区块见闻 区块见闻
Ctrl+D收藏区块见闻

PLA:回顾DeFi史上最大的13次黑客攻击事件_Tigerfinance

作者:

时间:

撰文:EkinGen?&StephenGraves编译:南风去中心化金融(DeFi)是旨在将中间商从借贷、储蓄和兑换等金融产品和服务中剔除的区块链应用程序。虽然DeFi有着高回报,但也伴随着很多风险。由于几乎任何人都可以启动一个DeFi协议并编写一些智能合约,因此代码中的漏洞是很常见的。在DeFi领域,有许多不择手段的人准备并有能力利用这些漏洞。当这种情况发生时,数百万美元的资金就会处于危险中,而用户往往没有追索权。根据Elliptic去年11月的一份报告,DeFi用户在2021年因被盗而损失了105亿美元。但是,正如我们将在下文中列出的一些最大的DeFi漏洞攻击所显示的那样,这个数字已经增长了数百万。(以下所有数字均为攻击事件发生时的资金价值。)13.GrimFinance:3000万美元

通常,Dapps(去中心化应用)从它们所构建的区块链中获得主题灵感。因此,Avalanche(雪崩)区块链的生态系统充满了以「雪」为主题的应用,比如Snowtrace、Blizz和Defrost。与此同时,Fantom区块链的生态系统就像是一个链上的万圣节派对。当出现问题时,这就增加了一层更加黑暗的色彩,比如Fantom链上的收益率优化协议GrimFinance发生的情况。2021年12月,GrimFinance协议遭受了一次重入攻击(reentrancyattack),这是一种攻击者在前一笔交易尚未结算时伪造额外的存款存入金库(vault)中的漏洞利用。最终,此次攻击导致了价值3000万美元的Fantom代币被盗。DeFi协议通常使用重入防护(reentrancyguards),也即防止此类攻击的代码片段。区块链安全审计公司SolidityFinance发布的GrimFinance审计报告错误地指出,该协议已经使用了重入防护。这提醒我们审计并不能保证漏洞不会发生。12.MeerkatFinance:3100万美元

加密游戏公司double jump.tokyo将推出《足球小将》主人公大空翼NFT:2月7日消息,加密游戏公司 double jump.tokyo 宣布将推出《足球小将》主人公大空翼官方 NFT 集合,购买 NFT 的用户可以选择将 NFT 转换为灵魂绑定 Token(SBT),SBT 持有者将能收到一个由漫画家高桥洋一原创设计的实物球。double jump.tokyo 表示,每购买一个 NFT 该公司就会捐赠一个实物足球,分发给世界各国。

此前报道,double jump.tokyo 去年 4 月完成 2400 万美元 C 轮融资,之后于 10 月推出了世嘉授权《三国志》Web3 卡牌游戏。(雅虎财经)[2023/2/8 11:53:12]

有时候,一个DeFi协议不需要很长时间就会遭受第一次攻击。基于BSC(币安智能链)的借贷协议MeerkatFinance在2021年3月上线后仅一天就损失了3100万美元的用户资金。攻击者在该合约中调用了一个函数,使该攻击者的地址成为了其金库合约的所有者,抽走了该项目中价值1396万美元的币安稳定币BUSD,以及另外73000BNB(币安的原生代币),这些被盗的BNB当时的价值约为1740万美元。许多用户认为这是一场内部作案:该协议开发人员实施了一场RugPull(卷款跑路)。Meerkat否认了这些指控。11.VeeFinance:3500万美元

2021年夏天,Avalanche链上的活动激增,这也吸引了那些渴望攻击该区块链网络新兴生态系统的人。2021年9月,借贷平台VeeFinance刚刚庆祝了其TVL(总锁仓量)达到3亿美元的里程碑,而一周后,该协议遭遇了Avalanche网络上最大的一场漏洞攻击。此次攻击的发生,主要是因为VeeFinance的杠杆交易功能依赖于Avalanche上的主要流动性协议Pangolin提供的代币价格。为了利用这一点,攻击者在Pangolin上创建了7个交易对,提供流动性,最后在VeeFinance上进行杠杆交易。这使得该攻击者得以从VeeFinance协议中抽走价值3500万美元的加密货币。在一条发给「亲爱的0x**95BA先生/女士」的推文中(见下图),VeeFinance协议要求该攻击者返还这笔资金,且作为该协议赏金计划的一部分,让攻击者保留一部分资金。但该攻击者并没有返还这笔资金的意愿。

