在一定程度上是由于COVID-19大流行的影響。據Bennet稱，如今許多基于區塊鏈的系統都有一個共同點，即解決差異所需的時間更短。在某些情況下，這甚至可以是即時的。Bennet指出，這一共同因素適用于供應鏈用例以及金融服務。（Cointelegraph）[2020/11/7 11:56:10]

處理方案：PancakeBunny將通過發行新代幣pBUNNY并創建補償池，補償BUNNY原始持有者由于代幣價格大跌造成的損失。

20、Venus

損失金額：超1億美元

簡述：5月18日晚間，基于BSC的DeFi借貸平臺Venus代幣XVS被巨鯨拉漲翻倍，之后以XVS為抵押資產借走并轉移出去價值上億美元的BTC和ETH，此后抵押資產XVS價格大跌并面臨清算，但由于XVS市場流動性不足系統未能及時清算，導致Venus出現上億美元的巨額虧空。

處理方案：Venus向外部機構出售部分XVS代幣以彌補平臺虧損。

19、FinNexus

損失金額：700萬美元

簡述：5月17日，鏈上期權協議FinNexus遭遇黑客攻擊，該黑客滲入并設法恢復了FNX代幣合約管理者的私鑰，攻擊者鑄造了超過3.23億枚FNX，然后在中心化和去中心化交易所中出售，導致價格暴跌。

處理方案：FinNexus團隊表示將發行新幣并按1比1補償給所有在黑客入侵之前持有FNX的用戶；DEX上的流動性提供者因遭受更高的損失將獲得額外的補償。

18、bEarnFi

損失金額：約1086萬美元

簡述：5月16日，基于BSC的跨鏈DeFi協議bEarnFi其bVaults的BUSD-Alpaca策略遭遇閃電貸攻擊，池中近1086萬枚BUSD被耗盡。

動態 | G20成員國計劃在2021年就加密貨幣洗錢和資助恐怖主義達成一致監管:據日本共同社消息，知情人士透露，G20主要經濟體計劃在2021年前達成一致，以應對加密貨幣洗錢和資助恐怖組織。預計各國代表還將正式就加密貨幣交易所運營的法規達成一致，例如要求政府進行登記管理。一個聯合國專家小組在3月份表示，加密貨幣為朝鮮提供了一種逃避制裁的新方法，因為“它們難以追查，可以多次清洗，并且獨立于政府監管。”[2019/6/1]

處理方案：bEarnFi表示將創建一個補償基金，由剩余的儲蓄資金、開發資金、DAO資金和協議產生的一部分費用組成，之后將對余額進行快照以部署補償合約。

17、EOSNation

損失金額：1500萬美元

簡述：5月14日，EOSNation閃電貸智能合約遭受到重入攻擊，相繼有約120萬枚EOS和46.2萬枚USDT被盜。

處理方案：flash.sx稱，損失的所有資金都在eosio.prods的安全控制下，已發起提案更改黑客EOS賬戶權限，通過后會將資金返還給用戶。

16、xToken

損失金額：約2500萬美元

簡述：5月13日，DeFi質押和流動性策略平臺xToken遭到閃電貸攻擊，xBNTaBancor池以及xSNXaBalancer池流動性被立即被耗盡，造成約2500萬美元損失，

處理方案：xToken團隊表示計劃將XTK供應總量的2％用于彌補被盜損失。

15、RariCapital

損失金額：1400萬美元

簡述：5月8日，DeFi智能投顧協議RariCapital其ETH資金池出現了一個因集成AlphaFinanceLab協議而導致的漏洞，擊者通過部署一個輔助合約操控ibETH中ibETHToken的價格，導致Rari遭受1400萬美元的巨額損失。

