2020年DeFi加密漏洞和黑客盗窃事件总结

2020年是DeFi的一年，但刚刚起步的去中心化金融生态系统的发展并非一帆风顺。

与往年不同的是，2020年的加密新闻并未受到主要交易所黑客攻击和数百万美元比特币盗窃的支配。但是，仍然有很多，其中大多数起源于新兴的去中心化金融Defi项目和流动性挖矿。

DeFi一直是2020年加密货币市场发展势头的主要驱动力之一，有理由认为新兴的金融格局已吸引了骗子和黑客。大量未经审核的智能合约以及克隆的代码已成为漏洞和利用的秘诀，常常导致数百万美元的数字资产被盗取。

2020年11月的CipherTrace报告指出，在上半年，DeFi占所有盗窃和黑客攻击的45％，造成超过5000万美元的损失。该报告称，下半年这个数字上升到所有盗窃和黑客事件的50％。

CipherTrace首席执行官Dave Jevans在接受Cointelegraph采访时警告称，Defi可能会受到监管打击：“到2020年，DeFi黑客现在占所有加密货币黑客的一半以上，这一趋势吸引了监管机构的关注。”

他补充说，监管机构更担心的是缺乏反洗钱合规性：“使用DeFi协议对2020年最大的黑客活动中被盗的资金-2.8亿美元的KuCoin黑客进行了洗钱。” 杰文斯还认为，2021年，监管机构有望明确DeFi协议可以采取哪些行动以避免不遵守AML反洗钱规定，代码安全审计和可能的制裁的后果。

2020年的交易所黑客事件

KuCoin黑客事件发生在9月下旬，当时交易所首席执行官Johnny Lyu确认，在私钥泄漏后，入侵事件影响了该公司的比特币，以太坊和ERC-20热钱包。

到10月初，KuCoin表示已识别出犯罪嫌疑人，并已正式将执法工作纳入调查。到11月中旬，这家总部位于新加坡的交易所宣布已追回84％的被盗加密货币，并恢复了其大部分可交易资产的全面服务。

今年还有其他交易所被黑事件，但KuCoin是最大的黑客活动受害者。今年2月，意大利交易所Altsbit在一次7万美元的黑客攻击中损失了几乎所有资金，并且还有其他一些次要的加密货币交易所违规行为。到2020年10月，由于种种原因，多达75个中心化加密交易所关闭了，黑客入侵成为主要的原因。

DeFi2020年的漏洞与黑客行为

随着数十亿美元投入DeFi协议和加密农场兴起，新兴的领域已成为黑客的温床。2020年的第一次大入侵发生在2月的DeFi借贷平台bZx上，当时有两次闪电贷款漏洞利用导致用户资金损失近100万美元。一笔闪电贷款是指在同一笔交易中借入并偿还加密抵押品的情况。

bZx停止了平台运营以防止进一步的损失，但这引起了业界观察家的批评，声称它毕竟最终是一个中心化平台，并且可能是“ DeFi的终点”。

市场在3月崩溃，导致大量抵押品清算，特别是对于Maker的MKR代币，但这不是黑客导致的。下一个是次月，当时使用称为ERC-777令牌标准重入方法的比特币包装版本的imBTC受到攻击。攻击者可以利用Uniswap的全部价值来提取流动资金，当时估计价值为30万美元。

4月，中国的加密借贷平台dForce使用同一漏洞利用了所有流动资金。黑客一再提高了借贷其他资产的能力，并从中获利约2500万美元。

六月，在Bancor的智能合约中发现了一个漏洞，导致多达460,000美元的代币流失。DeFi自动化做市商表示，他们已经部署了修复漏洞的新版本的智能合约。

Balancer是下一个通过计划周详的套利攻击从其流动资金池中窃取的以太坊包裹的以太币的DeFi协议，利用该协议的金额高达500,000美元。针对Balancer团队显然已经知道的漏洞，进行了一系列的快速贷款和套利的令牌交换。

bZx与其说是另一种利用，不如说是一种黑客手段，但在7月，bZx又一次成为新闻头条，其可疑的代币销售受到机器人在标记该代币生成事件开始的同一区域内下达购买订单的操纵。攻击者获得了将近一百万美元的价格上涨利润。

