5天发生5起黑客攻击事件 DeFi项目几乎沦为黑客提款机

原标题：5天发生5起黑客攻击事件，DeFi项目几乎沦为黑客提款机

{image=1}

本报记者王永菲冉学东北京报道

据加密货币行情网站Coinmarketcap数据统计，目前在加密行业活跃的去中心化金融项目有5352个，包括类似于银行的借贷功能的数字货币P2P借贷平台、类似于传统交易所的去中心化交易所，以及去中心化钱包、稳定币、保险平台、身份认证等不同应用。

但是去中心化金融（下称：DeFi）目前并不成熟，时常出现黑客攻击、资金被盗甚至卷款跑路，以至于有业内人士戏称许多DeFi项目已然沦为黑客的提款机。2020年5月以来，随着DeFi项目的火热，项目增多，被攻击或者跑路的也越来越多。

据区块链生态安全团队慢雾安全统计，ETH DApp被黑损失总金额超过12.78亿，大部分为DeFi相关项目，其他诸如EOS DApp、波场DApp以及钱包中的去中心化金融项目被盗金额也相当巨大。从2021年6月25日至今不足一周的时间里，已经发生了5起DeFi项目被攻击事件。

去中心化金融又称为分布式金融，目前很多业内人士认为，更准确的说是“开放式金融”，在加密行业中习惯被称为Decentralized Finance，也就是DeFi。去中心化加金融似乎是一个非常好的结合点，在开放的去中心化网络中搭建是基础设施衍生出各类金融领域应用，以区块链技术和密码货币为基础，目标是完善或者重新创造已有的金融体系。类似于支付宝这类Fintech平台是处在传统金融与DeFi的一种过渡形式。

复旦大学泛海国际金融学院执行院长钱军接受本报记者采访时表示，目前所有的去中心化项目并不完全去中心化，可以说类似于一个开放性金融平台，并没有安全保障。

随着2021年5月份，6月份DeFi项目更频繁的被攻击，DeFi项目备受质疑。尽管许多DeFi项目方花费重金寻求安全审计的公司的审计，但是仍旧无法逃脱被黑客攻击的命运，更不用提许多根本没有做过安全审计的项目方，更是被攻击的重灾区。

从最近几起DeFi项目被攻击的案例中，可以看出被攻击者轻则系统短时间崩溃，重则资金被盗项目方跑路。

6月29日，去中心化跨链交易协议THORChain发推称发现一个针对THORChain的恶意攻击，THORChain节点已作出反应并隔离防御，该次攻击造成的资金损失为14万美元。

6月29日，收益聚合器Merlin Lab遭到黑客攻击，据派盾安全团队分析是源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞，合约误将收益者转账的 BNB 作为挖矿收益，使得合约增发更多的 MERL 作为奖励。经过重复操作，攻击者获利 30 万美元。MERDL 短时腰斩，从 $16.23 跌至 $6.09。

Merlin Lab遭到攻击后，迅速出现了宣布项目关停继而抛售代币、注销推特、微信群解散的火速“大逃亡”。项目方表示，屡次遭受黑客攻击之后，开发人员对项目前景不乐观，并认为没有更多的经验去应对未来潜在的挑战，最初的愿景无力实现，只得无奈关停项目。区块链安全团队PeckShield认为，Merlin Lab的行为可能为团队内部作恶，是一场卷款跑路自导自演的戏码。

6 月 28 日，Polygon 上算法稳定币项目 SafeDollar 遭受闪电贷攻击，损失金额达到25万美元；6月27日，去中心化借贷协议Wild Credit遭遇到黑客攻击。幸运的是遇到的是白帽黑客，65万美金全数归还。6月29日，Wild Credit在Immunefi漏洞悬赏平台推出最高2万美元的漏洞赏金计划；6月25日，DeFi协议xWin Finance遭到“闪电贷攻击”。据统计，xWin Finance代币（XWIN）24小时跌幅达近90%。据分析，攻击者通过“闪电贷”套出原始资金，并重复攻击步骤，最终完成获利，成功“薅羊毛”。

此前，较为出名的一次攻击是2020年4月19日，由dForce团队开发的去中心化借贷协议Lendf.Me遭黑客攻击，价值2500万美金的锁仓资产被黑客洗劫一空。虽然最终大部分被盗金额，也引发行业广泛关注。

从被盗的角度，攻击手法通常是逻辑漏洞、闪电贷攻击、交易排挤攻击、私钥泄漏、智能合约漏洞以及自导自演攻击后跑路。

无奈的是，即便被攻击，项目方依托自身资源寻求帮助外，却没有任何其他保障；而遇到项目方跑路的投资者更是寻本无归，求助无门。从安全方面讲，传统金融机构如银行以及类似于支付宝的持牌机构的安全性如铜墙铁壁，多重安全保障，令投资者较为放心。

Primitive Ventures创始人万卉此前在社交平台上曾表示：“DeFi的黑客攻击事件其实是一个很典型优胜劣汰的过程”。

近日，美国加密货币衍生品交易平台BitMEX 创始人 Arthur Hayes 在《I Still Can‘t Draw a Line》的文章中写到，在加密市场中，价值传输机制脱离了金融中介机构的控制。因此，加密市场中的金融中介机构的生死取决于其业务模式和风险管理系统。如果他们破产，没有救世主。不幸的是，用户损失了资金，但是网络会继续按照代码规定的那样运行。

责任编辑：张亚楠