细数DeFi 历史上代价最高的五次黑客攻击；从创新性产品角度看Polynetwork 的黑客攻击

DeFi 历史上代价最高的五次黑客攻击。

去中心化金融（DeFi）的急剧崛起继续给加密货币用户带来无穷的机遇和危险。自从 2020 年加密子行业出现以来，我们已经看到数百万美元的加密货币因盗窃、剥削、黑客攻击、地毯拉扯和系统故障而损失。仅在 2020 年，就发生了 17 次重大的 DeFi 漏洞和黑客攻击，导致约 1.2 亿美元的资产损失，引起了加密行业的关注和独特创新。

尽管远非万无一失，但代码审计和更多的努力已经减缓了 2021 年 DeFi 的漏洞利用速度。这当然是一件好事，但生态系统中的资金量每天都在增长，这使得智能合约安全的重要性变得更加重要。通过了解过去的攻击，可以更好地了解我们未来可能面临的情况，所以让我们回顾一下自 2020 年 DeFi 领域成立以来发生的代价最高的前五名 DeFi 黑客攻击。

攻击的规模由攻击当天的加密货币价值表示，而不是当今的价值。由于大多数资金是通过 Tornado.Cash 或其他形式的混淆发送的，因此即使不是不可能，也很难知道漏洞利用的真实价值，尤其是当资产被换成不同的代币时。

Harvest Protocol (￥FARM)——2400 万美元

Harvest Finance 是一种自动化的收益农耕协议，适用于寻求将其资产投入高产出农耕池的投资者。在 2020 年 8 月 30 日推出近两个月后，Harvest 协议(￥FARM) 通过操纵仲裁被利用价值近 2500 万美元的资产。

未知攻击者通过以下交易成功提取了 13M USDC 和 11M USDT 面额的资金：
0 x53fae6f1d6b8a76a666a0bf7f9c724e6006465e544f89f1515b939d8911e8c58

黑客利用闪电贷操纵了 Curve yPool 中 Tether (USDT) 和 USDC 的价格。不知名的加密犯罪分子随后将 USDC 存入 Harvest Finance 以重新购买 USDT，然后再次从 Harvest 撤回 USDC。攻击者在 USDC 池中重复了 17 次相同的序列，在 USDT 池中重复了 13 次，并设法利用了超过 2400 万美元。

奇怪的是，在完成漏洞利用后，黑客将 240 万美元转移到 Harvest 的部署者合约中，这是一种内疚感，还是代价高昂的错误？我们永远不会真正知道，但黑客最终还是出售了 RenBTC 和以太坊资产。以太坊代币最终通过 Tornado.Cash 进行洗钱，而 renBTC 通过 REN 的协议发送回比特币网络。

Spartan 协议 (￥SPARTA) — 3000 万美元

Spartan 协议是指社区驱动的自动化做市商 (AMM)，它支持创建在 Binance Smart Chain 上运行的合成资产、激励流动性和资产交换。不幸的是，在 2021 年 5 月 1 日，去中心化金融项目遭到攻击，导致其系统中价值超过 3000 万美元的资产流失。

当用户烧毁他们的 LP 代币以提取基础资产以窃取资金时，攻击者利用了协议代码中存在缺陷的流动性共享逻辑。根据 REKT 的说法，黑客在烧毁类似数量的流动性池代币之前，使用闪电贷来膨胀流动性池中的资产，这使他们能够窃取更多数量的基础资产。

Alpha Homora Iron Bank（￥ALPHA）——3700 万美元

通过在 Alpha Homora V2 上发起的一系列贷款，杠杆流动性平台 Alpha Finance 被利用了价值超过 3700 万美元的资产。肇事者利用该平台的收益农耕和流动性协议，并从 Cream Finance 的 Iron Bank 借入了数百万美元的稳定币。每次成功借款，不道德的黑客都会获得两倍的贷款。

他们将获得的资金借回给 Iron Bank，后者给了他们稳定币作为回报，使他们能够伪造自己的价值以获得利润。攻击者通过编写一份合约来实现这一目标，该合约欺骗平台认为这是他们的合约。

PancakeBunny (￥BUNNY) — 4500 万美元

今年早些时候，币安智能链的收益聚合器和优化器 PancakeBunny 遭受了一次闪电贷攻击，导致在几秒钟内损失了价值约 4500 万美元的资产。

黑客利用闪电贷来操纵 BNB/USDT 和 BNB/BUNNY 交易对的价格，使他们能够借入超正常数量的 BUNNY 代币，这些代币立即被抛入市场。不幸的是，转储导致 BUNNY 代币的价格下跌了 90％ 以上。更糟糕的是，黑客用不可原谅的糟糕双关语为盗窃事件叫嚣，「 闪电贷不是耳熟能详吗？」 Bunny Finance 团队似乎没有从这次活动中学到太多东西，因为黑客还能够在 2021 年 6 月 20 日以 240 万美元的价格利用其新的基于 Polygon 的收益聚合器 PolyBunny。

