NAN:2021年DeFi安全事故全纪录（6月23日更新）

31、?ElevenFinance?

损失金额：460万美元

简述：6月23日，基于BSC的收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。此次攻击源于ElevenFinance的Emergencyburn计算余额错误，且未执行销毁机制，攻击者获利近460万美元。此攻击者与ImpossibleFinance攻击者是同一位。

30、impossibleFinance

损失金额：50万美元

简述：6月21日，基于BSC的DeFi项目ImpossibleFinance遭遇闪电贷攻击。由于?cheapSwap函数中未进行K值检查，攻击者可以通过在一次兑换过程中进行多次兑换操作以获得额外的代币。

处理方案：所有在攻击前向流动性池充值的用户获得100%的补偿。

29、VisorFinance

损失金额：50万美元

简述：6月20日，基于UniswapV3的DeFi项目VisorFinance遭遇攻击，Hypervisor在攻击期间遭到了破坏，使得攻击者获得了一个管理帐户的访问权限，能够从尚未存入流动性提供者头寸的存款中提取资金。

处理方案：官方则用资金库支付用户50万美元损失。

28、Alchemix

损失金额：866万美元

简述：6月16日，未来收益代币化协议Alchemix的alETH合约出现安全问题，由于alETH池脚本部署错误，用户在以4：1的抵押比例借出alETH后却没有待偿还债务，并且近2000个ETH的债务上限被释放出来，可以再次铸造新的alETH，加之Alchemix在金库数组中使用了错误的索引，迫使transmuter支持协议机制中资金被完全送去偿还用户的债务。

27、PancakeHunny

损失金额：10万美元

简述：6月3日，基于BSC的PancakeHunny项目遭遇黑客攻击。在本次被黑事件中，黑客采取的攻击手法大体上与此前攻击PancakeBunny近似，均是在短时间内增发大量的代币并抛向市场，并引起了HunnyToken币价暴跌。

数据：五位字符以上的ENS注册量在2022年第三季度创下历史新高:金色财经报道，据Messari数据显示，五位字符以上的ENS域名注册量在2022年第三季度创下历史新高。[2022/10/31 11:59:56]

26、BurgerSwap

损失金额：约700万美元

简述：5月28日，BSC的AMM项目BergerSwap遭到闪电贷攻击，被盗超过432874个BURGER，攻击者从PancakeSwapWBNB-BUSDT资金池中通过闪电贷借出6,047.13WBNB；然后在BurgerSwap中，将6,029WBNB兑换为92,677BURGER，并创造假币进行攻击。

25、Julswap

损失金额：700万美元

简述：5月28日，基于BSC的AMM项目Julswap遭到闪电贷攻击，攻击者通过闪电贷借到70000个JULB代币，然后调用JULB-WBNB的交易对进行兑换得到1400个BNB，随后攻击合约调用JulProtocolV2合约函数进行抵押挖矿。最后把这些WBNB转入钱包地址，完成了闪电贷套利。

处理方案：更新版本并回购JULB代币用于补偿用户。

24、Merlin

损失金额：约68万美元

简述：5月26日，BSC生态自动收益聚合器Merlin遭到黑客攻击，由于该项目getReward代码的存在漏洞，大量的CAKE代币被手动转移到Vault合约中，共导致了约59,000个MERL增发，并通过出售获得240个ETH。

处理方案：团队将向用户空投补偿代币cMERL，该代币持有者将能够从补偿池中获得BNB奖励。同时，额外的开发团队资金将被用于执行燃烧和回购活动，以恢复代币价格。

23、AutoSharkFinance

损失金额：约82万美元

简述：5月25日，基于BSC的固定利率协议AutoSharkFinance遭到闪电贷攻击，在LP价值错误和手续费获取数量错误的情况下，SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值，导致SharkMinter合约给攻击者铸出了大量的SHARK代币，致使其币价闪崩，从1.2美元快速跌至0.01美元，攻击者获利月82万美元。

