ANC:2021年DeFi安全事故全纪录（6月23日更新）

31、?ElevenFinance?

损失金额：460万美元

简述：6月23日，基于BSC的收益聚合器ElevenFinance中与Nerve相关的机池遭到闪电贷攻击。此次攻击源于ElevenFinance的Emergencyburn计算余额错误，且未执行销毁机制，攻击者获利近460万美元。此攻击者与ImpossibleFinance攻击者是同一位。

30、impossibleFinance

损失金额：50万美元

简述：6月21日，基于BSC的DeFi项目ImpossibleFinance遭遇闪电贷攻击。由于?cheapSwap函数中未进行K值检查，攻击者可以通过在一次兑换过程中进行多次兑换操作以获得额外的代币。

处理方案：所有在攻击前向流动性池充值的用户获得100%的补偿。

29、VisorFinance

损失金额：50万美元

简述：6月20日，基于UniswapV3的DeFi项目VisorFinance遭遇攻击，Hypervisor在攻击期间遭到了破坏，使得攻击者获得了一个管理帐户的访问权限，能够从尚未存入流动性提供者头寸的存款中提取资金。

处理方案：官方则用资金库支付用户50万美元损失。

28、Alchemix

损失金额：866万美元

简述：6月16日，未来收益代币化协议Alchemix的alETH合约出现安全问题，由于alETH池脚本部署错误，用户在以4：1的抵押比例借出alETH后却没有待偿还债务，并且近2000个ETH的债务上限被释放出来，可以再次铸造新的alETH，加之Alchemix在金库数组中使用了错误的索引，迫使transmuter支持协议机制中资金被完全送去偿还用户的债务。

27、PancakeHunny

损失金额：10万美元

简述：6月3日，基于BSC的PancakeHunny项目遭遇黑客攻击。在本次被黑事件中，黑客采取的攻击手法大体上与此前攻击PancakeBunny近似，均是在短时间内增发大量的代币并抛向市场，并引起了HunnyToken币价暴跌。

Messari：截至2021年底DAO Treasuries规模已超110亿美元，过去一年增长40倍:4月27日消息，据区块链数据分析公司Messari官方社交媒体披露的最新数据显示，截至2021年底，DAO Treasuries（包括原生Token、协议中存款和持有的其他加密货币三大类）累积持有的加密货币价值规模已超过110亿美元，在数千家去中心化自治组织中，规模最大的15家持有的加密货币总价值达到70亿美元，占比约为63.6%，其中仅BitDAO和Uniswap持有加密货币规模就达到42亿美元（各自约为20多亿美元），其他加密货币持有价值较高的DAO主要集中在DeFi领域，比如Aave、Synthetix、Maker、Dream等。2021年初，DAO Treasuries累积持有的加密货币价值规模仅有约2.75亿美元，这意味着过去一年增长了40倍。[2022/4/27 5:14:16]

26、BurgerSwap

损失金额：约700万美元

简述：5月28日，BSC的AMM项目BergerSwap遭到闪电贷攻击，被盗超过432874个BURGER，攻击者从PancakeSwapWBNB-BUSDT资金池中通过闪电贷借出6,047.13WBNB；然后在BurgerSwap中，将6,029WBNB兑换为92,677BURGER，并创造假币进行攻击。

25、Julswap

损失金额：700万美元

简述：5月28日，基于BSC的AMM项目Julswap遭到闪电贷攻击，攻击者通过闪电贷借到70000个JULB代币，然后调用JULB-WBNB的交易对进行兑换得到1400个BNB，随后攻击合约调用JulProtocolV2合约函数进行抵押挖矿。最后把这些WBNB转入钱包地址，完成了闪电贷套利。

处理方案：更新版本并回购JULB代币用于补偿用户。

24、Merlin

损失金额：约68万美元

简述：5月26日，BSC生态自动收益聚合器Merlin遭到黑客攻击，由于该项目getReward代码的存在漏洞，大量的CAKE代币被手动转移到Vault合约中，共导致了约59,000个MERL增发，并通过出售获得240个ETH。

澳洲联储主席洛威重申2024年前不太可能加息:澳洲联储主席洛威重申2024年前不太可能加息。[2021/3/10 18:30:37]