Uranium Finance 迁移 (￥URA) — 5000 万美元

Uranium Finance 是指托管在币安智能链上的自动化做市商协议。去中心化金融平台因价值超过 5000 万美元的加密资产而遭到黑客攻击。即使在今年 4 月 28 日，该平台执行代币迁移时也发生了攻击。攻击者能够利用协议余额修改器逻辑上的编码错误，将其余额增加 100 倍。

黑客或黑客团体窃取了 80 BTC、1,800 ETH、26,500 DOT、570 万美元、638,000 ADA 和 112,000 URA 代币面额的资金。事实上，这是 Uranium Finance 协议在早些时候损失价值约 130 万美元的 BUSD 和 BNB 后第二次遭受攻击。

大多数黑客似乎利用闪电贷功能直接或间接从 DeFi 协议窃取资金。闪电贷是 DeFi 项目的一个重要特征，因为它使用户能够获得无抵押贷款，为小规模用户提供参与市场的机会。

原文作者：Steady State

原文链接：Top 5 Biggest DeFi Hacks

对 Polynetwork 的黑客攻击清楚地表明安全层不足，在当前的加密环境中，这种安全层肆无忌惮地多产。从长远来看，不仅会抑制大规模应用并阻碍加密领域的增长，而且可以看到网络安全仍然是数字货币市场的一匹黑马。尽管有无数的黑客攻击、洗钱事件以及由黑客入侵造成的普遍挥霍浪费，但根深蒂固且几乎教条式的反对朝着更强大的领域方向发展，这更令人费解。

是否可以防止诸如 Polynetwork 之类的黑客是一个猜测性问题。然而，可以有足够的把握说，没有足够的预防措施来试图避开攻击或停止流动性虹吸。跟踪过去的活动可以有效地用作初步追踪，检测可疑的追溯活动，从而相应地标记地址。因此，在去中心化领域内需要一种故障安全机制，该机制可以替代或携手执行与当前建立的中心化监管系统类似或补充的作用，即消除采用严密监视和去匿名化的需要。

在智能合约集成的帮助下，可以很容易地应用这一点，该集成记录在给定基础设施内交互的地址的流入和流出。然后可以通过应用各种聚类技术和阶乘值的自动嵌入式算法，系统或通过治理系统由专门指定的一组个人手动对每个记录的地址进行细粒度调查。随后使用各种数据集对不同类别的交易进行分组和聚类。最基本的类别可能包括给定时间内交易性质的二元表示，即“有风险”和“无风险”。风险交易是根据给定地址的先前活动以及促成该活动的因素或数据集的汇合来定义的。例如，可以建立声誉评分机制或 RSP，以便有效和高效地分析每个地址并赋予其相关分数。在这种情况下，“有风险”的交易被认为是有风险的，会对评分产生过多的负面影响。

区分风险因素需要精心设计的模式识别算法。这对于不要用词不当可能会导致一系列误解的特定地址至关重要。为了实现分配地址的粒度、特异性和准确性，需要查询过去交易活动的历史记录。同时，我们需要找到相似之处并适当地比较它们，以收集任何结果。因此，我们可以从发现的相似性中确定给定地址的倾向因素，并推断该地址实际上可能是一个“有风险”的地址。这也是可以轻松使用机器学习技术的关键时刻。机器学习将显著简化数据集提供所需的手动工作，并增强系统未来的检测能力。交易是基于预先输入的一组可量化特征进行分析的，因此这些特征也可以借助指标进行细分。机器学习不仅会附加到数据集，还会增强分类的准确性，这意味着可以获得更强大的自动化系统。

根据监管辩证法，需要不断修改、添加或完善某些参数，以便与不可避免的更改保持一致。这些变更可能包括行政决定、合规性法规，甚至当地颁布的法律。在这种情况下，系统能够完全自定义和动态调整以适应变化的监管实例。还必须添加一种 DAO 系统，以使系统去中心化，受到大多数人的共同决策的激励，或者换句话说，民主化和可塑性足以使系统能够不断增长，自给自足自治条例通过投票实施和定义。

HAPI 就是答案。 HAPI可以减少黑客的频率，让数字货币市场梯队更安全！HAPI 是一种跨链协议，旨在为 DeFi 市场创建新的网络安全标准，该标准采用机器学习来提供有关被盗资金和被盗钱包的实时数据。

期待更多创新协议和产品的出现……

原文作者：Dona Mara

原文链接：Created to Prevent. HAPI’s Vision on Polynetwork Hack