以太坊基金会启动2022年L2社区捐赠计划，本轮拨款75万美元:10月25日消息，以太坊基金会宣布2022年Layer2社区捐赠计划，本轮拨款总额高达750,000美元，以资助、鼓励围绕第2层应用程序和教育的研究和开发，包括研究L2指标、多层块浏览器、Rollup以及教育更多用户使用L2等。拨款申请窗口从2022年10月24日开始为期6周，并于2022年12月5日关闭。[2022/10/25 16:37:39]

处理方案：官方表示将发行新代币JAWS补偿受损用户。

22、BoggedFinance

损失金额：300万美元

简述：5月23日，基于BSC的聚合交易平台BoggedFinance官方表示，黑客对BOG代币合约质押功能漏洞进行了闪电贷攻击，黑客利用PancakePairSwap代码，在合约验证完成前即提取了质押收益，导致铸造了超过1500万个BOG代币，这些代币大部分原本将分配给了BOG的质押者。

处理方案：发行新币并将被盗BOG代币返还给质押用户。

21、PancakeBunnny

损失金额：约4200万美元

简述：5月20日，基于BSC的DeFi收益聚合器PancakeBunny遭遇闪电贷攻击，损失114631枚BNB和697245枚BUNNY，后者被黑客大量铸造并抛售，价格从240美元闪崩，一度跌破2美元。根据CertiK安全团队的调查，由于PancakeBunny使用PancakeSwapAMM来进行资产价格计算的，因此黑客恶意利用了闪电贷来操纵AMM池的价格，并利用Bunny在铸造代币的时候计算上的问题成功完成攻击。

处理方案：PancakeBunny将通过发行新代币pBUNNY并创建补偿池，补偿BUNNY原始持有者由于代币价格大跌造成的损失。

20、Venus

损失金额：超1亿美元

简述：5月18日晚间，基于BSC的DeFi借贷平台Venus代币XVS被巨鲸拉涨翻倍，之后以XVS为抵押资产借走并转移出去价值上亿美元的BTC和ETH，此后抵押资产XVS价格大跌并面临清算，但由于XVS市场流动性不足系统未能及时清算，导致Venus出现上亿美元的巨额亏空。

BSN将于2021年整合稳定币:区块链服务网络（BSN）将于2021年整合稳定币。北京红枣科技创始人何亦凡称，稳定币将使公共城市节点提供者与BSN门户之间实现立即结算，但目前尚未决定将哪种稳定币纳入该项目。（Cointelegraph）[2020/8/24]

处理方案：Venus向外部机构出售部分XVS代币以弥补平台亏损。

19、FinNexus

损失金额：700万美元

简述：5月17日，链上期权协议FinNexus遭遇黑客攻击，该黑客渗入并设法恢复了FNX代币合约管理者的私钥，攻击者铸造了超过3.23亿枚FNX，然后在中心化和去中心化交易所中出售，导致价格暴跌。

处理方案：FinNexus团队表示将发行新币并按1比1补偿给所有在黑客入侵之前持有FNX的用户；DEX上的流动性提供者因遭受更高的损失将获得额外的补偿。

18、bEarnFi

损失金额：约1086万美元

简述：5月16日，基于BSC的跨链DeFi协议bEarnFi其bVaults的BUSD-Alpaca策略遭遇闪电贷攻击，池中近1086万枚BUSD被耗尽。

处理方案：bEarnFi表示将创建一个补偿基金，由剩余的储蓄资金、开发资金、DAO资金和协议产生的一部分费用组成，之后将对余额进行快照以部署补偿合约。

17、EOSNation

损失金额：1500万美元

简述：5月14日，EOSNation闪电贷智能合约遭受到重入攻击，相继有约120万枚EOS和46.2万枚USDT被盗。

处理方案：flash.sx称，损失的所有资金都在eosio.prods的安全控制下，已发起提案更改黑客EOS账户权限，通过后会将资金返还给用户。

16、xToken

损失金额：约2500万美元

简述：5月13日，DeFi质押和流动性策略平台xToken遭到闪电贷攻击，xBNTaBancor池以及xSNXaBalancer池流动性被立即被耗尽，造成约2500万美元损失，

声音 | Mythos Capital创始人：在2024年减半之前 ETH发行量可能会低于BTC发行量:金色财经报道，ETHHub创始人Eric Conner更新了以太坊历史和未来的发行率图表。Mythos Capital创始人Ryan Sean Adams转发并评论称，在2024年（比特币）减半之前，ETH发行量可能会低于BTC发行量。[2020/2/4]