处理方案：团队将向用户空投补偿代币cMERL，该代币持有者将能够从补偿池中获得BNB奖励。同时，额外的开发团队资金将被用于执行燃烧和回购活动，以恢复代币价格。

23、AutoSharkFinance

损失金额：约82万美元

简述：5月25日，基于BSC的固定利率协议AutoSharkFinance遭到闪电贷攻击，在LP价值错误和手续费获取数量错误的情况下，SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值，导致SharkMinter合约给攻击者铸出了大量的SHARK代币，致使其币价闪崩，从1.2美元快速跌至0.01美元，攻击者获利月82万美元。

处理方案：官方表示将发行新代币JAWS补偿受损用户。

22、BoggedFinance

损失金额：300万美元

简述：5月23日，基于BSC的聚合交易平台BoggedFinance官方表示，黑客对BOG代币合约质押功能漏洞进行了闪电贷攻击，黑客利用PancakePairSwap代码，在合约验证完成前即提取了质押收益，导致铸造了超过1500万个BOG代币，这些代币大部分原本将分配给了BOG的质押者。

处理方案：发行新币并将被盗BOG代币返还给质押用户。

21、PancakeBunnny

损失金额：约4200万美元

简述：5月20日，基于BSC的DeFi收益聚合器PancakeBunny遭遇闪电贷攻击，损失114631枚BNB和697245枚BUNNY，后者被黑客大量铸造并抛售，价格从240美元闪崩，一度跌破2美元。根据CertiK安全团队的调查，由于PancakeBunny使用PancakeSwapAMM来进行资产价格计算的，因此黑客恶意利用了闪电贷来操纵AMM池的价格，并利用Bunny在铸造代币的时候计算上的问题成功完成攻击。

京东数科发布《京东区块链技术实践白皮书2020》:金色财经报道，在多方政策的推动和产业界的创新应用下，区块链行业近年来迎来蓬勃发展。在区块链“1024讲话”一周年之际，京东数科发布《京东区块链技术实践白皮书2020》，白皮书涵盖了京东数科区块链在品质溯源、数字存证、数字金融、政务协同、信用网络、保险科技等6大领域30余分类场景中的丰富应用案例；区块链技术架构体系上的领先布局；区块链技术与云计算、人工智能、大数据、物联网等多种技术结合的广泛探索；以及与各行业携手搭建多个开放联盟链网络的产业生态。[2020/10/24]

处理方案：PancakeBunny将通过发行新代币pBUNNY并创建补偿池，补偿BUNNY原始持有者由于代币价格大跌造成的损失。

20、Venus

损失金额：超1亿美元

简述：5月18日晚间，基于BSC的DeFi借贷平台Venus代币XVS被巨鲸拉涨翻倍，之后以XVS为抵押资产借走并转移出去价值上亿美元的BTC和ETH，此后抵押资产XVS价格大跌并面临清算，但由于XVS市场流动性不足系统未能及时清算，导致Venus出现上亿美元的巨额亏空。

处理方案：Venus向外部机构出售部分XVS代币以弥补平台亏损。

19、FinNexus

损失金额：700万美元

简述：5月17日，链上期权协议FinNexus遭遇黑客攻击，该黑客渗入并设法恢复了FNX代币合约管理者的私钥，攻击者铸造了超过3.23亿枚FNX，然后在中心化和去中心化交易所中出售，导致价格暴跌。

处理方案：FinNexus团队表示将发行新币并按1比1补偿给所有在黑客入侵之前持有FNX的用户；DEX上的流动性提供者因遭受更高的损失将获得额外的补偿。

18、bEarnFi

损失金额：约1086万美元

简述：5月16日，基于BSC的跨链DeFi协议bEarnFi其bVaults的BUSD-Alpaca策略遭遇闪电贷攻击，池中近1086万枚BUSD被耗尽。

IEA大幅下调2020年石油需求 WTI原油刷新18年新低:4月15日消息，美原油下挫4%跌破前低，最低报19.20美元/桶，刷新2002年2月以来新低。布伦特原油跌超5%。稍早前，IEA月报称预计2020年石油需求较上年减少930万桶/日；随着需求下降超过欧佩克+的减产量，石油储备可能会饱和。（财联社）[2020/4/15]

处理方案：bEarnFi表示将创建一个补偿基金，由剩余的储蓄资金、开发资金、DAO资金和协议产生的一部分费用组成，之后将对余额进行快照以部署补偿合约。

17、EOSNation

损失金额：1500万美元

简述：5月14日，EOSNation闪电贷智能合约遭受到重入攻击，相继有约120万枚EOS和46.2万枚USDT被盗。

处理方案：flash.sx称，损失的所有资金都在eosio.prods的安全控制下，已发起提案更改黑客EOS账户权限，通过后会将资金返还给用户。

16、xToken

损失金额：约2500万美元

简述：5月13日，DeFi质押和流动性策略平台xToken遭到闪电贷攻击，xBNTaBancor池以及xSNXaBalancer池流动性被立即被耗尽，造成约2500万美元损失，

