比特彗星所在地区不可用(比特彗星 比特精灵 uTorrent QBittorrent)

投稿用户 资讯动态 阅读 52

去中心化金融(DeFi)是指区块链应用程序,将中间商从贷款、储蓄和互换等金融产品和服务中剔除。在DeFi带来高回报的同时,它也带来了许多风险。

由于几乎任何人都可以启动DeFi协议并编写一些智能合约,代码中的缺陷是常见的。在DeFi中,有许多肆无忌惮的行为者准备并能够利用这些缺陷。当这种情况发生时,数百万美元被窃取,用户往往没有追索权。

根据Elliptic去年11月的一份报告,DeFi用户在2021年因被盗而损失了105亿美元。但正如我们列出的最大的DeFi漏洞所显示的,这个数字已经增长了数百万。

1. Poly Network: 6.11亿美元

比特彗星所在地区不可用(比特彗星 比特精灵 uTorrent QBittorrent)

保利网络(Poly Network)的黑客仍然是密码学领域最大的黑客——不仅仅是DeFi。但幸运的是,从2021年8月10日开始的这一传奇,在经历了一系列奇怪的曲折后,在3天后迎来了圆满的结局。

这次盗窃始于一名黑客利用了保利网络(Poly Network)“合同调用”(contract calls)中的一个漏洞——为协议提供动力的代码片段。黑客们迅速窃取了价值6.11亿美元的各种加密货币,导致保利发布了一封绝望的信,称他为“亲爱的黑客”。

沟通的尝试,以及随后的延伸努力,最终奏效了。该交易提供了50万美元的奖金,并让这名黑客有机会成为其首席安全顾问。但在链上的问答环节,黑客解释说,这个漏洞只是为了给保利网络一个教训。他们说,归还被盗资金“一直是他们的计划”。

加密货币安全公司SlowMist表示,它已经识别了攻击者的身份标签,此次攻击“可能是一次长期计划、有组织和有准备的攻击”。

“现在每个人都闻到了阴谋的味道,”这些黑客说,他们否认自己是内部人员。“但谁知道呢?

2. Ronin: 5.52亿美元

比特彗星所在地区不可用(比特彗星 比特精灵 uTorrent QBittorrent)

过去一年最大的加密货币成功之一是基于nft的赚钱游戏开发商Axie Infinity。2022年3月23日,它成为加密领域最大黑客攻击之一的受害者,估计有5.52亿美元的加密货币使用“被黑的私钥”从桥流入其Ronin侧链。

当《axy Infinity》的开发者Sky Mavis在一周后披露这个漏洞时,被盗资金的价值已经上升到6.22亿美元。

根据Sky Mavis的一份报告,攻击者使用了“通过我们的无气RPC节点的后门,他们滥用这个后门来获得axy DAO验证器的签名”。

该报告解释说,由于高用户负载,Sky Mavis在2021年11月转向axy DAO分发免费交易,“axy DAO允许Sky Mavis代表其签署各种交易。这在2021年12月停止,没有撤销访问权限列表。”

利用这个漏洞,攻击者可以对Ronin网络上9个验证节点中的5个进行交易签名,包括AxieDAO的节点和Sky Mavis自己的4个节点。这使得攻击者得以伪造交易,并索赔17.36万WETH(包装以太坊)和2550万美元,总计约6.22亿美元。

Axie Infinity联合创始人杰夫·兹林(Jeff Zirlin)称其为“历史上最大的黑客攻击之一”,并指出“(黑客)可能会被识别出来,并被绳之以法。”

3. Wormhole: 3.26亿美元

比特彗星所在地区不可用(比特彗星 比特精灵 uTorrent QBittorrent)

随着更多的第1层区块链被建立在它们之上,用户在链之间转移资金的愿望越来越大。跨链桥解决了这一需求,但它们也引入了新的漏洞。最具破坏性的跨链事件发生在2022年1月,当时流行的桥梁Wormhole在包裹以太坊(wETH)中损失了3.2亿美元。WETH是一种与以太坊价格1:1挂钩的加密货币。

黑客瞄准了Solana的细分市场,在那里,用户必须首先将以太坊锁定为智能合约,以获得等量的包装以太坊。黑客成功地找到了解决这个问题的方法,用WETH代替了在虫洞中锁定ETH。

Jump Trading Group是虫洞开发的利益相关者,它主动补充了虫洞的以太坊仓库,并使其再次完整。

4. Beanstalk: 1.82亿美元

比特彗星所在地区不可用(比特彗星 比特精灵 uTorrent QBittorrent)

闪电贷款——很有用,但也很危险。就在庆祝协议锁定了1.5亿美元资产的两天之后,基于以太坊的Beanstalk发现,在一次闪电贷款攻击中损失了1.82亿美元。黑客通过龙卷风现金成功在以太坊洗钱8000万美元。

Beanstalk最著名的是其算法稳定币BEAN,它应该值1美元。虽然它在受到攻击后能够立即保持稳定,但该漏洞证明,算法稳定币的稳定性仅与支撑它们的合约一样。

5. Compound: 1.5亿美元

比特彗星所在地区不可用(比特彗星 比特精灵 uTorrent QBittorrent)

与大多数DeFi协议一样,借贷协议Compound有一个治理令牌COMP,该协议在特定条件下向用户分发令牌。

2021年10月,Compound开发了一个漏洞——“DeFi中保守得最好的秘密”——允许借款人申请超过其预期份额的COMP,该漏洞涉及其两个金库,即智能合约上的资金池。用户调用Reservoir vault上的一个特定函数——Drip(),它重新填充另一个vault Comptroller。保险库自动分配大量COMPs到错误的地址。泄漏的水龙头是在以前的协议更新中引入的错误的结果。

在向错误的人发送了8000万美元的COMPs后,该团队急于修复问题。但是在实施任何修复之前,协议需要通过一个治理提案。它创建于10月2日,最终在10月9日被接受。在社区辩论期间,金库又损失了6880万美元。

Compound的创始人罗伯特·莱什纳(Robert Leshner)是如何把钱拿回来的?通过Twitter,“任何将COMP返回社区的人都是外星人。如果有一队外星巨魔召唤我,我就会出现。”几乎一半的钱被归还。

    
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 cloud@ksuyun.com 举报,一经查实,本站将立刻删除。
如若转载,请注明出处:https://www.daxuejiayuan.com/12219.html
(0)
投稿用户
0
上一篇 2022年5月21日 01:49:05
下一篇 2022年5月21日 01:49:05

相关推荐