此前BSC上没有跨链桥,资金逃不出币安的掌握;但是后面随着anyswap、nerve提供去中心化的跨链服务,黑客可以把钱洗成ETH逃出BSC,币安也没办法冻结。而Defi协议受攻击后,挽回资产的难度极大。
《区块链日报》(杭州,记者 徐赐豪)讯 5月30日,币安智能链BSC(以下简称BSC)上的Belt项目被黑客攻击,损失达620万美元。
至此,5月份发生在BSC上的黑客攻击、跑路事件多达13起,累计涉及金额2.7亿美元。这让BSC上的用户心惊胆战,纷纷议论下一个被攻击的项目会是哪个,要不要逃离BSC。
据不完全统计,今年以来各个链上发生的DeFi安全事件达到48余起,造成损失约5亿美元。多位业内人士向《区块链日报》表达了担忧,作为去中心化的DeFi,其安全性问题日渐凸显。
一个月13个项目集中“暴雷”
5月30日,BCS上的DeFi项目Belt遭黑客攻击,损失金额在620万美元左右,目前平台上的资金池已经暂停提款和存款。不过对于本次事件造成投资人的损失,官方还未给出补偿措施,而这是Belt遭受的第二次打击。
5月2日,BSC发生了第一起闪电贷(闪电贷就是在极短的时间内完成贷款,归还贷款加利息的整个过程,闪电贷要求所有的合约操作全部打包进一个区块,必须在一个区块的时间内完成。发起人无需抵押,如果发动闪电贷失败,这笔交易就如同没有发生过一样——交易并不会被打包入区块,借的资金也会原路退回。)攻击,从此拉开了BSC闪电贷攻击的序幕。
对此,币安智能链(BSC)在社交媒体上发消息称:"最近已经接连发生超过8起针对BSC链上项目的闪电贷攻击,我们认为现在有一个有组织的黑客团队盯上了BSC。"
《区块链日报》记者根据公开事件统计,整个5月BSC上共发生了13起攻击事件,涉及的资产已超2.7亿美元。其中,BSC头牌借贷项目Venus,黑客攻击造成的损失高达1亿美元,目前其锁仓量也离高点下跌了高达70%。
据区块链安全服务公司PeckShield派盾统计,截至2021年5月31日,各个公链上发生DeFi安全事件48余起,造成损失约5亿美元。
此前《派盾2020年年度数字货币反洗钱报告》显示,2020年虚拟货币⿊客攻击事件仍呈爆发的趋势,达到170件;其中,DeFi攻击事件达到60起,损失逾2.5亿美元。这60起 DeFi攻击事件中,有⾄少10起为闪电贷攻击,黑客利⽤闪电贷,以极低的成本撬动巨量资⾦,在多个协议间进⾏价格操纵或套利。
所谓的DeFi,decentralized finance,“去中心化金融”,“分布式金融”或者“开放金融”,一般是指基于智能合约平台(例如以太坊)构建的加密资产、金融类智能合约以及协议。
成都链安科技有限公司创始人杨霞向《区块链日报》记者表示,“闪电贷攻击”是近期安全事件中黑客使用的最为主要的攻击手法,DeFi资产安全完全依赖其代码的安全;倘若代码中存在安全隐患,则很有可能导致资产瞬间被窃取一空。
矛与盾该如何解?
值得注意的是,此前BSC上没有跨链桥,资金逃不出币安的掌握;但是后面随着anyswap、nerve提供去中心化的跨链服务,黑客可以把钱洗成ETH逃出BSC,币安也没办法冻结。
一连串攻击之后,受伤最重的无疑是投资者,这些项目方的代币在被攻击后基本“归零”,投资人损失惨重。
例如,5月25日,基于BSC的固定利率协议AutoShark Finance遭到闪电贷攻击,致使其币价闪崩,从1.2美元快速跌至0.01美元。
据第三方统计数据显示,截至目前Defi的市场规模在672亿美元,而2020年7月份还不到70亿美元。就在大家疯狂参与到DeFi项目时,莱特币创始人李启威曾指出了DeFi的致命弱点。
“我们知道区块链项目的最大价值在于它的去中心化,能够让金融系统运作起来更加公开透明,利用分布式架构解决市场的信息不对称。”但是在李启威看来,去中心化恰恰是DeFi的致命弱点。
由于DeFi强调的是去中心化,这就意味着系统一旦出现Bug就不能撤销重来。而这种问题并不会在中心化金融里出现。比如:在股票市场,如果出现了系统问题,也可以通过回滚解决。但是由于DeFi是去中心化的,如果大家把大量的资金放入DeFi,万一系统出现问题,投资者的钱就很可能拿不回来了。
“DeFi 作为区块链中发展的重要一环,是⾮常有意义的⾦融创新,是对传统金融的革新,但是要在保障安全的基础上鼓励创新,才是构筑DeFi可持续发展的基石。”PeckShield派盾安全相关负责人向《区块链日报》记者表示,目前处于 DeFi 协议超发的时代,随着时间的推移,大浪淘沙,那些注重安全、爱护自己羽毛的DeFi协议才能存活下来。
他指出,如果生态成员不重视和维护整个生态的安全性,当用户的信任消耗殆尽之时,自然就会转战下一个战场;如果开发者对安全不够重视的话,不论转到哪条公链,攻击者都会尾随而来。
针对BSC被持续攻击一事,《区块链日报》寻求币安方面的回应。币安回复如下:
Defi协议受攻击后,挽回资产的难度极大,原因主要有四点:首先,由于区块链去中心化的特性,缺乏有效手段阻止被盗资产在区块链上的转移;此外,当前提供跨链服务的协议众多,资产的跨链转移同样难以阻止;其次,区块链账户虽然在区块链上是透明的,但无法将区块链账户与链下实体做出对应;最后,当前区块链隐私项目和混币器众多,例如以太坊上的Tornado就可使资产流向变得不可追溯,很难追踪被盗资产。