公告 | VB交易所2019年度回顾:已完成1亿枚VBT回购:VB交易所发布2019年度回顾公告。数据显示,截止2020年1月13日,VB平台累计注册用户511572人,累计上线交易对37个,24小时交易额稳步在5亿人民币附近,与超过50+区块链媒体财经建立合作关系,平台已成功被coinmaketcap(CMC),coingecko, mytoken ,sosolx等多家区块链数据平台收录。

VBT是VB交易所的平台币,过去一年总计销毁9088630420枚VBT, VBT总量9.1亿余枚,流通量5.9亿余枚。VB交易所将使用2019年的平台手续费收入从二级市场上累计回购2亿枚VBT,其中1亿枚VBT已回购完成,剩余1亿枚VBT的二级市场回购将于2020年3月份前完成,回购完毕将进行相关公示。[2020/1/13]

10.PancakeBunny:4500万美元

Crypto领域通常会经历短暂但强烈的趋势。2021年春季,币安智能链(BSC)(现已更名为BNB链)有着最热门的DeFi趋势,特别是对散户用户,因为该链的网络费用较低。但BSC链上也发生了许多局和黑客攻击,其中最大的一次是2021年5月的一次攻击,受攻击的是收益耕作协议PancakeBunny。一名黑客通过8次闪电贷攻击操纵了PancakeBunny的定价算法,抬高了协议原生代币BUNNY的价格。该黑客先以市场价格低价买入BUNNY,然后在人为抬高其价格之后高价卖出,盈利4500万美元。9.bZx:5500万美元

动态 | CoinMarketCap 发布 2019 年度回顾:平台币涨幅跑赢 BTC:加密货币行情网站 CoinMarketCap 发布 2019 年度回顾,在 BTC 对比其他加密资产的价格表现环节,市值前五的平台币( BNB、HT、LEO、FTT、ZB )全年平均涨幅(+98%)超过 BTC(+87%),智能合约平台代币(ETH、EOS、XTZ、TRX、ADA)全年平均涨幅为 34%,隐私代币(XMR、ZEC、KMD、XVG、ZEN)全年平均涨幅为 -15%。从时间线来看,2019 年一二季度,平台币和智能合约代币的表现都要优于 BTC,当市场转为看跌向下时,智能合约代币回撤的幅度让全年表现大打折扣。[2020/1/11]

2021年11月,多链借贷协议bZx在「私钥」被泄露后遭到黑客攻击。该协议在BSC和Polygon链上总共损失了5500万美元。但bZx此前已经经历过两次类似的痛苦。虽然闪电贷攻击是目前DeFi领域常见的攻击策略,但bZx在这方面是一个「OG」(元老级项目)。2020年2月,该协议成为闪电贷攻击的目标,攻击目标是其保证金交易平台Fulcrum。这名黑客盗走了1300wETH,当时价值36.6万美元。在2020年9月的另一次攻击中,bZx损失了锁定在其金库的30%的资金,当时价值800万美元。不过,持有未平仓保证金头寸的用户并没有遭受损失,因为正如该协议后来在一份报告中所说,这些资金是从bZx的保险基金中取出的。8.BadgerDAO:1.2亿美元

动态 | 美国SEC主席在财年预算申请证词中回顾2018年加密货币相关工作:美国证券交易委员会(SEC)官网今日发布了SEC主席Jay Clayton在国会就SEC 2020财年预算申请发表的证词。在回顾2018年的工作时,Clayton提及该机构解决了一些加密货币、ICO和类似产品和技术出现的问题。SEC合规检查和检查办公室(OCIE)在2018年公布了2019年的审查优先事项,其中包括数字资产(加密货币、coin和token)。此外,SEC还创建了一个网站,向公众宣传涉及ICO的欺诈行为。[2019/5/9]

智能合约漏洞并不总是会导致一个DeFi项目仅仅损失数百万美元。2021年12月,将比特币带至DeFi的网桥BadgerDAO遭受了1.2亿美元的损失,攻击者通过在用户界面植入恶意钱包请求,诱导BadgerDAO用户为恶意地址批准代币使用权限,从而使攻击者控制用户的金库资金并转移资金。此次攻击造成的损失达1.203亿美元,包括约2,100BTC和151ETH。区块链安全公司PeckShield表示,该协议的合约是安全的,只有用户界面受到了影响。7.CreamFinance:1.3亿美元

