被盜約1700萬美元 DeFi 世界的樂高Dego Finance就這樣“塌了”嗎？_DEG

2月10日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DeFi應用DegoFinance遭到黑客攻擊，UniSwap和PancakeSwap上的DEGO流動性已被耗盡。關于本次攻擊，成都鏈安技術團隊第一時間進行了資金流向分析。

事件概覽

據悉，DegoFinance于2020年9月啟動，以打造可持續性和實用性的NFT生態系統為目標，打造了NFT+DeFi平臺。有人說，在DeFi的世界里，DEGO就相當于樂高。將每一個DeFi協議當作是一塊磚，包括穩定幣(DAI)、借貸?(Aave,Compound)、去中心化交易所DEX(UniswapandBalancer)、衍生品(Synthetix)和保險(NexusMutual)等等。

2月10日，DegoFinance官方推特發布公告稱被黑客攻擊，DeFi世界的樂高就這樣“塌了”！

Easyfi遭受黑客攻擊，被盜600萬美元穩定幣以及298萬個EASY代幣:Easyfi.network創始人兼CEO Ankitt Gaur在推特上表示：“4月19日，我們的團隊成員向我報告稱，有大量EASY代幣從EasyFi官方錢包大量轉移到以太坊網絡和Polygon網絡上未知錢包。 這些交易很快引起我注意，因為管理這些代幣的計算機至少一周未使用且完全離線，因此可能有人攻擊了管理密鑰或助記詞。我迅速響應事件，采取了所有必要的預防措施和行動以減少損失。最終，黑客成功獲取了管理員密鑰，并從協議池中以USD / DAI / USDT形式轉移了600萬美元的現有流動資金，并將298萬個EASY代幣轉移到了黑客自己的錢包中，地址：0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37。”[2021/4/20 20:38:56]

庫幣安全事件更新：SNTR將更換合約，約789億被盜SNTR將被替換追回:Silent Notary于推特上表示，針對此次庫幣熱錢包異常轉賬事件，Silent Notary將配合庫幣開展SNTR代幣合約升級，升級完成后，789億被盜SNTR（約10萬美金）將被替換追回。[2020/9/27]

本次攻擊涉及多個賬戶地址私鑰泄露，黑客利用私鑰提取了多個鏈上的資產，具體分析請接著往下閱讀。

事件具體分析

我們以ETH鏈上攻擊為例，對Dego項目方其中一個地址的資金流向做了詳細分析。

首先，項目方私鑰泄露的DEGO.Finance:Deployer地址為：

0x20FE4B1eD95911487499e53355BB8f14a881D735

加密貨幣交易所Bisq被盜 損失3個BTC和4000個XMR:昨日下午，加密貨幣交易所Bisq宣布因“嚴重的安全漏洞”而暫停交易。夜間，Bisq再次發布公告，詳細解釋了所謂的“嚴重安全漏洞”，公告稱：“大約24小時前，我們發現攻擊者可以利用Bisq交易協議中的一個缺陷，針對單筆交易來竊取交易資金。我們已知有7名受害者損失了約3個BTC和4000個XMR。唯一受影響的交易對為XMR/BTC，所有受影響的交易都發生在過去12天內。交易協議中的缺陷已經在Bisq v1.3.0中得到了修正，該版本現已發布。”[2020/4/9]

攻擊者地址為：

0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91

攻擊者通過私鑰，使用minter權限分別向DEGO.Finance:Deployer賬戶和0x118賬戶鑄造了592,582.35個dego代幣。

動態 | 安全專家推出新工具幫助開發人員發現泄密文件 避免公共代碼庫用戶私鑰被盜:10月17日，程序員和安全專家Paul Price推出新工具Shhgit，可以幫助開發人員實時發現任何意外泄露的機密，給開發人員事件刪除任何敏感信息，如GitHub代碼庫中用戶私鑰等，以免黑客竊取任何人的私人信息。（Cointelegraph）[2019/10/30]

之后移除ETH-dego交易池的流動性。

攻擊者通過DEGO.Finance:Deployer賬戶移除流動性獲取了269,502個dego代幣和378個ETH。

然后將DEGO.Finance:Deployer賬戶獲取的378個ETH轉給了0x118地址。

同時，該黑客轉移原本屬于項目方地址的441個yvWETH給0x118地址。

此時0x118賬戶上有獲利的750.37個ETH和其他轉入的7.10個ETH一共757.4個。

截止目前發文，在Ethereum鏈上，攻擊者在0x118地址將441個yvWETH轉入Zapper.Fi:YearnyVaultZapOut兌換了445個ETH，獲取共1202個ETH，轉入Tornado.Cash:Proxy400ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入202個ETH。

在Cronos鏈上，在0x118地址獲取了196256.7個USDT和199401.9個USDCoin，還未轉出。

在BSC鏈上，獲取3736.17個BNB，通過代幣兌換獲取9188個BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址轉入了12,741個BNB。

三條鏈上0x118地址總計約17,627,676美元，目前，官方稱正在調查原因并試圖挽回損失。

隨著DeFi的不斷發展，DeFi項目的安全問題也愈發緊急。對比于傳統金融，DeFi的底層靠的是智能合約，本質上是程序，程序擁有傳統金融不可比擬的高效性和便捷性，但也存在傳統金融無需考慮的代碼漏洞問題。所以成都鏈安建議大家，對未公開智能合約和審計報告的項目，要保持警惕。

Tags：DEGOETHDEGEGOdandy.degoEthash MinerDegen Protocoldego幣能漲到多少錢

世界幣