5月28日,BSC再传噩耗,又有两个项目被黑客攻击。
BSC链上自动做市商BurgerSwap以及BSC链上DEX协议JulSwap先后遭到闪电贷攻击,前者损失金额在700万美元,后者损失未知。
至此,5月份发生在BSC上的黑客攻击、跑路甚至监守自盗事件累计多达11起,涉及金额2.6亿美元。攻击方式主要是闪电贷,受损最严的是项目代币,LP代币几乎不受影响。BSC集中在5月暴雷,是巧合还是必然?是监守自盗还是被黑客盯上?参与BSC项目的投资人心惊胆战,纷纷议论下一个被攻击的对象会是哪个,要不要逃离BSC系。
11个项目集中暴雷,损失金额近3亿美元
即将过去的5月,对于BSC来说,是最灰暗的一个月。本月有11个项目集中暴雷,包括BSC最大的借贷平台Venus、BSC最大的机池pancakebunny、BSC最早的DEX平台BurgerSwap。这些项目在被攻击前,有些正如日中天,有些早已落寞。被攻击后,有些平台应对得力,社区重拾信心。有些平台动作迟缓,社区骂声一片。有些平台气焰嚣张,公然跑路。
观点:若以太坊持续拥挤 或导致DeFi“黑色星期四”历史重演:DeFi生态系统在三月的黑色星期四经历了一场巨大清算危机。Multicoin Capital管理合伙人Tushar Jain认为,以太坊网络的持续拥堵是另一个此类事件的潜在催化剂:“由于以太坊的拥挤,在基于以太坊的DeFi平台持有杠杆头寸的交易员面临着无法在波动时期降低杠杆率的风险。ETH价格是由DeFi杠杆驱动的,当杠杆需要平仓但不能平仓时会发生什么?巨大的清算。这可能导致3月12日的历史重演。”(NewsBTC)[2020/8/15]
良心兔子——pancakebunny
Pancakebunny是BSC上最大的机池,也是曾经DeFi领域最大的机池,锁仓量最高的时候超过75亿美元。它的最大功劳就是帮助pancakeswap锁住了CAKE的流动性,推动CAKE市值不断走高。至今,社区内依然有投资者坚定地持续囤CAKE,几乎从未卖出。
分析师:比特币价格自黑色星期四以来涨幅达137%:全职交易员兼加密分析师Michael van de Poppe在推特表示,尽管比特币价格最近大幅下跌,周日一度跌至8900美元,但自黑色星期四(3月12日)以来涨幅为137%。
早在周五(6月26日),分析师Joseph Young表示,对比特币市场来说,这应该是一个非常有趣的周末:价值6.75亿美元的期权到期;在6月24日暴跌7%至9000美元下方之后;由于成交量相对较低,周末往往会出现剧烈的价格波动。(U.Today)[2020/6/28]
Pancakebunny被攻击的手法是闪电贷,黑客利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了697万个bunny的奖励。黑客从此次攻击中拿走了69.72万个BUNNY和11.46万个BNB。此后通过1inch将部分资产兑换为ETH并通过anyswap桥将其转换为了ETH。
分析师:技术因素显示XRP或再次测试“黑色星期四”低点:虽然XRP在0.21美元以上保持了很长一段时间,但最近的下跌打破了技术支撑。加密货币分析师Nik Patel解释称,XRP的市场结构在失去支撑后已经“转为看跌”:“我特别感兴趣的是图中由于最近市场结构破裂并转为看跌的突出区域。这种破裂和转折也发生在一个重要的领域:200日移动均线。”Patel进一步补充称,如果XRP继续被“该领域的底部”,即0.21美元的范围拒绝,他预计XRP将“迅速移动到0.175美元以下”。在那之后,它可能会再次测试0.125美元的区间低点,这是XRP在3月份“黑色星期四”崩盘时触及的低点。[2020/5/12]
事发后,pancakebunny迅速行动,先是暂停存/提款,然后迅速修补漏洞。当晚11点,pancakebunny拿出补偿方案,其中一条是:将通过发行新代币pBUNNY并创建补偿池,补偿原始持有者在被利用之时的市值与当前留存价值3900万美元之间的差额。这个方案诚意十足,这意味着,bunny持有者的这次损失将由项目方完全兜底。社区一片叫好,大赞良心兔子,bunny的价格从被攻击后的2美元涨至40美元。
清算损失者要求MakerDAO为“黑色星期四”承担责任:在黑色星期四,价格暴跌将许多终身加密货币坚定者的积蓄都化为乌有。尽管该系统在技术上没有出现故障,但一系列因素使一些机会主义者在抵押品拍卖中胜出,尽管他们的出价极低。而承受损失的人声称,他们要求MakerDAO对这一事件负责。其中,一些人指责MakerDAO缺乏责任感。他们要求回答一些问题,例如为何将治理协议最低竞标时间从3天更改为10分钟。到目前为止,MakerDAO还没有针对清算受害者的计划援助。(CoinDesk)[2020/3/25]
Pancakebunny面对危机,能够泰然应对,并拿出令人满意的补偿措施,是BSC上所有项目中做得最好的。