处理方案：xToken团队表示计划将XTK供应总量的2％用于弥补被盗损失。

15、RariCapital

损失金额：1400万美元

简述：5月8日，DeFi智能投顾协议RariCapital其ETH资金池出现了一个因集成AlphaFinanceLab协议而导致的漏洞，击者通过部署一个辅助合约操控ibETH中ibETHToken的价格，导致Rari遭受1400万美元的巨额损失。

处理方案：RariCapital将把用来扩大团队规模的200万枚预留RGT归还给DAO，用来补偿受攻击影响用户和奖励贡献者。

14、ValueDeFi

损失金额：两次共计1500万美元

动态 | 央行发布2020年度招聘公告 央行数字货币研究所欲招聘6人:10月10日，中国人民银行人事司发布《中国人民银行分支机构和直属单位2020年度人员录用招考（招聘）公告》。招聘信息显示，中国人民银行数字货币研究所招聘人数为6名，要求所学专业涉及计算机、密码学、微电子和计量经济学。相关工作主要涉及负责法定数字货币及相关模型的软件系统研发工作、法定数字货币交易终端的技术研发工作，以及金融科技、数字货币、支付清算相关领域分析工作等。在补充信息一栏中，招聘公告显示，具有以下经验者优先：系统架构设计、区块链技术开发或应用、前端设计开发、大数据平台开发、密码算法、安全协议和安全体系结构的设计和实现、移动互联网研发的可优先考虑，具有金融科技、数字货币及支付清算相关领域研究经历者优先。[2019/10/10]

简述：基于以太坊与BSC的DeFi协议ValueDeFi在5月5日和5月7日分别遭受两次攻击，第一次攻击源于ValueDeFi的ProfitSharingRewardPool合约出现代码漏洞，其vStake池子受影响，共损失超20万枚BUSD和8790枚BNB；第二次攻击源于ValueDeFi的vSwap合约出现代码漏洞，IRONFinance的部分池和产品受到攻击。

处理方案：团队将使用保险基金中的8,530VALUE和多签中的122,463VALUE，共计130994VALUE进行补偿，其余251702VALUE将使用团队的VALUE进行补偿。

13、Spartan

损失金额：3000万美金

简述：5月2日，基于BSC的合成资产协议SpartanPoolsV1被攻击，由于流动性份额计算不当的漏洞，攻击者从资金池中转移了约3000万美元的资金。

处理方案：发行新的SPARTA代币，并将原本未发行的2000万枚代币补偿此前因攻击遭受损失的资金池LP。

12、Uranium

损失金额：5000万美元

简述：4月28日，基于BSC的AMM协议Uranium遭到黑客攻击，其合约在迁移的过程中遭遇黑客攻击利用，其中涉及金额高达5000万美元。据慢雾分析，此次问题发生在Uranium项目的pair合约上，该合约的swap函数部分在根据恒定乘积公式检查合约余额时，存在精度处理错误的问题，导致最后合约中计算出的余额比合约实际的余额大100倍，这种情况下，如果攻击者使用闪电贷进行借款，只需要归还借贷金额的1%即可通过检查，盗走剩余的99%的余额，导致项目损失。

处理方案：Uranium项目终止运营。

11、EasyFi

损失金额：?约4090万美元

简述：4月19日，Layer2借贷协议EasyFi团队成员称，有大量EASY代币从EasyFi官方钱包大量转移到以太坊网络和Polygon网络上的几个未知钱包。可能有人攻击了管理密钥或助记词。黑客成功获取了管理员密钥，并从协议池中以USD/DAI/USDT形式转移了600万美元的现有流动性资金，并将298万枚EASY代币转移到了疑似黑客的钱包中。

处理方案：EasyFi在Polygon上的用户发布补偿方案，将在区块高度13464478处进行快照，符合资格的每个地址会分两部分获得补偿，其中，25%的资金将直接获得赔偿，另外75%将以EZ支付。EZ是与EASYV2代币EZ1比1对应的代币。

10、ForceDAO

损失金额：约36.7万美元

简述：4月4日，DeFi量化对冲基金ForceDAO项目的FORCE代币被大量增发，黑客通过出售增发代币获利约36.7万美元。此漏洞发生的主要原因在于FORCE代币的transferFrom函数使用了「假充值」写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致事故的发生。

