黑色五月:BSC 上11個專案遭攻擊,損失近3億美元,下一個會是誰?

買賣虛擬貨幣

5月28日,BSC再傳噩耗,又有兩個專案被駭客攻擊。

BSC鏈上自動做市商BurgerSwap以及BSC鏈上DEX 協議 JulSwap 先後遭到閃電貸攻擊,前者損失金額在700萬美元,後者損失未知。

至此,5月份發生在BSC上的駭客攻擊、跑路甚至監守自盜事件累計多達11起,涉及金額2.6億美元。攻擊方式主要是閃電貸,受損最嚴的是專案代幣,LP代幣幾乎不受影響。BSC集中在5月暴雷,是巧合還是必然?是監守自盜還是被駭客盯上?參與BSC專案的投資人心驚膽戰,紛紛議論下一個被攻擊的物件會是哪個,要不要逃離BSC系。

1

11個專案集中暴雷,損失金額近3億美元

即將過去的5月,對於BSC來說,是最灰暗的一個月。本月有11個專案集中暴雷,包括BSC最大的借貸平臺Venus、BSC最大的機槍池pancakebunny、BSC最早的DEX平臺BurgerSwap。這些專案在被攻擊前,有些正如日中天,有些早已落寞。被攻擊後,有些平臺應對得力,社羣重拾信心。

有些平臺動作遲緩,社羣罵聲一片。有些平臺氣焰囂張,公然跑路。

良心兔子——pancakebunny

Pancakebunny是BSC上最大的機槍池,也是曾經DeFi領域最大的機槍池,鎖倉量最高的時候超過75億美元。它的最大功勞就是幫助pancakeswap鎖住了CAKE的流動性,推動CAKE市值不斷走高。至今,社羣內依然有投資者堅定地持續囤CAKE,幾乎從未賣出。

Pancakebunny被攻擊的手法是閃電貸,駭客利用閃電貸操控了 WBNB-BUNNY 池子從而拉高了 LP 的價格,使得 BunnyMinterV2 合約鑄造了697萬個bunny的獎勵(價值約10億美元)。駭客從此次攻擊中拿走了69.72萬個 BUNNY和11.46萬個BNB。此後透過1inch將部分資產兌換為ETH並透過anyswap橋將其轉換為了ETH。

事發後,pancakebunny迅速行動,先是暫停存/提款,然後迅速修補漏洞。當晚11點,pancakebunny拿出補償方案,其中一條是:將透過發行新代幣pBUNNY並建立補償池,補償原始持有者在被利用之時的市值與當前留存價值3900萬美元(損失)之間的差額。這個方案誠意十足,這意味著,bunny持有者的這次損失將由專案方完全兜底。社羣一片叫好,大讚良心兔子,bunny的價格從被攻擊後的2美元漲至40美元。

Pancakebunny面對危機,能夠泰然應對,並拿出令人滿意的補償措施,是BSC上所有專案中做得最好的。

罵的最慘的專案——Venus

Venus是BSC最大的借貸專案,被網友稱為幣安親兒子,存款額最高的時候超過150億美元,幾乎和同時期的AAVE的存款額相當。

Venus飽受詬病,包括:1)上線初期隨意新增CAN作為抵押物,導致3000個BTC被借空。2)超額鑄造VAI卻不被清算BUG,導致XVS幣價大幅下跌。3)突然收取提款手續費,導致BSC上大量機槍池遭受不同程度的損失。4)專案進展緩慢,對社羣投資者的訴求不尊重等等。

如果說此前的“CAN事件”的發生是團隊經驗不足,那這次發生的“抵押XVS惡意借貸”則說明團隊在犯錯後沒有絲毫進步。Venus的平臺幣XVS雖然不如CAN一樣是空氣幣,但XVS的市場深度極低,價格很容易被操縱。5月19日晚,XVS瞬間爆拉,在價格最高點附近,有大戶抵押XVS借出大量BTC和ETH。此後XVS迅速崩盤,抵押的XVS被清算,Venus平臺產生了超過1億美元的壞賬。

事件發生後,社羣罵聲一片,投資人對Venus的最後信任被完全耗盡。就在今天,mediun上有一篇題目為《Venus.IO Exploit— An Inside Job》的文章,質疑此次“抵押XVS惡意借貸”導致的大規模清算事件為專案方“監守自盜”,呼籲幣安創始人CZ立即對Venus展開調查。

一直被黑,一直熱淚盈眶——Value DeFi

Value DeFi原來名稱是YFValue,在以太坊上部署,後來擴充套件到BSC上。據神魚表示,這個專案專案至少被黑了6次。網友調侃:“6次還沒搞掛,生命力頑強。”

5月5日和7日,Value兩次被攻擊,間隔時間僅1天。在這次攻擊事件中,有套利者趁機漁利。魚池創始人神魚表示,套利者用3000美金在BSC上買了37萬個Gvvalue-B跨到ETH解壓出40多萬個Value,然後提到火幣賣了 1000多萬人民幣。

事發後,Value DeFi釋出gvValue-B補償計劃,將使用保險基金、多籤及團隊資金補償。連續攻擊導致Value元氣大傷,鎖倉從最高的約10億美元跌至2000萬美元。昨天,Value DeFi官方表示,針對vBSWAP和VALUE持有者的補償計劃已接近尾聲。

2

安全人員:漏洞很多,被發現是早晚的事

BSC在5月集中暴雷,引發各種猜測:是巧合還是必然?是監守自盜還是被駭客盯上?反觀以太坊,最近出事的defi專案挺少,並不多見。

對此,BSC社羣知名KOL、土澳大獅兄創始人LEON告訴巴位元,以太坊上的專案該被攻擊的都被攻擊過了,上面最近也沒什麼大專案。BSC還沒怎麼被攻擊過,很多專案方警惕性也沒那麼高,所以駭客注意力轉移過來了。

AmberGroup區塊鏈安全專家吳家志博士告訴巴位元,應該是有團隊盯上BSC了,上面的漏洞很多, BSC上面所有的東西和以太坊幾乎都是一樣的,都是基於solidity程式語言以及evm虛擬機器。曾經在以太坊上犯過的錯誤,使用過的攻擊武器在BSC上都會出現。

5月2日,BSC發生第一起閃電貸攻擊,從此拉開了BSC閃電貸攻擊的序幕。

吳家志說,在此之前,可能技術團隊沒有嘗試或者不太知道怎麼在BSC上發起閃電貸,有了這次經驗,在BSC發起閃電貸就容易多了。

此外,由於此前BSC上沒有跨鏈橋,資金是逃不出幣安的掌握,但是後面隨著anyswap、nerve提供去中心化的跨鏈服務,駭客可以把錢洗成ETH逃出BSC,幣安也沒辦法凍結。

在這次集中攻擊事件中,我們注意到,諸如merlinlab、AutoShark等pancakebunny的仿盤在pancakebunny被攻擊後同樣不能倖免,則間接說明了專案方只是fork了其他專案的程式碼,對專案本身的邏輯並不能完全理解,因此無法逃脫被攻擊的命運。尤其是merlinlab一天被攻擊了兩次,更是值得深刻檢討。

一連串攻擊之後,受傷最重的無疑是那些深信價值幣的投資者,這些專案方的代幣在被攻擊後基本“歸零”,投資人損失慘重。這對在DeFi市場剛剛建立的價值評估體系打擊是災難性的,“挖提賣”似乎是唯一正確的途徑。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读