本月至少有14個DeFi項目遭黑客攻擊，總損失金額超2.5億美元

本文系鏈捕手原創文章，作者谷昱、Alyson。

今年以來DeFi行業發展迅速，大量DeFi項目相繼湧現，總鎖倉金額最高接近900億美元，但由於很多項目代碼審計不嚴格等原因，它們也成為大量黑客所垂涎的攻擊目標。特別是在5月，DeFi安全事故頻次大幅上升。

據鏈捕手統計，今年以來DeFi行業總計有27個項目遭到黑客攻擊，而本月就至少有14個項目遭到黑客攻擊，平均每兩天就有1個DeFi項目被攻擊，總損失至少為2.5億美元，堪稱是DeFi歷史上遭遇攻擊頻次最高、損失最大的一個月。

具體而言，本月遭受黑客攻擊的DeFi項目包括BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan。

其中，閃電貸是最主要的黑客攻擊手法，至少7個項目因此遭到攻擊；BSC則是黑客最活躍的攻擊平台，至少11次攻擊都發生在BSC公鏈；攻擊金額普遍較大，至少7個項目的損失金額超過1000萬美元，最高的Venus損失金額超過1億美元。

以下是鏈捕手對本月14起DeFi項目遭攻擊事件的詳細整理：

1、BurgerSwap

損失金額：約700萬美元

簡述：2月28日，基於BSC的AMM項目BergerSwap遭到閃電貸攻擊，被盜超過432874個BURGER。

2、Julswap

損失金額：未知

簡述：2月28日，基於BSC的AMM項目Julswap遭到閃電貸攻擊，幣價最高下跌90%。

3、Merlin

損失金額：約68萬美元

簡述：5月26日，BSC生態自動收益聚合器Merlin遭到黑客攻擊，由於該項目getReward代碼的存在漏洞，大量的CAKE代幣被手動轉移到Vault合約中，共導致了約59,000個MERL增發，並通過出售獲得240個ETH。

處理方案：團隊將向用戶空投補償代幣cMERL，該代幣持有者將能夠從補償池中獲得BNB獎勵。同時，額外的開發團隊資金將被用於執行燃燒和回購活動，以恢復代幣價格。

4、AutoShark Finance

損失金額：約82萬美元

簡述：5月25日，基於BSC的固定利率協議AutoShark Finance遭到閃電貸攻擊，在 LP 價值錯誤和手續費獲取數量錯誤的情況下，SharkMinter 合約最後在計算攻擊者的貢獻的時候計算出了一個非常大的值，導致 SharkMinter 合約給攻擊者鑄出了大量的 SHARK 代幣，致使其幣價閃崩，從1.2美元快速跌至0.01美元，攻擊者獲利月82萬美元。

處理方案：官方表示將發行新代幣 JAWS 補償受損用戶。

5、Bogged Finance

損失金額：300萬美元

簡述：5月23日，基於BSC的聚合交易平台 Bogged Finance 官方表示，黑客對 BOG 代幣合約質押功能漏洞進行了閃電貸攻擊，黑客利用 Pancake Pair Swap 代碼，在合約驗證完成前即提取了質押收益，導致鑄造了超過1500萬個BOG代幣，這些代幣大部分原本將分配給了BOG的質押者。

處理方案：發行新幣並將被盜BOG代幣返還給質押用戶。

6、Pancake Bunnny

損失金額：約4200萬美元

簡述：5月20日，基於BSC的DeFi 收益聚合器 PancakeBunny遭遇閃電貸攻擊，損失114631枚BNB和697245枚BUNNY，後者被黑客大量鑄造並拋售，價格從 240 美元閃崩，一度跌破 2 美元。根據CertiK安全團隊的調查，由於PancakeBunny使用PancakeSwap AMM來進行資產價格計算的，因此黑客惡意利用了閃電貸來操縱AMM池的價格，並利用Bunny在鑄造代幣的時候計算上的問題成功完成攻擊。

