主页 > 苹果手机如何下载imtoken > DeFi遭黑客洗劫:1个月3个项目被盗,1个项目被盗659万美元
DeFi遭黑客洗劫:1个月3个项目被盗,1个项目被盗659万美元
文字 | 比萨灵儿
近期,三个DeFi项目陆续遭遇黑客攻击,资产被盗,震惊业界。
仅其中一个平台就损失了 659 万美元。
这不是一个孤立的现象。 仅 2020 年 2-3 月期间,DeFi 领域就发生了 6 起安全事件,造成的损失超过 150 万美元。
于是,DeFi 被推上了风口浪尖。 有用户开玩笑说,频繁被盗的DeFi成了黑客的提款机。
DeFi背后存在哪些漏洞,给黑客可乘之机? 安全隐患缠身的DeFi,未来路在何方?
01 被盗
4 月 21 日,DeFi 平台 PegNet 遭遇 51% 攻击。
PegNet 是一个去中心化的交易平台,用户可以在其中交易 42 种不同的资产。
同日,PegNet 核心开发者在网上表示usdt被骗了,4 名矿工控制了 70% 的算力,人为抬高了与日元挂钩的稳定币价格,从而将 11 美元的钱包变成了 670 万美元的钱包。
结果,黑客获利659万美元。
幸运的是,该平台其他用户的资金没有丢失。
这已经是近期DeFi领域发生的第三起安全事件。
4 月 19 日上午,DeFi 项目 Lendf.Me 在区块高度 9899681 遭到黑客攻击,价值近 2500 万美元的资产被卷走。
链上数据显示,黑客通过滚雪球的方式转移了多笔资产,每笔交易的金额都比上一笔翻了一番。
盗币攻击立即触发链上数据变更。 根据 DeFi Pulse 数据,24 小时内,Lendf.Me 开发商 dForce 的锁仓资产迅速暴跌,仅剩 6 美元。
DeFi Pulse数据显示lendf.Me锁仓资产跌至6美元
与此同时,投资者发现Lendf.Me上的资金使用率高达99%,imBTC更是达到了100%。 几乎所有可借资产的贷款利率都居高不下。
Lendf.Me 网站很快被关闭。 开发团队在用户界面用红字提醒用户不要充值到合约地址。
奇怪的是,就在所有人都认为损失无法挽回时,事态却发生了逆转。
4月19日晚上10点左右,黑客开始陆续向lendf.Me返还资产,并加上“Better future”字样,似乎是在给平台一个警告。
4 月 21 日下午,北京 Chainsmap 监控系统发现,黑客向平台返还了几乎所有被盗代币,包括 57,992 ETH、425.61 MKR、137,000 DAI、500,000 USDT、252.34 imBTC 等。
Lendf.Me在此次事件中被盗的所有资产均已追回。
为什么黑客要归还所有资产?
4 月 22 日,dForce 公布了事件详情,人们似乎发现了原因:
安全团队通过黑客留下的痕迹和国内外各方资源,获得突破性线索。 黑客可能不得不在包括警方在内的各方压力下自愿归还资产。
在 Lendf.Me 被盗的前一天,以太坊上的 DeFi 项目 Uniswap 交易所也遭到了黑客攻击。
本次硬币盗窃事件的攻击方式与Lendf.Me盗窃事件如出一辙:黑客采用了“重入攻击”。
Lendf.Me 和 Uniswap 都是 DeFi 界的“网红”,被盗,或许是因为它们是大树招风。
Lendf.Me 是 dForce 开发的去中心化借贷项目。 它于去年9月推出,半年多后成为最大的法币稳定币借贷协议。
盗窃前四天,刚刚获得Multicoin Capital、火币资本和招银国际150万美元的战略投资。
截至发稿,Uniswap以4160万美元的锁仓资产位列DeFi锁仓榜第四位。
DeFi锁仓资产排行榜 来源:DeFi Pulse官网
因为这些盗币事件,DeFi陷入了前所未有的信任危机。
02 黑客ATM
这不是 DeFi 第一次关注安全危机。
2020年2月至3月,DeFi领域共发生6起安全事件,其中2月4起,3月2起,总损失超过150万美元。
由于安全事件频发,DeFi项目开始被投资者戏称为“黑客提款机”。
这剂药曾被视为解决传统金融问题的“良药”,却逐渐成为受害人口中的“毒药”。
是什么让 DeFi 如此容易受到黑客攻击?
