时间:2021-12-24|浏览:305
区块链作为过去十年最伟大的技术发展之一,除了为传统金融、跨境支付与结算、供应链、征信与反欺诈、用户隐私等应用领域带来革新性进展外,受区块链原生思想、文化而孕育出的去中心化金融(DeFi)以颠覆者的形象崛起,旨在构建一个无需第三方、公平自主、对所有人开放的金融体系。DeFi被认为具有无限活力和可能,有望重构金融交易和服务模式,在经历了2年多的蛰伏期后,DeFi于2020年6月底爆发,迅速发展壮大,成了当前区块链世界备受瞩目、金融领域落地最大,也是采用率最高的应用之一。但随着DeFi短时间内吸引了成百上千万资金,也让它们成为了大量黑客攻击的目标,链上安全事故频发。
据公开资料显示,2020年DeFi攻击事件达到了60起,损失逾2.5亿美元,其中至少10起为闪电贷攻击,包括bZx、Balancer、Harvest、Akropolis、Cheese Bank、Value DeFi和Origin Protocol等多个DeFi项⽬遭到攻击。
尽管仍有近2个月的时间2021年才宣告结束,但据OKLink不完全统计,截至11月7日,2021年年初至今已经发生了82起链上安全问题,初始被盗资金约18.16亿美元,但其中约有7亿美元已经归还,被盗资金的总额达到了11.16亿美元。
与2020年对比明显的除了攻击事件显著增多外,单个项目被盗金额在量级上也有了显著提升。据Rekt排行榜显示,前十大DeFi黑客攻击事件中,仅有1起发生在2020年。排名前三的分别是Poly Network(6.11亿美元)、Compound(1.47亿美元)以及Cream Finance(1.3亿美元)。
其中仅Poly Network被盗资金就超过了2020年全年,不过好在攻击该项目的黑客事后已归还全部被盗资金。最近一次大规模的攻击,当属于10月28日Cream Finance遭受到的闪电贷攻击,损失超过1.3亿美元,被盗的资金主要是Cream LP代币和其他ERC-20代币。据了解,这并非是Cream Finance遭受的初次攻击,去掉本次,仅2021年,Cream Finance就因闪电贷、合约漏洞亦或是被其他DeFi项目连带影响,就已经遭受了3次攻击,损失共计5,740万美元。
从2021年年初至今的82起安全事件中,我们发现闪电贷是黑客最常用的手段,占到了33起,其次是合约漏洞,共27起。此外,因激励机制变更、私钥或助记词泄露(保管不当)等因素也会导致黑客攻击。接下来,我们将结合具体案例,为大家展现。
Cream Finance再遭闪电贷攻击,损失1.3亿美元
10月27日,DeFi借贷协议Cream Finance遭到闪电贷攻击,攻击者从C.R.E.A.M. Ethereum v1市场取走约1.3亿美元代币。
闪电贷是指不需要抵押资产,在同一个区块内完成借款、还款的一种贷款方式。需要说明的是,闪电贷本身只是一种工具,没有好坏之分,但因为闪电贷不时出现在与DeFi暴雷相关的新闻中,因此在很多不明就里的人眼中,闪电贷似乎成为了恶意攻击者的帮凶,这其实是对闪电贷的误解。
事实上,闪电贷甚至可以称得上是智能合约上的一个伟大创新。由于DeFi存在结构性缺陷,所以在大多数抵押借贷协议里都要求用户超额质押资产,这就意味着资金利用率会变得十分低下。闪电贷的出现,大大降低了资金成本,用户可以在不需要任何抵押借款的情况下,只需付出极小的手续费(如AAVE上的闪电贷手续费仅为 0.09%),就能获得巨额的资金,用户在借到款后,可以利用借到的资金进行其他操作,在交易结束时,只需将借款及手续费及时归还,否则该笔交易就会回滚,犹如什么都没有发生过,因此它可以用于套利、交换抵押品和自我清算等。
针对此次Cream Finance攻击,攻击者从MakerDAO闪电贷借出5亿枚DAI,接着质押兑换成4.51亿枚yDAI,再将yDAI在Curve ySwap中添加流动性获得4.47亿枚
用戶喜愛的交易所
已有账号登陆后会弹出下载