DeFi遭黑客洗劫：1个月3个项目被盗，1个项目被盗659万美元

文字 | 比萨灵儿

近期，三个DeFi项目陆续遭遇黑客攻击，资产被盗，震惊业界。

仅其中一个平台就损失了 659 万美元。

这不是一个孤立的现象。 仅 2020 年 2-3 月期间，DeFi 领域就发生了 6 起安全事件，造成的损失超过 150 万美元。

于是，DeFi 被推上了风口浪尖。 有用户开玩笑说，频繁被盗的DeFi成了黑客的提款机。

DeFi背后存在哪些漏洞，给黑客可乘之机？ 安全隐患缠身的DeFi，未来路在何方？

01 被盗

4 月 21 日，DeFi 平台 PegNet 遭遇 51% 攻击。

PegNet 是一个去中心化的交易平台，用户可以在其中交易 42 种不同的资产。

同日，PegNet 核心开发者在网上表示usdt被骗了，4 名矿工控制了 70% 的算力，人为抬高了与日元挂钩的稳定币价格，从而将 11 美元的钱包变成了 670 万美元的钱包。

结果，黑客获利659万美元。

幸运的是，该平台其他用户的资金没有丢失。

这已经是近期DeFi领域发生的第三起安全事件。

4 月 19 日上午，DeFi 项目 Lendf.Me 在区块高度 9899681 遭到黑客攻击，价值近 2500 万美元的资产被卷走。

链上数据显示，黑客通过滚雪球的方式转移了多笔资产，每笔交易的金额都比上一笔翻了一番。

盗币攻击立即触发链上数据变更。 根据 DeFi Pulse 数据，24 小时内，Lendf.Me 开发商 dForce 的锁仓资产迅速暴跌，仅剩 6 美元。

DeFi Pulse数据显示lendf.Me锁仓资产跌至6美元

与此同时，投资者发现Lendf.Me上的资金使用率高达99%，imBTC更是达到了100%。 几乎所有可借资产的贷款利率都居高不下。

Lendf.Me 网站很快被关闭。 开发团队在用户界面用红字提醒用户不要充值到合约地址。

奇怪的是，就在所有人都认为损失无法挽回时，事态却发生了逆转。

4月19日晚上10点左右，黑客开始陆续向lendf.Me返还资产，并加上“Better future”字样，似乎是在给平台一个警告。

4 月 21 日下午，北京 Chainsmap 监控系统发现，黑客向平台返还了几乎所有被盗代币，包括 57,992 ETH、425.61 MKR、137,000 DAI、500,000 USDT、252.34 imBTC 等。

Lendf.Me在此次事件中被盗的所有资产均已追回。

为什么黑客要归还所有资产？

4 月 22 日，dForce 公布了事件详情，人们似乎发现了原因：

安全团队通过黑客留下的痕迹和国内外各方资源，获得突破性线索。 黑客可能不得不在包括警方在内的各方压力下自愿归还资产。

在 Lendf.Me 被盗的前一天，以太坊上的 DeFi 项目 Uniswap 交易所也遭到了黑客攻击。

本次硬币盗窃事件的攻击方式与Lendf.Me盗窃事件如出一辙：黑客采用了“重入攻击”。

Lendf.Me 和 Uniswap 都是 DeFi 界的“网红”，被盗，或许是因为它们是大树招风。

Lendf.Me 是 dForce 开发的去中心化借贷项目。 它于去年9月推出，半年多后成为最大的法币稳定币借贷协议。

盗窃前四天，刚刚获得Multicoin Capital、火币资本和招银国际150万美元的战略投资。

截至发稿，Uniswap以4160万美元的锁仓资产位列DeFi锁仓榜第四位。

DeFi锁仓资产排行榜 来源：DeFi Pulse官网

因为这些盗币事件，DeFi陷入了前所未有的信任危机。

02 黑客ATM

这不是 DeFi 第一次关注安全危机。

2020年2月至3月，DeFi领域共发生6起安全事件，其中2月4起，3月2起，总损失超过150万美元。

由于安全事件频发，DeFi项目开始被投资者戏称为“黑客提款机”。

这剂药曾被视为解决传统金融问题的“良药”，却逐渐成为受害人口中的“毒药”。

是什么让 DeFi 如此容易受到黑客攻击？

“在创建和开发复杂系统的过程中，安全事件是不可避免的。” 原力协议和 ForTube 的联合创始人雷宇告诉易本区块链。

他认为，在DeFi领域，发生安全事件的原因有很多，包括开发团队技术积累不足，以及DeFi应用的可组合性导致的局部风险放大。

区块链安全公司PeckShield的品牌总监郝田也持类似观点。

“DeFi 产品具有高度可组合性，可以实现不同 DeFi 产品之间的流动性和资产共享，但由于业务逻辑的差异，产品组合可能存在一些 0day（零日）漏洞。” 昊天告诉区块链。

