2022 年十大 DeFi 黑客：黑客变得更加大胆

简单来说

• 根据 Peckshield 的数据，今年迄今为止，DeFi 平台的开发总额为 23.2 亿美元。
• 事实证明，区块链桥是最薄弱的环节，Ronin Network 的 6.2 亿美元盗窃案位居榜首。
• 大约 50% 的被盗资金通过 Tornado Cash 清洗。

去中心化金融（去中心化金融 ) 有时被批评为加密行业的“狂野西部”。如果今年到目前为止从多个协议中窃取的 23.2 亿美元可以用作对状态的准确描述去中心化金融 今天，当时的批评家笑到了最后。

据称是从推出比特币 2009 年，随着 Compound Finance 所谓的“收益农业”投资策略的推出，DeFi 在 2020 年真正腾飞。

现在，数以千计的去中心化应用程序或 dApp 正在使用中。德菲拉玛报告 超过 537.3 亿美元的总价值被锁定在 DeFi 中——这些数字如此诱人，以至于引起了不受欢迎的参与者——黑客的注意。

入侵系统
DeFi 是加密货币的一部分，它广泛地忠于比特币的去中心化和隐私的基本精神，保持对政府监督的冷嘲热讽。然而，这种自由不受约束冒着极大的风险而来 .

根据 到区块链安全 据 PeckShield 公司称，今年到目前为止，黑客已经从 DeFi 行业窃取了超过 135 项漏洞，价值超过 23.2 亿美元。这个数字比整个 2021 年整个行业被盗的数字高出 50%。

多年来，网络窃贼采用了多种策略来开展工作。最常用的攻击方法包括蜜罐、出口诈骗、漏洞利用、访问控制和闪贷，直接数据库 .以下是 PeckShield 策划的 2022 年迄今为止的十大 DeFi 漏洞。

Ronin Network：亏损——6.2 亿美元
浪人网络以太坊 基于侧链的加密游戏 Axie Infinity，于 3 月发布被骗 超过 6.2 亿美元的 ETH 和 USDC。攻击者在两笔交易中从 Ronin 桥接合约“使用被黑的私钥伪造虚假提款”。

该漏洞发生在 3 月 23 日，仅在一周后一名用户未能提取 5,000 以太币时才被发现。黑客总共窃取了 173,600 ETH 和 2550 万美元，当时价值超过 6.2 亿美元。

Ronin Network 黑客事件被认为是历史上最大的 DeFi 黑客事件。 PeckShield 说，它仍然是今年迄今为止最大的。

虫洞桥：损失——3.2 亿美元
2 月 2 日，攻击者虹吸 超过 3.2 亿美元的 ETH 从 Wormhole 协议中提取出来，Wormhole 协议是一种流行的跨链加密桥梁索拉纳 , 以太坊,雪崩 ， 和别的。

Wormhole 用户需要抵押以太坊来铸造封装的 ETH，这是一种与以太坊价格挂钩的加密货币。

分析公司 Elliptic 将漏洞利用归咎于 Wormhole 未能验证“监护人”账户。允许攻击者在没有以太坊支持的情况下铸造 120,000 wETH。黑客随后将 93,750 wETH 兑换成以太坊，将剩余部分兑换成 Solana。当时损失的总价值超过 3.2 亿美元。

Nomad Bridge：亏损——1.9 亿美元
8 月 2 日，黑客从 Nomad 窃取了约 1.9 亿美元的加密货币，Nomad 是一种允许用户将代币从一个区块链交换到另一个区块链的工具。

攻击始于对 Nomad 代码的升级。每次用户进行交易时，智能合约的一部分都会被标记为有效。这使得不良行为者提取的资产多于存入平台的资产。黑客重复这个过程，直到 1.9 亿美元的加密货币从桥中移出。 Nomad 直到为时已晚才发现。

Beanstalk Farms：亏损 1.82 亿美元
4 月，一名攻击者从 Beanstalk Farms 窃取了 1.82 亿美元的加密货币，这是一种旨在平衡不同加密资产供需的 DeFi 协议。

PeckShield 表示，攻击者利用了 Beanstalk 的多数投票治理系统，并投票给自己发送了 1.82 亿美元。该公司表示，攻击者使用闪电贷获得协议的控股权，但他们的实际利润仅为 8000 万美元左右。

Wintermute：亏损1.6亿美元
冬寂是最新的 DeFi 协议成为黑客的受害者，黑客从该平台的去中心化金融部分窃取了 1.6 亿美元。首席执行官 Evgeny Gaevoy 表示，这次黑客攻击与以太坊虚荣地址生成工具 Profanity 中的一个严重错误有关。

他说 Wintermute 使用该工具生成唯一地址是为了降低交易成本，而不是为了“虚荣心”。人为错误似乎是这次特殊攻击的幕后黑手。

埃尔隆德：损失——1.13亿美元
6 月，黑客利用去中心化交易所 Maiar 的漏洞窃取了约 165 万枚 Elrond egold (EGLD)，这是 Elrond 区块链的原生代币。研究人员表示，攻击者部署了一个智能合约并使用三个钱包从交易所窃取了价值约 1.13 亿美元的 EGLD。

黑客立即在同一个 DEX 上以 5400 万美元的价格出售了 800,000 个代币，其余的则在中心化交易所出售或换成以太坊。

Horizon Bridge：亏损——1 亿美元
就在 Elrond 漏洞利用几天后，黑客于 6 月 23 日再次发起攻击，打 地平线桥近 1 亿美元。 Horizon 是以太坊之间的跨链互操作平台，币安 智能链和和谐区块链网络。