處理方案：PancakeBunny 將通過發行新代幣 pBUNNY 並創建補償池，補償BUNNY原始持有者由於代幣價格大跌造成的損失。

7、Venus

損失金額：超1億美元

簡述：5月18日晚間，基於BSC的DeFi借貸平台 Venus 代幣 XVS 被巨鯨拉漲翻倍，之後以 XVS 為抵押資產借走並轉移出去價值上億美元的 BTC 和 ETH，此後抵押資產 XVS 價格大跌並面臨清算，但由於XVS市場流動性不足系統未能及時清算，導致Venus出現上億美元的巨額虧空。

處理方案：Venus向幣安出售部分XVS代幣以彌補平台虧損。

8、FinNexus

損失金額：700萬美元

簡述：5月17日，鏈上期權協議FinNexus遭遇黑客攻擊，該黑客滲入並設法恢復了 FNX 代幣合約管理者的私鑰，攻擊者鑄造了超過 3.23 億枚 FNX，然後在中心化和去中心化交易所中出售，導致價格暴跌。

處理方案：FinNexus 團隊表示將發行新幣並按 1 比 1 補償給所有在黑客入侵之前持有 FNX 的用戶；DEX 上的流動性提供者因遭受更高的損失將獲得額外的補償。

9、bEarn Fi 

損失金額：約1086萬美元

簡述：5 月 16 日，基於BSC的跨鏈DeFi 協議 bEarn Fi其bVaults 的BUSD-Alpaca 策略遭遇閃電貸攻擊，池中近 1086 萬枚 BUSD 被耗盡。

處理方案：bEarn Fi 表示將創建一個補償基金，由剩餘的儲蓄資金、開發資金、DAO 資金和協議產生的一部分費用組成，之後將對餘額進行快照以部署補償合約。

10、EOS Nation

損失金額：1500萬美元

簡述：5月14日，EOS Nation閃電貸智能合約遭受到重入攻擊（re-entry attack），相繼有約 120 萬枚 EOS 和 46.2 萬枚 USDT 被盜。

處理方案：flash.sx稱，損失的所有資金都在 eosio.prods 的安全控制下，已發起提案更改黑客EOS賬戶權限，通過後會將資金返還給用戶。

11、xToken

損失金額：約 2500 萬美元

簡述：5月13日，DeFi 質押和流動性策略平台 xToken 遭到閃電貸攻擊，xBNTa Bancor 池以及 xSNXa Balancer 池流動性被立即被耗盡，造成約 2500 萬美元損失。

處理方案：xToken 團隊表示計劃將XTK供應總量的2％用於彌補被盜損失。

12、Rari Capital

損失金額：1400萬美元

簡述：5月8日，DeFi 智能投顧協議 Rari Capital其 ETH 資金池出現了一個因集成 Alpha Finance Lab 協議而導致的漏洞，擊者通過部署一個輔助合約操控ibETH中ibETH Token的價格，導致Rari遭受1400萬美元的巨額損失。

處理方案：Rari Capital 將把用來擴大團隊規模的 200 萬枚預留 RGT 歸還給 DAO，用來補償受攻擊影響用戶和獎勵貢獻者。

13、Value DeFi

損失金額：兩次共計1500萬美元

簡述：基於以太坊與BSC的DeFi協議Value DeFi在5月5日和5月7日分別遭受兩次攻擊，第一次攻擊源於 Value DeFi 的 ProfitSharingRewardPool 合約出現代碼漏洞，其 vStake 池子受影響，共損失超 20 萬枚 BUSD 和 8790 枚 BNB；第二次攻擊源於Value DeFi 的 vSwap 合約出現代碼漏洞，IRON Finance 的部分池和產品受到攻擊。

處理方案：團隊將使用保險基金中的8,530 VALUE和多簽中的122,463 VALUE，共計130994 VALUE進行補償，其餘251702 VALUE將使用團隊的VALUE進行補償。

14、Spartan

損失金額：3000萬美金

簡述：5月2日，基於BSC的合成資產協議 Spartan Pools V1 被攻擊，由於流動性份額計算不當的漏洞，攻擊者從資金池中轉移了約 3000 萬美元的資金。

處理方案：發行新的SPARTA 代幣，並將原本未發行的2000萬枚代幣補償此前因攻擊遭受損失的資金池LP。