零日usdt被骗了，最早出现在战争中——一种可以大规模毁灭世界的事物所引发的危机，被称为零日危机。 世界毁灭后，重新建立新文明的第一天是0day。

此后，在黑客文化中，一些大规模的、致命的、高威胁的、能够造成巨大破坏的漏洞也被称为零日漏洞。

昊天认为，DeFi领域安全事件频发还有另外两个原因。

首先，DeFi 协议目前主要从事资产托管或借贷和理财服务。 他们管理着大量的用户资产，而且都是开源的，很容易吸引黑客。

其次，很多开发者低估了漏洞的风险——目前主流的 DeFi 协议都是基于以太坊网络，过去在以太坊出现过的各种漏洞可能会再次出现在 DeFi 上。

除了存在安全隐患，市面上也存在一些虚假的DeFi项目。

以爱糯米社区为例。

“爱糯米社区打着DeFi的口号吸引用户，但其主要业务是数字货币理财：将用户的资产带到其他交易所进行理财，然后向用户支付利息。” 币圈玩家张鹏告诉易本区块链。

爱糯米社区APP开放金融接口，主要推广量化理财产品。 UniSwap 去中心化交易所只有一款 DeFi 产品，功能是将 ETH 兑换成 DAI。

爱糯米社区APP界面

今年2月，FCoin崩盘，爱糯米社区的假DeFi真面目也被揭穿。 艾糯米有一部分资金在FCoin参与挖矿。 FCoin崩盘后，这部分资金是无法提取的。

“我是被DeFi看上的，没想到最后玩的是量化理财，虽然平台退了本金，但我还是觉得被骗了。” 张鹏说道。

03 未来是什么？

DeFi又称“开放金融”，从业者将其比作传统金融的平行世界。

曾几何时，它被认为是区块链发展史上继比特币之后的第二次突破。

“DeFi 的目标是建立一个透明的金融体系。” 区块链行业从业者卢志强告诉易本区块链。

这个系统对所有人开放，不需要许可，也不需要依赖第三方机构来完成金融需求。 传统金融也可以与DeFi融合，相得益彰。

DeFi一经诞生，便引起了大家的关注。 在公链、DAPP等区块链应用被证伪后，DeFi成为区块链从业者凝聚共识的新战场。

DeFi 产业地图

区块链数据平台DAppTotal数据显示，2019年，DeFi借贷市场实现快速发展，行业龙头项目MakerDAO的ETH锁仓量增长25.66%。 另一个借贷平台 Compound 也是如此，其锁定资产在一年内翻了两番。

DAI成为DeFi借贷市场的流通之王，USDC成为新兴稳定币市场增长最快的新兴稳定币。

DeFi 看起来是以太坊的杀手级应用。

各大公链也跃跃欲试。 Polkadot和Cosmos在2019年开始自建DeFi生态，国内公链Conflux也宣布将自建DeFi生态。

但一切并没有那么简单。 今天，很多人的态度都发生了动摇。

在 Lendf.Me 被盗事件发生后的第二天，HelloEOS 创始人子岑发文称 DeFi“无法证明它不是毒药”。

BlockVC创始合伙人徐英凯指出，DeFi是被“爆出”的三大区块链应用骗局之一。

今年的“3月12日”事件让DeFi损失惨重。 再加上DeFi项目被盗事件频发，很多人开始意识到DeFi并没有想象中那么安全。

“DeFi领域将和去年的DApp领域一样，成为黑客的重灾区。” 昊天表示，DeFi开发者不要掉以轻心。

不管怎样，还是有很多从业者对DeFi的未来充满希望。

黑客的注视会给 DeFi 带来压力，但也会鼓励后者建立坚实的安全城市。

“从另一个角度来看，黑客攻击也是一个契机，可以促进整个行业更健康、更安全的发展。” 雷宇说道。

DeFi就像一个刚出生的婴儿，人们不知道它的未来会是什么样子。

它会创造一个全新的金融世界吗？

是杠杆骗局吗？

不妨把答案留给时间。

*本文部分受访者为化名。