去中心化金融（DeFi）指的是区块链应用，它从贷款、储蓄和互换等金融产品和服务中剔除了中间商。虽然DeFi的回报很高，但它也有很多风险。

由于任何人都可以启动DeFi协议并编写一些智能合约，代码中的缺陷很常见。而在DeFi中，有很多黑客能够利用这些缺陷。当这种情况发生时，数以百万计的美元被置于危险之中，用户往往无法追回。

根据Elliptic公司11月的一份报告，2021年，DeFi用户因盗窃而损失105亿美元。但正如我们列出的11个最大的DeFi漏洞所示，这个数字后来又增加了数百万。(以下所有数字都是事件发生时的资金价值）。

11.Grim Finance：3000万美元

通常情况下，dApps从它们所建立的区块链中获得主题灵感。因此，Avalanche生态系统充满了雪的元素，如Snowtrace、Blizz和Defrost。同时，Fantom生态系统感觉像是一个链上的万圣节派对。Grim Finance，一个收益优化器协议。

2021年12月，该协议遭受了一次重入攻击，这是一种攻击者在前一笔交易尚未结算时向金库伪造额外存款的漏洞。最终，该攻击欺骗了智能合约，盗取了3000万美元的Fantom代币。

10.Meerkat Finance：3100万美元

基于Binance智能链的借贷协议Meerkat Finance在2021年3月推出后仅一天就损失了3100万美元的用户资金。

攻击者调用了合约中的一个函数，使他们的地址成为金库的所有者，使项目中1396万美元的Binance稳定币BUSD和另外73000个BNB（Binance的原生代币）流失。BNB抢劫案当时价值约1740万美元。

许多用户认为这是一个内部操，Meerkat否认了这些指控。

9.Vee Finance：3500万美元

Avalanche

2021年夏天，Avalanche上的交易活动大增。

2021年9月，在借贷平台Vee Finance庆祝锁定资产总值达到3亿美元的里程碑后仅一周，它就遭遇了至今仍是Avalanche网络上最大的漏洞。

因为Vee Finance的杠杆交易功能依赖于Avalanche的主要流动性协议Pangolin提供的代币价格。攻击者在Pangolin上创建了七个交易对，提供流动性，并最终在Vee上进行杠杆交易。这使他们能够从该协议中抽走3500万美元的加密货币。

8.PancakeBunny: 4500万美元

在2021年春天，Binance智能链（BSC）（BNB链）是最热门的DeFi潮流，特别是对散户来说，但BSC也是很多骗局和黑客的宿主，其中最大的一次是2021年5月针对协议PancakeBunny的漏洞。

一名黑客通过一系列的八次闪电贷攻击操纵了PancakeBunny的定价算法，抬高了该协议的原生代币$BUNNY的价格。该黑客通过以市场价格廉价购买BUNNY美元，并以人为的高价出售，获得了4500万美元。

7.bZx：5500万美元

bZx

多链借贷协议bZx在2021年11月因 "私钥 "被泄露而被黑。该协议在Binance智能链和Polygon上共损失了5500万美元的部署。

虽然闪电贷款攻击是如今常见的DeFi漏洞策略，但bZx在这方面是个 "OG"。它在2020年2月受到闪电贷攻击，攻击目标是其保证金交易平台Fulcrum。黑客抢走了1300个ETH，当时价值36.6万美元。

在2020年9月的另一次攻击中，bZx损失了锁定在其金库中的30%的资金，当时价值800万美元。然而，持有未平仓保证金的用户没有遭受损失，该协议后来在一份报告中所说，这些资金被从bZx的保险基金中扣除。

6.Badger DAO：1.2亿美元

Badger DAO

2021年12月，比特币到DeFi的桥梁Badger DAO遭受了1.2亿美元的损失，因为骗子欺骗Badger DAO成员批准了恶意交易，让他们控制用户的金库资金并移动资金。