處理方案：RariCapital將把用來擴大團隊規模的200萬枚預留RGT歸還給DAO，用來補償受攻擊影響用戶和獎勵貢獻者。

動態 | 汽車區塊鏈市場預計到2026年將達到15.7億美元:據BusinessKorea消息，根據市場研究公司BIS Research昨日發布的報告，汽車區塊鏈市場預計將從2018年開始以年均65.80％的速度增長，到2026年將達到15.7億美元。報告稱，區塊鏈技術將極大地有利于汽車市場，因為它提高了數據交換的透明度，可靠性，安全性和不變性。在韓國，首爾市正在研究區塊鏈技術在二手車市場的應用，其目標是建立基于區塊鏈技術的車輛歷史系統。[2018/11/15]

14、ValueDeFi

損失金額：兩次共計1500萬美元

簡述：基于以太坊與BSC的DeFi協議ValueDeFi在5月5日和5月7日分別遭受兩次攻擊，第一次攻擊源于ValueDeFi的ProfitSharingRewardPool合約出現代碼漏洞，其vStake池子受影響，共損失超20萬枚BUSD和8790枚BNB；第二次攻擊源于ValueDeFi的vSwap合約出現代碼漏洞，IRONFinance的部分池和產品受到攻擊。

處理方案：團隊將使用保險基金中的8,530VALUE和多簽中的122,463VALUE，共計130994VALUE進行補償，其余251702VALUE將使用團隊的VALUE進行補償。

13、Spartan

損失金額：3000萬美金

簡述：5月2日，基于BSC的合成資產協議SpartanPoolsV1被攻擊，由于流動性份額計算不當的漏洞，攻擊者從資金池中轉移了約3000萬美元的資金。

處理方案：發行新的SPARTA代幣，并將原本未發行的2000萬枚代幣補償此前因攻擊遭受損失的資金池LP。

12、Uranium

損失金額：5000萬美元

簡述：4月28日，基于BSC的AMM協議Uranium遭到黑客攻擊，其合約在遷移的過程中遭遇黑客攻擊利用，其中涉及金額高達5000萬美元。據慢霧分析，此次問題發生在Uranium項目的pair合約上，該合約的swap函數部分在根據恒定乘積公式檢查合約余額時，存在精度處理錯誤的問題，導致最后合約中計算出的余額比合約實際的余額大100倍，這種情況下，如果攻擊者使用閃電貸進行借款，只需要歸還借貸金額的1%即可通過檢查，盜走剩余的99%的余額，導致項目損失。

處理方案：Uranium項目終止運營。

11、EasyFi

損失金額：?約4090萬美元

簡述：4月19日，Layer2借貸協議EasyFi團隊成員稱，有大量EASY代幣從EasyFi官方錢包大量轉移到以太坊網絡和Polygon網絡上的幾個未知錢包。可能有人攻擊了管理密鑰或助記詞。黑客成功獲取了管理員密鑰，并從協議池中以USD/DAI/USDT形式轉移了600萬美元的現有流動性資金，并將298萬枚EASY代幣轉移到了疑似黑客的錢包中。

處理方案：EasyFi在Polygon上的用戶發布補償方案，將在區塊高度13464478處進行快照，符合資格的每個地址會分兩部分獲得補償，其中，25%的資金將直接獲得賠償，另外75%將以EZ支付。EZ是與EASYV2代幣EZ1比1對應的代幣。

10、ForceDAO

損失金額：約36.7萬美元

簡述：4月4日，DeFi量化對沖基金ForceDAO項目的FORCE代幣被大量增發，黑客通過出售增發代幣獲利約36.7萬美元。此漏洞發生的主要原因在于FORCE代幣的transferFrom函數使用了「假充值」寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致事故的發生。

處理方案：Force團隊稱，已從黑客地址中收回的45枚ETH，剩余的約75％的損失將以空投新FORCE代幣的形式進行補償。針對利用黑客事件進行套利且遭到損失的用戶的空投比例為1.5：1。

9、IronFinance

損失金額：17萬美元

簡述：3月17日，穩定幣抵押平臺IronFinance被黑客攻擊，兩個vFarm流動資金池共損失17萬美元。據官方表示，攻擊事件起因是由于云服務升級更改了獎勵率整數，但官方團隊并未意識到該問題。

