烤仔的朋友们 | 2020 年被攻击的 DeFi 协议们,损失合计近 7000 万美元

2024-03-14 17:59

本文主要是介绍烤仔的朋友们 | 2020 年被攻击的 DeFi 协议们,损失合计近 7000 万美元,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本期好友:律动BlockBeats

作者:安全。

你盯着流动性挖矿带来的收益,别人盯着你的本金。

2020 年是迄今为止 DeFi 最火热的一年,总锁仓量不断创新高,Uniswap 的交易量甚至一度超过了全球最大的交易平台 Coinbase。

 

2020 年也是 DeFi 协议坎坷的一年。体量迅速成长的 DeFi 协议基础设施等却没有十分完备,黑客、攻击者纷纷盯上了这一块诱人的蛋糕。

 

据 CryptoDiffer 统计的公开数据,2020 年有 5 个 DeFi 协议曾遭受到攻击,损失合计近 7000 万美元(律动注,Harvest 数据来源于 Harvest 官方统计,因此损失金额高于CryptoDiffer 数据)。律动 BlockBeats 在本文中带读者一起盘点下今年被广泛关注的几起 DeFi 协议被攻击事件。


dForce

损失金额:2500 万美元 

后续结果:黑客归还 

 

2020 年 4 月 19 日,DeFi 和货币协议平台 dForce 旗下借贷协议 Lendf.me 被黑客攻击。在不到三个小时的时间里,价值 2500 万美元的加密货币被黑客顺利取走。随后,Lendf.Me 和 USDx 合约陆续被 dForce 关闭。

 

在被黑客攻击后,dForce 官方团队即时将信息同步至警方和安全公司,通过追踪黑客留下的线索,安全团队成功描绘黑客的安全画像。最后黑客在重重压力下,与 dForce 官方主动沟通,并开始归还部分资产。继续沟通后,黑客于 4 月 21 日归还全部被盗资产。

Harvest.finance

 

损失金额:3380 万美元(黑客取走 2400 万美元)

后续结果:正在追踪 

 

10 月 26 日凌晨,DeFi 聚合收益平台 Harvest 的 USDC 和 USDT 资金池遭到了黑客的攻击,损失金额高达 3380 万美元,黑客获利 2400 万美元。

 

黑客首先在 Curve.fi 上反复利用 Y 池内 USDC 和 USDT 的无常损失效应,影响了其价值。然后把被操纵的资产存入 Harvest.finance 的资金库,随后以有利的价格获得 fUSDC,之后再以正常的价格把代币从金库中提走,这样一来就产生价差,出现套利空间,攻击者获利。

 

最后,黑客通过一系列的操作将 ERC 20 代币换成 renBTC,然后兑换成 BTC,成功获利。

 

目前,REN 协议已经公布黑客转移 BTC 的地址,并寻求交易平台的帮助。

 

bZx

损失金额:35 万美元+63 万美元(第一次)、810 万美元(第二次)

后续结果:Nexus Mutual 理赔 3.1 万美元(第一次),部分被盗资产找回(第二次)

 

2 月 15 日,黑客通过 dYdX 闪电贷借入 ETH,然后将部分 ETH 存入 Compound 作为抵押品,贷出 WBTC。接着,利用 bZx 的杠杆交易功能,做空 ETH 购入大量 WBTC(该交易导致 WETH / WBTC 兑换率提高)。黑客将通过 Compound 借取的 WBTC 全部卖给 Uniswap 并返还了相应的 WETH。最后,黑客抛售剩余的 WBTC 换取 ETH,并归还从 dYdX 借入的 ETH。

 

这一系列的操作,该名黑客获利合计约 35 万美元。

 

2 月 18 日,bZx 被同样的手法再次攻击,损失 63 万美元。

 

9 月 13 日,黑客发现 bZx 协议中存在一个错误,可以欺骗了平台以创建无支持的 iToken。黑客通过将无支持的 iToken 铸入其帐户然后将其撤回来复制其令牌,从而导致 bZx 损失 219199.66 LINK、4502.70 ETH、1756351.27 USDT、1412048.48 USDC 和 667988.62 DAI(约 810 万美元)。

 

后续,bZx 官方表示被盗 ETH 都已经找回。

Balancer

损失金额:50 万美元 

后续结果:Balancer 团队全额赔付 

 

6 月 29 日,去中心化交易平台 Balancer 两个流动性矿池遭到闪电贷攻击,被转移资产价值约为 50 万美元。

 

黑客通过 dYdX 借出 ETH 然后转换为 WETH,然后在每笔交易中持续交易 WETH 和 STA。在足够的交易之后,攻击者调用了 gulp() 它将内部池计算的代币余额同步到了存储在代币跟踪器合约中的实际余额里。由于 STA 的余额接近于零,它相对于其他代币的价格非常高,黑客现在可以非常便宜地使用 STA 去交换池中的其他资产。

 

Uniswap

损失金额:30 万美元 

后续结果:无 

 

黑客利用 Uniswap 和 ERC777 的兼容性问题,在进行 ETH-imBTC 交易时,利用 ERC777 中的多次迭代调用 tokensToSend 来实现重入攻击。

 