区块链安全公司PeckShield告诉Decrypt，该协议的合约在该漏洞中是安全的，只有用户界面受到了影响。

5.Cream Finance：1.3亿美元

Cream Finance

借贷协议Cream Finance在2021年10月的一次闪电贷攻击中损失了1.3亿美元--这是该协议遭受的第三次攻击。

闪电贷允许你即时贷款，只要你在同一笔交易中还款。虽然对套利游戏很有用，但它们被恶意行为者广泛用于利用DeFi协议的漏洞。在Cream Finance的案例中，闪电贷的黑客能够通过在不同的以太坊地址上反复进行闪电贷来利用一个定价漏洞。

2021年8月，一名黑客在另一次主要针对Flexa Network的原生代币AMP的闪电贷攻击中窃取了约2500万美元。而在2021年2月的一次闪存贷款攻击中，黑客从该协议的资金池中抽走了3750万美元。

4.Vulcan Forged：1.4亿美元

Vulcan Forged

Play-to-earn 是加密货币的最新趋势之一，Vulcan Forged是Polygon上的一个游戏平台，2021年12月它的用户损失了1.4亿美元。

根据一份事后报告，一名黑客获得了该平台的中心化的用户钱包--Venly的凭证，从而掌握了96个加密货币钱包的私钥。后来，黑客利用它获得了该平台资产组合功能-MyForge的私钥，并最终获得了450万个Vulcan Forged原生PYR代币。

Vulcan Forged首席执行官Jamie Thomson在对社区的讲话中说："在未来，我们将只使用去中心化的钱包，这样我们就不会再遇到这个问题了。"

3.Compound：1.5亿美元

Compound

像大多数DeFi协议一样，借贷协议Compound有一个治理token

2021年10月，出现了一个错误--"DeFi中最隐蔽的秘密"--让借款人索取超过其预期份额的COMP。该漏洞涉及其两个金库，或智能合约上的资金池。用户会在Reservoir金库上调用一个特定的函数--drip()，它将重新填充另一个金库--Comptroller。该金库将自动向错误的地址分发大量的COMP。

在8000万美元的COMP被发送到黑客手中后，该团队急于修补一个补丁。但在实施任何修复之前，该协议需要一个治理提案来通过。它是在10月2日创建的，最终在10月9日被接受。在社区辩论的时候，金库又损失了6880万美元。

Compound的创始人Robert Leshner是如何试图拿回这些钱的呢？他在推特上写道："任何将COMP返还给社区的人都是外星人，如果有一队外星人召唤我，我就会出现。" 几乎一半的资金被退回。

2.Wormhole：3.26亿美元

随着越来越多的第一层区块链上面建有DeFi，用户更希望在链之间转移资金。跨链桥接解决了这种需求，但也带来了新的漏洞。最具破坏性的跨链事件发生在2022年1月，当时流行的桥接器Wormhole损失了3.2亿美元的Wrappped Ethereum（wETH）。WETH是一种加密货币，与以太坊的价格以1:1的比例挂钩。

黑客瞄准了Solana，用户必须首先将以太坊锁定在一个智能合约中，该黑客设法找到了一个方法，在不锁定虫洞中的ETH的情况下铸造WETH。

虫洞开发的利益相关者Jump Trading Group主动补充了虫洞的以太坊库房，使其重新成为一个整体。

1.Poly Network：6.11亿美元

Poly Network

Poly网络的黑客攻击仍然是加密货币中最大的事件。不过幸运的是，在经历了一系列奇怪的转折之后，2021年8月10日开始的这个传奇故事在三天后愉快地结束了。

这次抢劫开始于一名黑客利用了Poly Network的 "合同调用"--为协议提供动力的几段代码--中的一个漏洞。这名黑客迅速盗走了6.11亿美元的各种加密货币，导致Poly发表了一封绝望的信，上面写着 "亲爱的黑客"。