DeFi借贷协议CreamFinance在2021年10月的一次闪电贷攻击中损失了1.3亿美元,这是该协议遭受的第三次攻击。闪电贷(flashloans)允许你获得即时贷款,前提是你必须在同一笔交易中偿还这笔贷款。虽然闪电贷对于套利很有用,但它被恶意行为者广泛使用,以利用DeFi协议中的漏洞。在CreamFinance的案例中,闪电贷攻击者得以利用定价漏洞,通过不同的以太坊地址反复获取闪电贷。CreamFinance在此之前也经历过闪电贷攻击。2021年8月,一名黑客在另一次闪电贷攻击中从CreamFinance窃取了大约2500万美元,主要针对FlexaNetwork的原生代币AMP。在2021年2月的一次闪电贷攻击中,黑客从CreamFinance协议池中窃取了3750万美元。6.VulcanForged:1.4亿美元

回顾丨上周热点事件:“投票”、“反弹”、“风险”排名前三:根据火币区块链大数据周度数据洞察,上周热点事件排名前三的为“投票”、“反弹”和“风险”。其中“投票”主要涉及EOS超级节点的投票,以及币安投票上币等;“反弹”主要反映经历上周币价的暴跌后,本周币价有所反弹;“风险”相关话题主要集中在:1、由于比特币价格下跌和算力增长导致的挖矿风险,2、EOS主网上线后技术漏洞风险,3、场外交易风险(银行卡冻结等)。[2018/6/25]

「边玩边赚」(P2E)是Crypto领域的最新趋势之一,但它并没有摆脱老式的局和陷阱——尤其是那些利用中心化功能的局和陷阱。VulcanForged是Polygon上的一个P2E平台,在2021年12月,其用户损失了1.4亿美元,这是一个惨痛的教训。根据一份事后调查报告,一名黑客获得了该平台的中心化用户钱包Venly的凭证,从而获得了96个加密钱包的私钥。之后,该黑客利用它获得了该平台的资产组合功能MyForge中的私钥,最终盗走了其用户450万VulcanForged原生代币PYR。VulcanForged首席执行官JamieThomson在向社区发表的讲话中表示:「当然,未来我们将只使用去中心化的钱包,这样我们就永远不会再遇到这个问题。」5.Compound:1.5亿美元

与大多数DeFi协议一样,借贷协议Compound有一个治理代币COMP,该协议在特定条件下向用户分发该代币。2021年10月,有消息称Compound有一个漏洞,即允许借款者(borrowers)索要超出其预期的COMP份额,这个漏洞涉及到Compound的两个金库(资金池)。用户可以在Reservoir金库上调用一个特定的函数drip(),触发了价值8000万美元的COMP被发送到另一个金库Comptroller。该金库会自动将大量COMP代币分发到错误的地址中。这个「漏水的水龙头」是由之前的一次协议更新中引入的错误造成的。在价值8000万美元的COMP被发送给错误的地址之后,该团队匆忙修补了一个补丁。但是在实施任何修复之前,该协议要求通过一项治理提案。该提案创建于10月2日,最终在10月9日被接受。而在社区争论的同时,这两个金库又损失了6880万美元。Compound的创始人RobertLeshner是如何试图把钱拿回来的?他在推特上呼吁「将COMP退还给社区。」之后,几乎一半的资金被退回。

4.Beanstalk:1.82亿美元

闪电贷,如此有用却又如此危险!就在庆祝获得1.5亿美元TVL之后两天,基于以太坊的稳定币协议Beanstalk发现1.82亿美元在一次闪电贷攻击中失踪。该攻击者成功地通过TornadoCash将价值8000万美元的ETH进行清洗。Beanstalk以其算法稳定币BEAN而闻名,该稳定币的价值应该是锚定1美元。虽然该稳定币在此次攻击发生不久之后设法保持了其锚定,但此次攻击事件表明,算法稳定币的稳定性取决于支撑它们的合约。3.Wormhole:3.26亿美元

随着越来越多的L1(第一层)区块链上构建DeFi,用户在L1链之间转移资金的愿望越来越大。「跨链桥」解决了这一需求,但它们也带来了新的漏洞。最具破坏性的跨链事件发生在2022年1月,当时受欢迎的跨链桥Wormhole(连接Solana和以太坊)发生黑客攻击事件,损失了3.2亿美元的wETH。wETH是一种与以太坊价格1:1挂钩的加密货币。用户在使用Wormhole跨链桥时,必须首先将ETH锁定在一个智能合约中,以获得等量的wETH。该黑客设法找到了一个绕过这个的方法,在没有在Wormhole合约中锁定ETH的情况下铸造了WETH。JumpTradingGroup是Wormhole开发的利益相关者之一,该团队主动补充了Wormhole丢失的ETH。短短一天后,Wormhole桥重新上线。2.Ronin跨链桥:5.52亿美元

