前言
币安智能链由于其手续费低廉、出块速度快的特点,吸引了大批DeFi协议,助长了BSC链上DeFi生态的发展,而也由此逐渐成为黑客众矢之的。5月份以来,BSC生态DeFi项目频频遭遇闪电贷攻击等黑客攻击事件,据数据统计,总损失已超过1.57亿美元,也直接导致相关项目方虚拟资产币价闪崩,DeFi生态一片哀鸿。知道创宇区块链安全实验室?总结了5月BSC发生的安全事件,并就攻击手法和暴露出的问题进行探讨。
5月BSC安全事件盘点
BABYEVERDOG DAO报名竞选ZT DAO去中心化社区组织:据官方消息,ZT基金会已经推出ZT DAO去中心化社区组织,并于6月1日至6月30日期间启动报名竞选。此次活动吸引了圈内众多区块链社区和区块链爱好者参与,如BABYEVERDOG DAO已经成功报名,且锁仓1万枚ZTB。
ZT DAO是由区块链行业的人士和区块链爱好者共同组建的区块链社区,隶属于ZT基金会的去中心化社区组织,旨在以区块链技术为应用底层,丰富和完善ZT生态。同时ZT基金会将拿出1000万枚ZTB用于奖励所有ZT DAO的参与者和贡献者。[2021/6/22 23:55:54]
以下是5月BSC链上发生的DeFi领域的安全事件:
NBS去中心化交易所成功部署交易机器人:官方消息,NBS去中心化交易所已成功部署交易机器人,该交易机器人目前部署在NBS内盘NBS/USDT交易对上,主要用以连通中心化交易所深度,提升NBS内盘交易体验。昨日,NBS内盘NBS/USDT交易量超200万NBS。[2021/6/8 23:21:45]
5月2日,合成资产协议SpartanProtocol遭到闪电贷攻击,由于添加/移除流动性存在滑点修正机制的差别导致套利,损失3050万美元;
去中心化拍卖工具Bounce.finance调整每日交易奖励分配规则:去中心化拍卖工具Bounce.finance发推称,从UTC时间2020年11月16日02:00(北京时间10:00)开始,每日交易奖励分配将根据交易量大于1.5ETH的交易数量确定。与此同时,在挖矿、LP代币质押和治理方面,每日奖励已经减少到每天3枚BOT。[2020/11/16 20:56:17]
5月5日,机池项目ValueDeFi由于协议组合存在的冲突隐患遭到攻击,损失1000万美元,2天后再次遭到攻击,损失1100万美元;
5月16日,机池项目bEarnFi遭到攻击,由于策略合约提取逻辑的价格计算问题导致套利,损失1800万美元;
5月20日,PancakeBunny遭到闪电贷攻击,由于LP代币价格计算问题导致套利,损失约4500万美元;
5月23日,BoggedFinance遭到闪电贷攻击,由于交易手续费的销毁/分红机制和允许自我转账的问题导致套利,损失300万美元;
5月24日,机池项目AutoShark遭到闪电贷攻击,由于fork的PancakeBunny导致存在相同风险而被套利,损失75万美元,币价闪崩;
5月26日,Merlin项目遭到攻击,同样也是fork的PancakeBunny导致存在相同风险而被套利,损失680万美元;
5月28日,BurgerSwap遭到闪电贷攻击,由于重入漏洞和架构问题导致套利,损失约330万美元;
5月28日,JulSwap遭到闪电贷攻击,由于JulProtocolV2合约的错误计算导致攻击者套利,币价闪崩;
5月30日,BeltFinance协议遭到闪电贷攻击,由于beltBUSD价格计算可操纵导致套利,损失620万美元。
总结
BSC链上项目5月频频暴雷,DeFi领域安全形势依旧严峻,随着新型EVM兼容的公链生态发展,黑客的攻击目标已逐渐由以太坊转移至其他链的DeFi生态中。攻击手法则都相差无几,闪电贷的攻击手段不仅能降低黑客攻击的成本,同时也能大大提高攻击成功后的收益。
另外,在近期发生的攻击事件中,还暴露出当前DeFi生态存在的fork问题。众多项目在fork的基础上进行创新,进而打造出自己的DeFi协议,但如若对原协议没有深入的理解,就可能引入许多隐匿的漏洞或风险。而如果原协议也存在某种风险,那该风险的影响范围也将悄然扩张,引起连环效应,造成更大的损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。