Balancer 连续被盗两次,DeFi成了黑客提款机?盘点今年DeFi被盗事件,你还敢使用吗?

avatar badge
币圈Tesla
发表时间:06月30日 11:15 icon

鲁迅说:成功不需要10年,20年,方向对了,也许就是一瞬间。

 

今年来,DeFi成为了区块链的风口,凡是跟DeFi有关的项目都出现了不同程度的暴涨。这个号称区块链最接近落地的地方,可以说是以太坊上最大规模的应用生态,也算是以太坊的生态形成闭环的一次很有意义的一次探索。


但是从后续的COMP、DF、BAL、OKS、DMG等项目的上线,慢慢将DeFi整个市场搞的疯狂起来。如果你真的去看下整个DeFi的日活量,还有真正使用这些应用的话,你会发现,这其实只是虚假的繁荣。


16.3亿美金的市值后,竟然最高的日活才达到了1500。而且这个数据是在利用代币激励,大幅度提高年化率的情况之下才有的。不得不说这种对于吧普通人来说算是高门槛的借贷方式还是需要时间去让用户参与进来,降低学习成本。


但是目前来看,DeFi和小散户完全没什么关系,都是大户设计出来撸钱来的,不管是撸利息还是撸项目代币,都是很划算的买卖。小散户只能看到表面,跟随着市场的热度去接盘一些毫无作用的代币。



 

 

很多项目也是蹭着这种热度赶紧发币,夸张点的连白皮书都没来得及写完,先上车后补票。DeFi这种本来是一种很有可能达到大规模应用的方向,就很容易被一些利益集团利用,为自己谋取利益,表面看似疯狂,其实一旦风口一过,可能大部分的项目会是一地鸡毛。


到DeFi这种风口越疯狂的时候就越要注意了,除了项目市值过高外,还有另外一个更危险的事,就是DeFi项目的安全性。目前来说,DeFi项目很难经受市场断崖式暴跌的考验,这些项目都是建立在以太坊链上的,一旦出现暴跌,用户抵押在项目里的资产就有可能直接被清算掉。


以太坊链的性能的话难以保证用户在短时间内能够增加保证金,一旦出现大波动以太坊的网络就十分卡顿,所以在3.12的大行情波动下,就有很多人直接被清算了,这是底层技术的问题。

 

当然对于DeFi狂热的状态来说,这简直是黑客的黄金机会,特别是出现了闪电贷这种东西后,黑客可以采用0成本不断试错的方法,空手套白狼。先来说下闪电贷是什么东西,为什么可以给黑客提供0成本试错的机会。


 

闪电贷是AAVE推出来的新产品,在今年1月18日的时候完成了首笔套利的交易。其实闪电贷这东西出来,大家都没看明白,直到2月份出现了Arbs利用DeFi仅几秒钟赚了90万美元的黑客两次攻击才让闪电贷站上了舞台,也让Lend直接起飞了。


闪电贷需要很强的逻辑,比较难理解,而且普通用户根本没有机会使用,需要会编程还需要很深入了解DeFi项目的人才能完成这些事。但是画个流转图一般就能看明白闪电贷在一次交易中的三个步骤。

 

1.  A从闪电贷流动性提供者(如Aave或dYdX)中提取贷款。


2.  A执行一些动作(例如,对Uniswap,Fulcrum,Kyber等进行套利交易)。


3. A偿还了利息的闪电贷。



借与还必须在同一条合约交易里面,有还,借就成立,没有还,就没有借。以此衍生出一个100%成功的套利工具。因为你套利失败,还不起借款,所以借款就不成立,就没有借。


所以你就没有套利,于是就没有套利失败。这样的话黑客就可以不断的去试错,直到找到漏洞,而且一边这种资金池资金量都挺大的,特别是越后面DeFi发展越好,资金池不断扩大的时候,很容易被黑客一锅端了。

 

当然了,就算没有闪电贷,只要黑客有大本金和耐心,也是可以不断的去试错,寻找漏洞发起攻击,所以这个对项目的安全性和稳定性要求就特别高,不然真的成为黑客的专属提款机,而且还不用负法律责任,本身这东西就没有被监管,甚至是违法行为,自然就不会受到法律保护。


项目方被攻击你也讨不回来你的资金,一个去中心化的借口就可以将你直接打发走。


来说下Balancer 连续被闪电贷攻击两次,被黑客撸走50万美金和2400美金的事,短时间内连续被攻击,这也产生了人们对DeFi这种应用的担忧,毕竟用户都是真金白银的投入。

 

有老哥也对这件事进行了分析,还原了整件事假的原理。

 

最后的处理方案是,项目方将给这这次受到攻击资金受损的用户补偿,也就是自掏腰包补偿被黑走的50万美金,同时计划将STA和STONK等通缩币拉黑,防止被攻击。


这种攻击就很奇特了,两个独立的项目都没问题,但是最后放在一起有了细微的变化,让黑客找到了机会,将资金池里的资金搞走。


BAL也因为此时的事件出现了不同程度的下跌。

 