“在创建和开发复杂系统的过程中,安全事件是不可避免的。” 原力协议和 ForTube 的联合创始人雷宇告诉易本区块链。
他认为,在DeFi领域,发生安全事件的原因有很多,包括开发团队技术积累不足,以及DeFi应用的可组合性导致的局部风险放大。
区块链安全公司PeckShield的品牌总监郝田也持类似观点。
“DeFi 产品具有高度可组合性,可以实现不同 DeFi 产品之间的流动性和资产共享,但由于业务逻辑的差异,产品组合可能存在一些 0day(零日)漏洞。” 昊天告诉区块链。
零日usdt被骗了,最早出现在战争中——一种可以大规模毁灭世界的事物所引发的危机,被称为零日危机。 世界毁灭后,重新建立新文明的第一天是0day。
此后,在黑客文化中,一些大规模的、致命的、高威胁的、能够造成巨大破坏的漏洞也被称为零日漏洞。
昊天认为,DeFi领域安全事件频发还有另外两个原因。
首先,DeFi 协议目前主要从事资产托管或借贷和理财服务。 他们管理着大量的用户资产,而且都是开源的,很容易吸引黑客。
其次,很多开发者低估了漏洞的风险——目前主流的 DeFi 协议都是基于以太坊网络,过去在以太坊出现过的各种漏洞可能会再次出现在 DeFi 上。
除了存在安全隐患,市面上也存在一些虚假的DeFi项目。
以爱糯米社区为例。
“爱糯米社区打着DeFi的口号吸引用户,但其主要业务是数字货币理财:将用户的资产带到其他交易所进行理财,然后向用户支付利息。” 币圈玩家张鹏告诉易本区块链。
爱糯米社区APP开放金融接口,主要推广量化理财产品。 UniSwap 去中心化交易所只有一款 DeFi 产品,功能是将 ETH 兑换成 DAI。
爱糯米社区APP界面
今年2月,FCoin崩盘,爱糯米社区的假DeFi真面目也被揭穿。 艾糯米有一部分资金在FCoin参与挖矿。 FCoin崩盘后,这部分资金是无法提取的。
“我是被DeFi看上的,没想到最后玩的是量化理财,虽然平台退了本金,但我还是觉得被骗了。” 张鹏说道。
03 未来是什么?
DeFi又称“开放金融”,从业者将其比作传统金融的平行世界。
曾几何时,它被认为是区块链发展史上继比特币之后的第二次突破。
“DeFi 的目标是建立一个透明的金融体系。” 区块链行业从业者卢志强告诉易本区块链。
这个系统对所有人开放,不需要许可,也不需要依赖第三方机构来完成金融需求。 传统金融也可以与DeFi融合,相得益彰。
DeFi一经诞生,便引起了大家的关注。 在公链、DAPP等区块链应用被证伪后,DeFi成为区块链从业者凝聚共识的新战场。
DeFi 产业地图
区块链数据平台DAppTotal数据显示,2019年,DeFi借贷市场实现快速发展,行业龙头项目MakerDAO的ETH锁仓量增长25.66%。 另一个借贷平台 Compound 也是如此,其锁定资产在一年内翻了两番。
DAI成为DeFi借贷市场的流通之王,USDC成为新兴稳定币市场增长最快的新兴稳定币。
DeFi 看起来是以太坊的杀手级应用。
各大公链也跃跃欲试。 Polkadot和Cosmos在2019年开始自建DeFi生态,国内公链Conflux也宣布将自建DeFi生态。
但一切并没有那么简单。 今天,很多人的态度都发生了动摇。
在 Lendf.Me 被盗事件发生后的第二天,HelloEOS 创始人子岑发文称 DeFi“无法证明它不是毒药”。
BlockVC创始合伙人徐英凯指出,DeFi是被“爆出”的三大区块链应用骗局之一。
今年的“3月12日”事件让DeFi损失惨重。 再加上DeFi项目被盗事件频发,很多人开始意识到DeFi并没有想象中那么安全。
“DeFi领域将和去年的DApp领域一样,成为黑客的重灾区。” 昊天表示,DeFi开发者不要掉以轻心。
不管怎样,还是有很多从业者对DeFi的未来充满希望。
黑客的注视会给 DeFi 带来压力,但也会鼓励后者建立坚实的安全城市。
“从另一个角度来看,黑客攻击也是一个契机,可以促进整个行业更健康、更安全的发展。” 雷宇说道。
DeFi就像一个刚出生的婴儿,人们不知道它的未来会是什么样子。
它会创造一个全新的金融世界吗?
是杠杆骗局吗?
不妨把答案留给时间。
*本文部分受访者为化名。