區(qū)塊鏈作為過去十年最偉大的技術(shù)發(fā)展之一，除了為傳統(tǒng)金融、跨境支付與結(jié)算、供應(yīng)鏈、征信與反欺詐、用戶隱私等應(yīng)用領(lǐng)域帶來革新性進(jìn)展外，受區(qū)塊鏈原生思想、文化而孕育出的去中心化金融（DeFi）以顛覆者的形象崛起，旨在構(gòu)建一個(gè)無需第三方、公平自主、對所有人開放的金融體系。DeFi被認(rèn)為具有無限活力和可能，有望重構(gòu)金融交易和服務(wù)模式，在經(jīng)歷了2年多的蟄伏期后，DeFi于2020年6月底爆發(fā)，迅速發(fā)展壯大，成了當(dāng)前區(qū)塊鏈?zhǔn)澜鐐涫懿毮俊⒔鹑陬I(lǐng)域落地最大，也是采用率最高的應(yīng)用之一。但隨著DeFi短時(shí)間內(nèi)吸引了成百上千萬資金，也讓它們成為了大量黑客攻擊的目標(biāo)，鏈上安全事故頻發(fā)。
據(jù)公開資料顯示，2020年DeFi攻擊事件達(dá)到了60起，損失逾2.5億美元，其中至少10起為閃電貸攻擊，包括bZx、Balancer、Harvest、Akropolis、Cheese Bank、Value DeFi和Origin Protocol等多個(gè)DeFi項(xiàng)?遭到攻擊。
盡管仍有近2個(gè)月的時(shí)間2021年才宣告結(jié)束，但據(jù)OKLink不完全統(tǒng)計(jì)，截至11月7日，2021年年初至今已經(jīng)發(fā)生了82起鏈上安全問題，初始被盜資金約18.16億美元，但其中約有7億美元已經(jīng)歸還，被盜資金的總額達(dá)到了11.16億美元。

與2020年對比明顯的除了攻擊事件顯著增多外，單個(gè)項(xiàng)目被盜金額在量級(jí)上也有了顯著提升。據(jù)Rekt排行榜顯示，前十大DeFi黑客攻擊事件中，僅有1起發(fā)生在2020年。排名前三的分別是Poly Network（6.11億美元）、Compound（1.47億美元）以及Cream Finance（1.3億美元）。
其中僅Poly Network被盜資金就超過了2020年全年，不過好在攻擊該項(xiàng)目的黑客事后已歸還全部被盜資金。最近一次大規(guī)模的攻擊，當(dāng)屬于10月28日Cream Finance遭受到的閃電貸攻擊，損失超過1.3億美元，被盜的資金主要是Cream LP代幣和其他ERC-20代幣。據(jù)了解，這并非是Cream Finance遭受的初次攻擊，去掉本次，僅2021年，Cream Finance就因閃電貸、合約漏洞亦或是被其他DeFi項(xiàng)目連帶影響，就已經(jīng)遭受了3次攻擊，損失共計(jì)5,740萬美元。
從2021年年初至今的82起安全事件中，我們發(fā)現(xiàn)閃電貸是黑客最常用的手段，占到了33起，其次是合約漏洞，共27起。此外，因激勵(lì)機(jī)制變更、私鑰或助記詞泄露（保管不當(dāng)）等因素也會(huì)導(dǎo)致黑客攻擊。接下來，我們將結(jié)合具體案例，為大家展現(xiàn)。
Cream Finance再遭閃電貸攻擊，損失1.3億美元
10月27日，DeFi借貸協(xié)議Cream Finance遭到閃電貸攻擊，攻擊者從C.R.E.A.M. Ethereum v1市場取走約1.3億美元代幣。
閃電貸是指不需要抵押資產(chǎn)，在同一個(gè)區(qū)塊內(nèi)完成借款、還款的一種貸款方式。需要說明的是，閃電貸本身只是一種工具，沒有好壞之分，但因?yàn)殚W電貸不時(shí)出現(xiàn)在與DeFi暴雷相關(guān)的新聞中，因此在很多不明就里的人眼中，閃電貸似乎成為了惡意攻擊者的幫兇，這其實(shí)是對閃電貸的誤解。
事實(shí)上，閃電貸甚至可以稱得上是智能合約上的一個(gè)偉大創(chuàng)新。由于DeFi存在結(jié)構(gòu)性缺陷，所以在大多數(shù)抵押借貸協(xié)議里都要求用戶超額質(zhì)押資產(chǎn)，這就意味著資金利用率會(huì)變得十分低下。閃電貸的出現(xiàn)，大大降低了資金成本，用戶可以在不需要任何抵押借款的情況下，只需付出極小的手續(xù)費(fèi)（如AAVE上的閃電貸手續(xù)費(fèi)僅為 0.09%），就能獲得巨額的資金，用戶在借到款后，可以利用借到的資金進(jìn)行其他操作，在交易結(jié)束時(shí)，只需將借款及手續(xù)費(fèi)及時(shí)歸還，否則該筆交易就會(huì)回滾，猶如什么都沒有發(fā)生過，因此它可以用于套利、交換抵押品和自我清算等。
針對此次Cream Finance攻擊，攻擊者從MakerDAO閃電貸借出5億枚DAI，接著質(zhì)押兌換成4.51億枚yDAI，再將yDAI在Curve ySwap中添加流動(dòng)性獲得4.47億枚

熱點(diǎn)：代幣 區(qū)塊鏈 區(qū)塊鏈?zhǔn)澜?/a> 智能合約 金融