然后这件事还没解决好,黑客再次的找到了机会,利用了dydx的闪电贷,利用规则攻击了部分流动性矿池的COMP交易对,再次被撸走了10.8ETH。


此次金额虽然不大,但是这种事件影响很大,这对一个项目的安全性来说,会让很多用户感觉到不信任,特别容易出事,而且不知道后续还有没有其他方面的漏洞。

 

 

我们再来看下,有老哥对此次的事件进行了分析,同时也发现了背后发财的逻辑,项目被盗后,项目方会购买代币进行补偿,息事宁人。

 

 

然后在1ETH=2000STA的时候大量的买入了STA,果然后面发表了公布要对此次进行补偿,这时候的STA价格已经暴涨了将近4倍,1ETH=5953,抓住了一波机会,短时间内暴富了。

 

其实关于STA这个通缩币大部分人可能没注意到一个很恐怖的事情balancer被盗那个池子的币,0.00001到1块  5月30号到6月5号。这么可怕的涨幅,都没人出来讨论,看来真没人玩Uniswap。

 


我们再来说下今年来发生过的其他两次被盗事件的项目。

据头等仓区块链研究院的跟进,在今年2月份的时候,有人两次利用了bZx的DeFi交易协议。第一次攻击收益约1271 ETH,第二次攻击收益约为2378 ETH。两次攻击收益分别价值32万美元和60万美元,当时1ETH等于250美元。


第一次攻击使用了5个DeFi协议,第二次攻击使用了4个DeFi协议。两次攻击都是在一个15秒的以太坊区块中完成,第一次攻击网络手续费为8.21美元,第二次攻击为110美元,没有其他费用。


同样也是使用了闪电贷零成本组合去进行攻击DeFi项目,这种黑客对DeFi项目的了解令人可怕,简直是DeFi杀手。


两次工具的具体流程如下:

 

 

另外一件事,特斯拉以前文章写过,是国产项目被攻击的事,这次攻击的金额有2500万美金,除了被盗外,后续还爆出了继续抄作业的问题,咕噜是此次攻击中损失最大的用户之一。


在4月份去中心化金融(DeFi)和货币协议平台 dForce 旗下借贷协议 Lendf.me 被盗,官方页面资产全部显示为零。

4月DeFi的焦点非dForce莫属,先是4月15日dForce基金会宣布获得150万美元的战略融资,但随后不到一周,其去中心化借贷协议Lendf.Me遭到黑客攻击,平台资产被洗劫一空,dForce也被推至风口浪尖。dForce团队紧急暂停了Lendf.Me和USDx合约,并临时关闭网站,还联系了各大交易所、稳定币资产发行方和警方等组织调查黑客动向。在大众认为资产追回希望渺茫之际,黑客暴露了自身IP地址并于4月21日将被盗金额悉数返还。

 

当dForce被盗的第一时间,Compound的创始人发表推特讽刺dForce这个项目,抄袭他们项目的早期代码,如果没有能力去开发自己的智能合约代价,那么被盗这是很正常的事。

 

不过对于黑客来说,这可是好事情,如果不进行代码的安全审计,很容有有漏洞可以钻,那么接下来就是表演的时候。


当然此次被盗能够追回资产是因为黑客暴露了,可以推断是国人,所以追回来了资产,这也算是DeFi历史上最大的一次被盗事件了,而且事件又很离奇,官方也没有后续的说法。不过此次被盗和闪电贷没关系,而是利用协议兼容搞事的。


当然了,看了那么多是不是觉得很恐怖,其实MakerDao,差点也被闪电贷攻击,可以撸走7亿美金。在今年2月份的时候,在Medium上有个帖子写出了教大家使用闪电贷的组合方案,对MakerDao的治理进行攻击,只需要支付交易费用,就有可能窃取Maker的所有抵押品(7亿美元)并使用闪电贷发行任意数量的Dai。

 

 

 

 

这只是一种试想,只要找到好的机会,理论上能够成功的,而且后果很可怕。后续MakerDao也采取了措施,Maker在2020年2月21日将此类合约进行表决。拟议的合约将激活治理安全模块(Governance Security Module),并防止此类闪电贷攻击。


分享个神器,无需编程的闪电贷,下一个黑客可能就是你!

https://furucombo.app/combo

总结:

DeFi目前依旧是不成熟的赛道,需要不断的试错,任何美好的事情都是在曲折中发展的,需要不断的探索者去开荒和试错。


作为投资者最重要的是要降低风险,并随时保护好自己的钱包,面对飞天的DeFi项目不要失去理智。


全文完。

原创

原创声明:本文由财路用户声明原创,未经许可,不得转载。

免责声明:本文由财路用户上传并发布,内容为用户独立观点,不代表财路平台立场。

文章标题:Balancer 连续被盗两次,DeFi成了黑客提款机?盘点今年DeFi被盗事件,你还敢使用吗?