骂的最惨的项目——Venus
Venus是BSC最大的借贷项目,被网友称为币安亲儿子,存款额最高的时候超过150亿美元,几乎和同时期的AAVE的存款额相当。
动态 | “暗网”黑色交易生态曝光:买卖个人信息、,利用比特币交易,多起大案被查处:据21世纪经济报道,在11月14日上午部举行的新闻发布会上,部网络安全保卫局局长王瑛玮介绍,今年以来,全国共立“暗网”相关案件16起,抓获从事涉“暗网”违法犯罪活动的犯罪嫌疑人25名,其中已判处有期徒刑的2名,刑事拘留23名。
北京市局网络安全保卫总队副总队长刘尚奇介绍,所谓“暗网”,简单说就是隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权等才能登录。由于“暗网”匿名性等特点容易滋生以网络为勾联工具的各类违法犯罪,比如买卖各类支弹药、、公民个人信息、提供黑客工具、传授黑客技术教程,网络攻击,制作贩卖秽物品等。[2019/11/14]
Venus饱受诟病,包括:1)上线初期随意添加CAN作为抵押物,导致3000个BTC被借空。2)超额铸造VAI却不被清算BUG,导致XVS币价大幅下跌。3)突然收取提款手续费,导致BSC上大量机池遭受不同程度的损失。4)项目进展缓慢,对社区投资者的诉求不尊重等等。
如果说此前的“CAN事件”的发生是团队经验不足,那这次发生的“抵押XVS恶意借贷”则说明团队在犯错后没有丝毫进步。Venus的平台币XVS虽然不如CAN一样是空气币,但XVS的市场深度极低,价格很容易被操纵。5月19日晚,XVS瞬间爆拉,在价格最高点附近,有大户抵押XVS借出大量BTC和ETH。此后XVS迅速崩盘,抵押的XVS被清算,Venus平台产生了超过1亿美元的坏账。
事件发生后,社区骂声一片,投资人对Venus的最后信任被完全耗尽。就在今天,mediun上有一篇题目为《Venus.IOExploit—AnInsideJob》的文章,质疑此次“抵押XVS恶意借贷”导致的大规模清算事件为项目方“监守自盗”,呼吁币安创始人CZ立即对Venus展开调查。
一直被黑,一直热泪盈眶——ValueDeFi
ValueDeFi原来名称是YFValue,在以太坊上部署,后来扩展到BSC上。据神鱼表示,这个项目项目至少被黑了6次。网友调侃:“6次还没搞挂,生命力顽强。”
5月5日和7日,Value两次被攻击,间隔时间仅1天。在这次攻击事件中,有套利者趁机渔利。鱼池创始人神鱼表示,套利者用3000美金在BSC上买了37万个Gvvalue-B跨到ETH解压出40多万个Value,然后提到火币卖了1000多万人民币。
事发后,ValueDeFi发布gvValue-B补偿计划,将使用保险基金、多签及团队资金补偿。连续攻击导致Value元气大伤,锁仓从最高的约10亿美元跌至2000万美元。昨天,ValueDeFi官方表示,针对vBSWAP和VALUE持有者的补偿计划已接近尾声。
安全人员:漏洞很多,被发现是早晚的事
BSC在5月集中暴雷,引发各种猜测:是巧合还是必然?是监守自盗还是被黑客盯上?反观以太坊,最近出事的defi项目挺少,并不多见。
对此,BSC社区知名KOL、土澳大狮兄创始人LEON告诉巴比特,以太坊上的项目该被攻击的都被攻击过了,上面最近也没什么大项目。BSC还没怎么被攻击过,很多项目方警惕性也没那么高,所以黑客注意力转移过来了。
AmberGroup区块链安全专家吴家志博士告诉巴比特,应该是有团队盯上BSC了,上面的漏洞很多,BSC上面所有的东西和以太坊几乎都是一样的,都是基于solidity编程语言以及evm虚拟机。曾经在以太坊上犯过的错误,使用过的攻击武器在BSC上都会出现。
5月2日,BSC发生第一起闪电贷攻击,从此拉开了BSC闪电贷攻击的序幕。
吴家志说,在此之前,可能技术团队沒有尝试或者不太知道怎么在BSC上发起闪电贷,有了这次经验,在BSC发起闪电贷就容易多了。
此外,由于此前BSC上没有跨链桥,资金是逃不出币安的掌握,但是后面随着anyswap、nerve提供去中心化的跨链服务,黑客可以把钱洗成ETH逃出BSC,币安也没办法冻结。
在这次集中攻击事件中,我们注意到,诸如merlinlab、AutoShark等pancakebunny的仿盘在pancakebunny被攻击后同样不能幸免,则间接说明了项目方只是fork了其他项目的代码,对项目本身的逻辑并不能完全理解,因此无法逃脱被攻击的命运。尤其是merlinlab一天被攻击了两次,更是值得深刻检讨。
一连串攻击之后,受伤最重的无疑是那些深信价值币的投资者,这些项目方的代币在被攻击后基本“归零”,投资人损失惨重。这对在DeFi市场刚刚建立的价值评估体系打击是灾难性的,“挖提卖”似乎是唯一正确的途径。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。