这一沟通尝试以及随后的努力最终奏效。提供了50万美元的赏金，并为黑客提供了成为其首席安全顾问的机会。但在链上的问答环节，黑客解释说，这个漏洞只是为了给Poly Network一个教训。他们说，归还被盗资金是 "一直以来的计划"。

加密货币安全公司SlowMist表示，它确定了攻击者的身份标记，并且该漏洞 "可能是一个长期计划、有组织和有准备的攻击"。

两名男子因110万美元的NFT "跑路 "诈骗被捕

他们已经宣布了一个后续系列

Tips：rug pull一般指跑路。

美国政府检察官指控两名男子在一个加密货币 "rug pull "计划中犯有欺诈和洗钱罪。据称，Ethan Nguyen和Andre Llacuna通过出售基于被称为 "Frosties "的卡通人物的NFT，赚取了大约110万美元。在出售NFT后，他们关闭了项目，并将其资金转移到一系列独立的加密货币钱包，使Frosties的所有者失去了承诺的奖励。

根据刑事起诉书显示，美国国内税收局、刑事调查部门（IRS-CI）和国土安全调查部门（HSI）在收到关于该骗局的投诉后不久，于1月开始调查Frosties。Frosties是一个热闹的项目，它的8888个NFT--价格相当于以太坊的大约130美元--在公开发布后一小时内售罄。

但正如Protocol所报道的那样，创造者几乎立即放弃了它。当买家试图转售他们的NFT时，他们只赚了几美元，而且他们放弃了看到未来承诺的奖励的任何希望，包括他们的头像的3D版本和一个Frosties电子游戏。(然而，一些受骗的社区成员试图将Frosties作为一个独立的NFT项目复活）。现在，Frosties背后的两名男子已在加利福尼亚州洛杉矶被捕。

据称是Ethan Nguyen给Frosties社区版主的一条信息。

该投诉包括 Nguyen 向 Frosties 社区 Discord 服务器的版主明显的道歉和认罪。“我知道这令人震惊，但这个项目即将结束。我从来没有打算让这个项目继续进行，而且我对未来没有任何计划，”他写道。该消息继续说 Nguyen 向版主发送了一些以太坊“以解决你的麻烦”，并建议删除他们的 Discord 帐户。“我想让你知道我确实在乎。我欣赏你，即使你不欣赏我，”他总结道。

Frosties的经营者显然仍然有足够的信心，计划在3月下旬推出一个名为 "Embers "的后续系列。Embers的路线图包括5万美元的慈善捐款和一个由社区控制的钱包，该钱包将持有最初销售资金的四分之一--虽然红十字会确认收到了捐款，但后者的承诺似乎更令人怀疑。

但在其他细节中，调查人员将Nguyen和Llacuna的Discord账户数据（包括Nguyen的IP地址和Llacuna的电子邮件地址和电话号码）与Coinbase加密货币交易所的相应账户相匹配。Coinbase账户与花旗银行的信用卡和政府身份证相联系，这让执法部门追踪到这对夫妇。调查人员还追踪了一系列转移，据称 Nguyen 和 Llacuna 试图通过这些转移掩盖他们将 Frosties 资金发送到哪里，从而导致洗钱指控。

计划中的 "Embers "NFT路线图。

加密货币 "rug pull "计划极为普遍，但刑事案件仍然少得多。首先，NFT系列背后的团队往往不透露他们的合法身份--直到最近，即使是超高价的Bored Ape Yacht Club系列的创始人也仍然是假名。另一方面，利润丰厚的NFT系列的推出是一个相对较新的现象。而且，NFTs的法律地位总体上可能是模糊的。

但美国司法部发布的消息毫不含糊地称Frosties为骗局。"NFTs代表了金融投资的新时代，但同样的规则适用于对NFT或房地产开发的投资，"IRS-CI主管特别代理托马斯-法托鲁索在一份声明中说。"你不能为一个商业机会招揽资金，放弃该业务并带着投资者提供给你的钱潜逃。" 在任何情况下，如果你要这么做，你可能不应该在Discord上承认它。