DeFi选择协议Opyn是八月份的下一个受害者，当时黑客利用其ETH Put期权赚取了超过370,000美元。该漏洞利用允许攻击者“双重练习”以太坊放置代币并窃取抵押品。Opyn使用白帽黑客手段从出色的金库中回收了USDC约440,000个，并将其归还给了Put期权卖方。

再次，不是直接的黑客攻击，而是未经审核的Yam Finance智能合约中的代码缺陷影响了治理令牌的重新定价，从而导致8月中旬价格暴跌。该协议被迫呼吁DeFi鲸鱼通过将其重新投票为版本2来保留它。

SushiSwap的出现

SUSHISwap传奇始于8月底，并创造了“吸血鬼挖矿”和“抽地毯”一词。匿名协议克隆者和管理员被称为“ Chef Nomi”，他出售了价值800万美元的SUSHI令牌，导致令牌价格暴跌。几天后，FTX交易所首席执行官Sam Bankman-Fried拯救了该协议，后者由DeFi鲸鱼财团通过多重签名智能合约将其控制。最终，所有资金都退还给了开发者基金。

在2017年上一届山寨币热潮期间，人们将抽拉地毯或称为“ pump and dumps”，并继续使用许多DeFi克隆产品，如Pizza和Hotdog。这些粮食农场的代币价格在数小时甚至数分钟之内飙升并暴跌。

10月中旬，成群的“堕落农民”或被称为“堕落农民”的一群人将资金堆积到DeFi协议Yearn Finance创始人安德烈·克罗涅（Andre Cronje）的未经审计且未经发布的智能合约中。Eminence Finance合同在Cronje在Twitter上发布关于新的“游戏多元宇宙”的预告片后几个小时内遭到黑客入侵，因此损失了1500万美元。黑客返还了约800万美元，但保留了剩余的剩余资金，这促使心怀不满的交易者针对Yearn团队因资金损失而提起法律诉讼。

10月下旬，对Harvest Finance协议进行了一次复杂的闪电贷套利攻击，导致大约7分钟内损失了2400万美元的稳定币。

11月对于Akropolis来说是一个特别痛苦的月份，不得不“暂停协议”，因为黑客窃取了200万美元的DAI稳定币。Value DeFi协议在一个非常普遍的闪电贷利用中损失了600万美元，产生收益的稳定币项目Origin Dollar被以700万美元被利用，而Pickle Finance在一个复杂的“'evil jar”利用中遭受了2000万美元的附带损失。

破坏利用该系统的模式的一个活动是在12月中旬对个人的人身攻击。Nexus Mutual DeFi协议的创始人休·卡普（Hugh Karp）从MetaMask钱包中损失了800万美元，当时一名黑客设法渗透到他的计算机中，从而欺骗了一笔交易。这些类型的攻击通常较不常见，因为它们涉及一定程度的社会工程。

到目前为止，迄今为止，本年度最后一次举报的闪电贷攻击是12月18日对Warp Finance的800万美元入侵。

在大约272,000名Ledger买家的个人信息遭到黑客入侵之后，许多零售交易商和投资者也对网络钓鱼尝试犯规，Ledger硬件钱包所有者也在2020年成为攻击目标。

在战斗中完善DeFi

2020年，大多数智能合约和闪电贷利用将随着新兴金融生态系统的发展而与之抗争。明年可能会出现新的，更智能的DeFi协议，但与往常一样，道高一尺魔高一丈，骗子，黑客和网络犯罪分子也将继续努力，以保持领先地位。

深入了解DeFi的当前世界需要极大的警惕和注意，但是在如此短的时间内它已经走了很长一段路，并且未来的去中心化金融格局也在不断发展。