基于NFT的游戏AxieInfinity是去年最成功的加密游戏之一。2022年3月23日,它成为了加密货币领域最大黑客攻击之一的受害者,攻击者使用「被盗取的私钥」将大约有价值5.52亿美元的加密货币从Ronin跨链桥盗走。一周后,当AxieInfinity的开发商SkyMavis披露该漏洞时,被窃取的资金价值已上升至6.22亿美元。根据SkyMavis的一份报告,攻击者「通过我们gas-free的RPC节点找到了一个后门,然后滥用这个后门来获得AxieDAO验证器的签名。」Ronin侧链由9个验证者节点保护,为了识别Deposit(存款)事件或Withdraw(取款)事件,需要这9个验证器节点中的5个进行签名。3月23日,攻击者成功地控制了其中的5个节点(包括SkyMavis自己运行的4个节点以及1个由AxieDAO运行的节点),这5个验证者的私钥被盗。这让攻击者得以伪造交易,并取走173,600wETH和2550万USDC,总计约6.22亿美元。「这是历史上规模最大的黑客事件之一,」AxieInfinity联合创始人JeffZirlin指出,「(黑客)有可能被发现,并被绳之以法。」1.PolyNetwork:6.11亿美元

PolyNetwork的黑客攻击仍然是加密领域最大的攻击事件。幸运的是,这个始于2021年8月10日的传奇事件在经历了一系列奇怪的转折后,在三天之后以美满的结局结束了。这场盗窃始于攻击者利用PolyNetwork「合同调用」的一个漏洞。该黑客迅速盗取了价值6.11亿美元的各种加密货币,导致PolyNetwork发布了一封绝望的信,并附上了「亲爱的黑客」的称呼。这种沟通尝试,以及随后的努力,最终发挥了作用。该协议提供了50万美元的赏金,并为这名黑客提供了成为其首席安全顾问的机会。但在一次链上问答环节中,该攻击者解释说,此次攻击只是为了给PolyNetwork一个教训。该攻击者说,将资金归还是其「一直以来的计划」。加密货币安全公司SlowMist表示,已识别出该攻击者的IP和电子邮件信息,且这场攻击「可能是一次长期计划、有组织和有准备的攻击」。「现在每个人都闻到了阴谋的味道。」这名黑客说道。他否认自己是内鬼。「但谁知道呢?」来源链接

标签:LETNANPLAETStrustwallet钱包下载appTigerfinancePlastiksBETS币

芝麻开门交易所热门资讯
MULTI:?ETH周报 | 以太坊第一个主网影子分叉已上线;ENS空投代币认领仅剩3周时间(4.11~4.17)_Orbitau Taureum

作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 一、整体概述 随着以太坊逐渐向权益证明机制过渡,以太坊的第一个主网影子分叉上周一上线.

以太坊:2022年Q1全球区块链投融资报告:NFT仍是资本方最青睐的赛道_区块链

研究机构:01区块链联合发布:零壹财经·零壹智库横琴数链数字金融研究院报告主编:柏亮于百程执笔团队:陈丽姗数据支持:杨光摘要受经济政策和地缘影响,全球主要加密货币在触底后开始反弹.

PLA:加密游戏门户OkLetsPlay与RTE和Galaxy Racer Esports达成合作伙伴_DarePlay

加密游戏门户OkLetsPlay已经宣布与RTE和GalaxyRacer建立合作伙伴关系,这两家机构在电子竞技及相关领域都拥有高技术创新能力.

ANC:元宇宙发展状况之「与DEFI结合」项目调研(1)_TPS

具体项目调研 下面将按不同分类以及元宇宙开放程度,对上述项目做具体的分析。分类方式介绍:将对项目分为“可编辑空间或可进入空间游玩”,“与DeFi结合”,“尚未确定”三个大类别;同时将根据“具有本.

VERSE:彭博社专访:「Lunatics之王」Do Kwon如何成为比特币「狂人」_woo币最新价格

在2016年,DoKwon还只是一个名不见经传的初创公司创始人,雄心勃勃地想为所有人带来免费的互联网服务,这时的他开始注意到,自己对分布式网络的研究里不断地出现和比特币及以太坊相关的内容.

LUNA:深度解析评估NFT抵押品的5种方法_TERRAFORM价格

我的同事之前详细介绍了一些NFT金融领域的新兴协议,并概述了使用其中一些协议为NFT产生流动性的方法.