处理方案：xToken团队表示计划将XTK供应总量的2％用于弥补被盗损失。

15、RariCapital

损失金额：1400万美元

简述：5月8日，DeFi智能投顾协议RariCapital其ETH资金池出现了一个因集成AlphaFinanceLab协议而导致的漏洞，击者通过部署一个辅助合约操控ibETH中ibETHToken的价格，导致Rari遭受1400万美元的巨额损失。

处理方案：RariCapital将把用来扩大团队规模的200万枚预留RGT归还给DAO，用来补偿受攻击影响用户和奖励贡献者。

14、ValueDeFi

损失金额：两次共计1500万美元

简述：基于以太坊与BSC的DeFi协议ValueDeFi在5月5日和5月7日分别遭受两次攻击，第一次攻击源于ValueDeFi的ProfitSharingRewardPool合约出现代码漏洞，其vStake池子受影响，共损失超20万枚BUSD和8790枚BNB；第二次攻击源于ValueDeFi的vSwap合约出现代码漏洞，IRONFinance的部分池和产品受到攻击。

处理方案：团队将使用保险基金中的8,530VALUE和多签中的122,463VALUE，共计130994VALUE进行补偿，其余251702VALUE将使用团队的VALUE进行补偿。

13、Spartan

损失金额：3000万美金

简述：5月2日，基于BSC的合成资产协议SpartanPoolsV1被攻击，由于流动性份额计算不当的漏洞，攻击者从资金池中转移了约3000万美元的资金。

动态 | 比特币可能会在2020年5月前升至6万美元:加密货币研究公司Digital Asset research最近发布了一种新的比特币价格预测模型。它大胆宣称，基于稀缺性的前提，比特币的价格将在2020年5月达到6万美元，其市值超过一万亿美元。该模型参考之前的价格波动来预测未来的价格波动。它的基础是BTC区块奖励减半，将于2020年5月到期。这通常是牛市的事件，其效果是增加了人们对供应减少的看法，而供应减少反过来又会增加需求，推高价格。[2019/8/21]

处理方案：发行新的SPARTA代币，并将原本未发行的2000万枚代币补偿此前因攻击遭受损失的资金池LP。

12、Uranium

损失金额：5000万美元

简述：4月28日，基于BSC的AMM协议Uranium遭到黑客攻击，其合约在迁移的过程中遭遇黑客攻击利用，其中涉及金额高达5000万美元。据慢雾分析，此次问题发生在Uranium项目的pair合约上，该合约的swap函数部分在根据恒定乘积公式检查合约余额时，存在精度处理错误的问题，导致最后合约中计算出的余额比合约实际的余额大100倍，这种情况下，如果攻击者使用闪电贷进行借款，只需要归还借贷金额的1%即可通过检查，盗走剩余的99%的余额，导致项目损失。

处理方案：Uranium项目终止运营。

11、EasyFi

损失金额：?约4090万美元

简述：4月19日，Layer2借贷协议EasyFi团队成员称，有大量EASY代币从EasyFi官方钱包大量转移到以太坊网络和Polygon网络上的几个未知钱包。可能有人攻击了管理密钥或助记词。黑客成功获取了管理员密钥，并从协议池中以USD/DAI/USDT形式转移了600万美元的现有流动性资金，并将298万枚EASY代币转移到了疑似黑客的钱包中。

处理方案：EasyFi在Polygon上的用户发布补偿方案，将在区块高度13464478处进行快照，符合资格的每个地址会分两部分获得补偿，其中，25%的资金将直接获得赔偿，另外75%将以EZ支付。EZ是与EASYV2代币EZ1比1对应的代币。

10、ForceDAO

损失金额：约36.7万美元

简述：4月4日，DeFi量化对冲基金ForceDAO项目的FORCE代币被大量增发，黑客通过出售增发代币获利约36.7万美元。此漏洞发生的主要原因在于FORCE代币的transferFrom函数使用了「假充值」写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致事故的发生。

处理方案：Force团队称，已从黑客地址中收回的45枚ETH，剩余的约75％的损失将以空投新FORCE代币的形式进行补偿。针对利用黑客事件进行套利且遭到损失的用户的空投比例为1.5：1。