PeckShield 透露，超过 9800 万美元的各种代币从 Harmony 管理的平台上流出并兑换成以太币。超过 50,000 个用户钱包受到影响。黑客后来通过 Tornado Cash 转移了 3500 万美元。

Qubit Finance：亏损——8000 万美元
DeFi协议说 1 月 28 日，它被攻击者利用，从其 QBridge 协议中窃取了 206,809 个币安币 (BNB)。这些代币总价值为 8000 万美元。

根据安全公司 Certik 的说法，攻击者利用 QBridge 合约中的存款选项铸造了 77,162 qXETH——一种用于表示通过 Qubit 桥接的以太坊的加密货币。攻击者愚弄平台，使其相信他们进行了存款。重复这个过程足够多次后，他们将资产兑换成 BNB，然后消失了。

Cashio：损失——4800万美元
卡西奥，一个稳定币 Solana 上的协议，在 3 月份遭受了团队所谓的“无限薄荷故障”攻击。黑客虹吸 从该协议中获得 4800 万美元，导致 Cashio 的 CASH 稳定币崩溃。

Cashio 允许用户使用生息流动性提供者代币支持的所有存款来铸造 CASH 稳定币。攻击者铸造了数十亿的 CASH，并将其换成 USDC 和 UST，在通过 DEX Saber 退出之前，它本身已经崩溃了。

黑客攻击后，与美元挂钩的现金跌至 0 美元。攻击者回 将钱存入持有少于 100,000 美元并承诺捐 剩下的捐给慈善机构。这是我们最后一次听说它，Cashio 战利品。现金死了。

尖叫：损失——3800万美元
基于 Fantom 的借贷平台 Scream遭受 从协议安全的角度来看，这可能是今年 DeFi 中最粗心的攻击之一。在稳定币之后，Scream 背负了 3800 万美元的债务，幻影 美元 (fUSD) 和 DEI，其价值固定为 1 美元，失去了挂钩。

由于该协议对两种稳定币的价值进行了硬编码，因此资产价值的下降并未在 Scream 上显示出来。鲸鱼利用这个漏洞耗尽了任何其他有价值的稳定币的协议，同时存入了去挂钩的 fUSD 和 DEI。

总计 3800 万美元的稳定币 FRAX、USDT、USDC 和 MIM 从网络中消失。事件发生后，Scream 放弃了硬核定价并转而使用链环 用于实时定价数据的预言机。鲸鱼保留了他们的战利品。 degens 的好发薪日！

被盗的数十亿美元发生了什么事？

好吧，它丢失了。其中大部分是永久性的。

PeckShield 表示，从上述协议中窃取的资金中，约有 50% 或 11.6 亿美元是通过 Tornado Cash 洗掉的，Tornado Cash 是美国政府 8 月份批准的基于以太坊的加密货币混合器，引起了加密社区的强烈反应。
Tornado Cash 允许加密货币用户混淆他们的金融交易历史，使其更难追踪。据美国安全机构 FBI 称，自 2019 年以来，该混合器已被与朝鲜有关联的黑客组织 Lazarus 等公司利用，洗钱超过 70 亿美元的加密货币。

虽然黑客带着数十亿美元消失了，但受影响的 DeFi 协议进行了一系列尝试来夺回他们的资金，但收效甚微。这样做的一种方法是简单地恳求攻击者归还不义之财，以换取某种奖励。或者根本没有。

Qubit Finance 对此进行了尝试，并提供了 200 万美元的赏金，这是它可以为任何此类所谓的白人黑客请求提供的最高赏金。它没有用。和谐也玩弄着同样的想法。它提供了一个100万美元的赏金 要求归还从地平线桥被盗的 1 亿美元，并承诺不追究刑事责任。黑客忽略了这个电话。什么都没有恢复。

然而，类似的策略在 2021 年 8 月对 Poly Network 奏效，攻击者归还了他们窃取的 6 亿美元中的大部分。
这种幸运延伸到了浪人身上。本月初，网络恢复 在加密安全公司 Chainalysis、美国财政部和 FBI 的帮助下，它损失了 3000 万美元。但这只是黑客入侵期间被盗的 6.2 亿美元的 5%。 FBI 估计，据称攻击者 Lazarus Group 通过 Tornado Cash 清洗了大约 4.55 亿美元。

在跨链桥被利用 1.904 亿美元后的第二天，Nomad Bridge 的黑客还向该平台返还了 900 万美元。在对任何返还的资金给予 10% 的赏金后，白人黑客又从被掠夺的总额中又砍回了 3200 万美元，并将其返还给跨链桥。其余的大部分都被黑客在不同的地址之间洗牌，因为他们拼命想保住被盗的财富。他们做到了。

虫洞从未收回其 3.2 亿美元。它必须得救。在漏洞修复后，拥有该协议权益的 Jump Trading Group 加入，以替换被盗的 120,000 ETH。

如何不被黑客入侵
显然，区块链桥似乎是最薄弱的关联 在 DeFi 中。个人和协议有一些方法可以保证安全。

区块链安全公司 Smart State 的创始人 Alex Belets 告诉 Be[In]Crypto：“在开发项目时，有必要起草明确的职权范围，通过测试尽可能地覆盖项目的功能，以避免逻辑错误。”

“使用自动漏洞扫描器，不要尝试实施有库的东西执行审计并确保您的私钥安全。不要使用像 Profanity 这样的第三方应用程序来生成私钥（Wintermute 的黑客原因），”他补充道。

免责声明
我们网站上包含的所有信息均出于善意发布，仅供一般参考。读者对我们网站上的信息采取的任何行动都完全由他们自己承担风险。