8、TSD

損失金額：1.6萬美元

簡述：3月15日，跨鏈穩定幣TrueSeigniorageDollar表示，惡意攻擊者利用TSDDAO在其賬戶中鑄造118億枚TSD代幣，并全部在Pancakeswap出售并獲得1.6萬美元。

7、MeerkatFinance

損失金額：3100萬美元

簡述：3月4日，BSC生態幣安智能鏈DeFi協議MeerkatFinance疑似跑路，自稱金庫合約遭遇黑客攻擊，隨后自稱為MeerkatFinance開發者的Jamboo發布聲明稱，這僅是一個實驗，Meerkat將進行數據更新和執行智能合約來補償用戶。處理方案：直接退還Vault余額的95%，剩下的5%將通過新產品XFarm公平分配。Meerkat于UTC時間3月6日18時重啟質押和Vault合約，將在24小時后部署swap合約并向用戶發布指令。

6、DODO

損失金額：約380萬美元

簡述：3月9日，去中心化交易所DODO表示，DODOv2版本的WSZO、WCRES、ETHA、Fusible眾籌池遭黑客攻擊，團隊已下線相關資金池建池入口。據成都鏈安團隊分析，被攻擊原因是合約的init函數未進行限制，從而導致攻擊者有權利進行調用。

處理方案：黑客主動歸還了價值約310萬美元代幣，價值約20萬美元的資金在中心化交易所被凍結，剩余價值約50萬美元的資金損失由DODO團隊承擔。

5、PaidNetwork

損失金額：約300萬美元

簡述：3月6日，DeFi協議PaidNetwork因合約漏洞被攻擊，攻擊者鑄造價值近1.6億美元的PAID代幣，并出售獲得2000ETH。

處理方案：重新啟動代幣合約的部署，并向黑客攻擊后四小時內交易的用戶空投PAIDV2代幣。

4、Furucombo

損失金額：1500萬美元

簡述：2月28日，DeFi收益聚合協議Furucombo智能合約出現嚴重漏洞，攻擊者使用假合約混淆FuruсomboProxy，利用漏洞盜取超過1500萬美元ETH和其他ERC-20代幣，并轉移到自己的錢包地址。

處理方案：Furucombo創建賠償池并分配500萬COMBO代幣，并向受影響的用戶發出500萬iouCOMBO代幣，該代幣將在360天內線性解鎖，該代幣持有者可以在償還池中申領COMBO。

3、AlphaFinance

損失金額：3750萬美元

簡述：2月13日，跨鏈DeFi平臺AlphaFinance遭到攻擊，由于該項目集成了CreamFinance的無抵押貸款功能，黑客利用該功能漏洞使用閃電貸從CreamFinance處盜取了約3750萬美元。

處理方案：AlphaFinance將攻擊者存入AlphaHomoraV2與CreamV2部署器合約的2000ETH支付欠款，并承諾使用AlphaHomoraV1和V2儲備金的20%償還剩余的資金，按月向CreamV2IronBank支付，直至新增債務全部還清。

2、BT.Finance

損失金額：150萬美元

簡述：2月9日，智能收益聚合器BT.Finance遭受閃電貸攻擊，受影響的策略包括ETH、USDC和USDT。

處理方案：CoverProtocol向該項目賠付了黑客攻擊中損失的140906枚DAI的60%。

1、YearnFinance

損失金額：1100萬美元

簡述：2月5日，YearnFinancev1版本的yDAI機槍池漏洞被黑客利用，損失1100萬美元，該名攻擊者總共獲得51.3萬DAI、170萬USDT和50.6萬3CRV。據Certik安全技術團隊分析，此次攻擊事件是黑客通過閃電貸獲得攻擊啟動資金，并利用Yearn項目代碼漏洞完成。

處理方案：Yearn官方使用YFI創建MakerCDP并彌補赤字，并將通過協議費予以彌補。同時，CoverProtocol、NexusMutual等DeFi保險協議相Yearn理賠了部分損失。

Tags：ANCFINNCEFINAGalaxy FinanceHillstone FinanceSNCESolrise Finance

歐易交易所app下載