上述几个事件只是 2020 年一些较为知名的 DeFi 协议被攻击或被盗案,而律动发现这五个案件中有三个都是攻击者利用闪电贷完成了套利操作。其实闪电贷的设计本意是让开发者可以任意借贷而无需提供质押物。但在众多机智的以太坊开发者的挖掘之下,闪电贷被用作去中心化交易所之间套利、或为黑客提供漏洞攻击的资金。

 

而即使大家明知道闪电贷还存有现在无法解决的潜在问题,也仍然不能去避免使用它。DeFi 玩法日益丰富的同时,我们也希望开发者可以寻找出避免此类问题出现的方法。毕竟用户选择去中心化金融产品的一个原因就是希望资产的所有权得到保障,安全同样是用户选择产品的重要因素。

END

了解最新动态

这篇关于烤仔的朋友们 | 2020 年被攻击的 DeFi 协议们,损失合计近 7000 万美元的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/809232

相关文章

菲律宾诈骗,请各位华人朋友警惕各类诈骗。

骗子招聘类型:程序开发、客服、财务、销售总管、打字员等 如果有人用高薪、好的工作环境来你出国工作。要小心注意!因为这些骗子是成群结伴的! 只要你进入一个菲律宾的群,不管什么类型的群都有这些骗子团伙。基本上是他们控制的! 天天在群里有工作的信息,工作信息都是非常诱惑人的。例如招“打字员”、“客服”、“程序员”……各种信息都有。只要你提交简历了,他会根据你的简历判断你这个人如何。所谓的心理战嘛!

usaco 1.3 Mixing Milk (结构体排序 qsort) and hdu 2020(sort)

到了这题学会了结构体排序 于是回去修改了 1.2 milking cows 的算法~ 结构体排序核心: 1.结构体定义 struct Milk{int price;int milks;}milk[5000]; 2.自定义的比较函数,若返回值为正,qsort 函数判定a>b ;为负,a<b;为0,a==b; int milkcmp(const void *va,c

【Linux】应用层http协议

一、HTTP协议 1.1 简要介绍一下HTTP        我们在网络的应用层中可以自己定义协议,但是,已经有大佬定义了一些现成的,非常好用的应用层协议,供我们直接使用,HTTP(超文本传输协议)就是其中之一。        在互联网世界中,HTTP(超文本传输协议)是一个至关重要的协议,他定义了客户端(如浏览器)与服务器之间如何进行通信,以交换或者传输超文本(比如HTML文档)。

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

【Go】go连接clickhouse使用TCP协议

离开你是傻是对是错 是看破是软弱 这结果是爱是恨或者是什么 如果是种解脱 怎么会还有眷恋在我心窝 那么爱你为什么                      🎵 黄品源/莫文蔚《那么爱你为什么》 package mainimport ("context""fmt""log""time""github.com/ClickHouse/clickhouse-go/v2")func main(

2024.9.8 TCP/IP协议学习笔记

1.所谓的层就是数据交换的深度,电脑点对点就是单层,物理层,加上集线器还是物理层,加上交换机就变成链路层了,有地址表,路由器就到了第三层网络层,每个端口都有一个mac地址 2.A 给 C 发数据包,怎么知道是否要通过路由器转发呢?答案:子网 3.将源 IP 与目的 IP 分别同这个子网掩码进行与运算****,相等则是在一个子网,不相等就是在不同子网 4.A 如何知道,哪个设备是路由器?答案:在 A

SigLIP——采用sigmoid损失的图文预训练方式

SigLIP——采用sigmoid损失的图文预训练方式 FesianXu 20240825 at Wechat Search Team 前言 CLIP中的infoNCE损失是一种对比性损失,在SigLIP这个工作中,作者提出采用非对比性的sigmoid损失,能够更高效地进行图文预训练,本文进行介绍。如有谬误请见谅并联系指出,本文遵守CC 4.0 BY-SA版权协议,转载请联系作者并注

Modbus-RTU协议

一、协议概述 Modbus-RTU(Remote Terminal Unit)是一种基于主从架构的通信协议,采用二进制数据表示,消息中的每个8位字节含有两个4位十六进制字符。它主要通过RS-485、RS-232、RS-422等物理接口实现数据的传输,传输距离远、抗干扰能力强、通信效率高。 二、报文结构 一个标准的Modbus-RTU报文通常包含以下部分: 地址域:单个字节,表示从站设备

网络原理之TCP协议(万字详解!!!)

目录 前言 TCP协议段格式 TCP协议相关特性 1.确认应答 2.超时重传 3.连接管理(三次握手、四次挥手) 三次握手(建立TCP连接) 四次挥手(断开连接)  4.滑动窗口 5.流量控制 6.拥塞控制 7.延迟应答 8.捎带应答  9.基于字节流 10.异常情况的处理 小结  前言 在前面,我们已经讲解了有关UDP协议的相关知识,但是在传输层,还有

DNS协议基础笔记

1.定义 DNS(Domain Name System,域名系统)是互联网的一项核心服务,它作为将域名和 IP 地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。 2.域名解析过程 当用户在浏览器中输入一个域名,浏览器首先会检查自己的缓存中是否有该域名对应的 IP 地址。本地 DNS 服务器收到查询请求后,首先会检查自己的缓存中是否有该域名对应的 IP 地址。根域名服务器收到查询请