9、IronFinance

损失金额：17万美元

简述：3月17日，稳定币抵押平台IronFinance被黑客攻击，两个vFarm流动资金池共损失17万美元。据官方表示，攻击事件起因是由于云服务升级更改了奖励率整数，但官方团队并未意识到该问题。

8、TSD

损失金额：1.6万美元

简述：3月15日，跨链稳定币TrueSeigniorageDollar表示，恶意攻击者利用TSDDAO在其账户中铸造118亿枚TSD代币，并全部在Pancakeswap出售并获得1.6万美元。

7、MeerkatFinance

损失金额：3100万美元

简述：3月4日，BSC生态币安智能链DeFi协议MeerkatFinance疑似跑路，自称金库合约遭遇黑客攻击，随后自称为MeerkatFinance开发者的Jamboo发布声明称，这仅是一个实验，Meerkat将进行数据更新和执行智能合约来补偿用户。处理方案：直接退还Vault余额的95%，剩下的5%将通过新产品XFarm公平分配。Meerkat于UTC时间3月6日18时重启质押和Vault合约，将在24小时后部署swap合约并向用户发布指令。

6、DODO

损失金额：约380万美元

简述：3月9日，去中心化交易所DODO表示，DODOv2版本的WSZO、WCRES、ETHA、Fusible众筹池遭黑客攻击，团队已下线相关资金池建池入口。据成都链安团队分析，被攻击原因是合约的init函数未进行限制，从而导致攻击者有权利进行调用。

处理方案：黑客主动归还了价值约310万美元代币，价值约20万美元的资金在中心化交易所被冻结，剩余价值约50万美元的资金损失由DODO团队承担。

5、PaidNetwork

损失金额：约300万美元

简述：3月6日，DeFi协议PaidNetwork因合约漏洞被攻击，攻击者铸造价值近1.6亿美元的PAID代币，并出售获得2000ETH。

处理方案：重新启动代币合约的部署，并向黑客攻击后四小时内交易的用户空投PAIDV2代币。

4、Furucombo

损失金额：1500万美元

简述：2月28日，DeFi收益聚合协议Furucombo智能合约出现严重漏洞，攻击者使用假合约混淆FuruсomboProxy，利用漏洞盗取超过1500万美元ETH和其他ERC-20代币，并转移到自己的钱包地址。

处理方案：Furucombo创建赔偿池并分配500万COMBO代币，并向受影响的用户发出500万iouCOMBO代币，该代币将在360天内线性解锁，该代币持有者可以在偿还池中申领COMBO。

3、AlphaFinance

损失金额：3750万美元

简述：2月13日，跨链DeFi平台AlphaFinance遭到攻击，由于该项目集成了CreamFinance的无抵押贷款功能，黑客利用该功能漏洞使用闪电贷从CreamFinance处盗取了约3750万美元。

处理方案：AlphaFinance将攻击者存入AlphaHomoraV2与CreamV2部署器合约的2000ETH支付欠款，并承诺使用AlphaHomoraV1和V2储备金的20%偿还剩余的资金，按月向CreamV2IronBank支付，直至新增债务全部还清。

2、BT.Finance

损失金额：150万美元

简述：2月9日，智能收益聚合器BT.Finance遭受闪电贷攻击，受影响的策略包括ETH、USDC和USDT。

处理方案：CoverProtocol向该项目赔付了黑客攻击中损失的140906枚DAI的60%。

1、YearnFinance

损失金额：1100万美元

简述：2月5日，YearnFinancev1版本的yDAI机池漏洞被黑客利用，损失1100万美元，该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV。据Certik安全技术团队分析，此次攻击事件是黑客通过闪电贷获得攻击启动资金，并利用Yearn项目代码漏洞完成。

处理方案：Yearn官方使用YFI创建MakerCDP并弥补赤字，并将通过协议费予以弥补。同时，CoverProtocol、NexusMutual等DeFi保险协议相Yearn理赔了部分损失。

标签：ANCFINNCENANDogepad FinanceMeta FinanceOxfinanceCuriosity Finance

Gate.io热门资讯