处理方案：Force团队称，已从黑客地址中收回的45枚ETH，剩余的约75％的损失将以空投新FORCE代币的形式进行补偿。针对利用黑客事件进行套利且遭到损失的用户的空投比例为1.5：1。

9、IronFinance

损失金额：17万美元

简述：3月17日，稳定币抵押平台IronFinance被黑客攻击，两个vFarm流动资金池共损失17万美元。据官方表示，攻击事件起因是由于云服务升级更改了奖励率整数，但官方团队并未意识到该问题。

8、TSD

损失金额：1.6万美元

简述：3月15日，跨链稳定币TrueSeigniorageDollar表示，恶意攻击者利用TSDDAO在其账户中铸造118亿枚TSD代币，并全部在Pancakeswap出售并获得1.6万美元。

7、MeerkatFinance

损失金额：3100万美元

简述：3月4日，BSC生态币安智能链DeFi协议MeerkatFinance疑似跑路，自称金库合约遭遇黑客攻击，随后自称为MeerkatFinance开发者的Jamboo发布声明称，这仅是一个实验，Meerkat将进行数据更新和执行智能合约来补偿用户。处理方案：直接退还Vault余额的95%，剩下的5%将通过新产品XFarm公平分配。Meerkat于UTC时间3月6日18时重启质押和Vault合约，将在24小时后部署swap合约并向用户发布指令。

6、DODO

损失金额：约380万美元

简述：3月9日，去中心化交易所DODO表示，DODOv2版本的WSZO、WCRES、ETHA、Fusible众筹池遭黑客攻击，团队已下线相关资金池建池入口。据成都链安团队分析，被攻击原因是合约的init函数未进行限制，从而导致攻击者有权利进行调用。

处理方案：黑客主动归还了价值约310万美元代币，价值约20万美元的资金在中心化交易所被冻结，剩余价值约50万美元的资金损失由DODO团队承担。

5、PaidNetwork

损失金额：约300万美元

简述：3月6日，DeFi协议PaidNetwork因合约漏洞被攻击，攻击者铸造价值近1.6亿美元的PAID代币，并出售获得2000ETH。

处理方案：重新启动代币合约的部署，并向黑客攻击后四小时内交易的用户空投PAIDV2代币。

4、Furucombo

损失金额：1500万美元

简述：2月28日，DeFi收益聚合协议Furucombo智能合约出现严重漏洞，攻击者使用假合约混淆FuruсomboProxy，利用漏洞盗取超过1500万美元ETH和其他ERC-20代币，并转移到自己的钱包地址。

处理方案：Furucombo创建赔偿池并分配500万COMBO代币，并向受影响的用户发出500万iouCOMBO代币，该代币将在360天内线性解锁，该代币持有者可以在偿还池中申领COMBO。

3、AlphaFinance

损失金额：3750万美元

简述：2月13日，跨链DeFi平台AlphaFinance遭到攻击，由于该项目集成了CreamFinance的无抵押贷款功能，黑客利用该功能漏洞使用闪电贷从CreamFinance处盗取了约3750万美元。

处理方案：AlphaFinance将攻击者存入AlphaHomoraV2与CreamV2部署器合约的2000ETH支付欠款，并承诺使用AlphaHomoraV1和V2储备金的20%偿还剩余的资金，按月向CreamV2IronBank支付，直至新增债务全部还清。

2、BT.Finance

损失金额：150万美元

简述：2月9日，智能收益聚合器BT.Finance遭受闪电贷攻击，受影响的策略包括ETH、USDC和USDT。

处理方案：CoverProtocol向该项目赔付了黑客攻击中损失的140906枚DAI的60%。

1、YearnFinance

损失金额：1100万美元

简述：2月5日，YearnFinancev1版本的yDAI机池漏洞被黑客利用，损失1100万美元，该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV。据Certik安全技术团队分析，此次攻击事件是黑客通过闪电贷获得攻击启动资金，并利用Yearn项目代码漏洞完成。

处理方案：Yearn官方使用YFI创建MakerCDP并弥补赤字，并将通过协议费予以弥补。同时，CoverProtocol、NexusMutual等DeFi保险协议相Yearn理赔了部分损失。

标签：ANCFINNCENANFinancial Intelligence Group TokenImpossible FinanceVTD FinanceHelena Financial

币安app下载热门资讯