2021年迄今DeFi已发生82起安全问题

区块链作为过去十年最伟大的技术发展之一，除了为传统金融、跨境支付与结算、供应链、征信与反欺诈、用户隐私等应用领域带来革新性进展外，受区块链原生思想、文化而孕育出的去中心化金融（DeFi）以颠覆者的形象崛起，旨在构建一个无需第三方、公平自主、对所有人开放的金融体系。DeFi被认为具有无限活力和可能，有望重构金融交易和服务模式，在经历了2年多的蛰伏期后，DeFi于2020年6月底爆发，迅速发展壮大，成了当前区块链世界备受瞩目、金融领域落地最大，也是采用率最高的应用之一。但随着DeFi短时间内吸引了成百上千万资金，也让它们成为了大量黑客攻击的目标，链上安全事故频发。
据公开资料显示，2020年DeFi攻击事件达到了60起，损失逾2.5亿美元，其中至少10起为闪电贷攻击，包括bZx、Balancer、Harvest、Akropolis、Cheese Bank、Value DeFi和Origin Protocol等多个DeFi项⽬遭到攻击。
尽管仍有近2个月的时间2021年才宣告结束，但据OKLink不完全统计，截至11月7日，2021年年初至今已经发生了82起链上安全问题，初始被盗资金约18.16亿美元，但其中约有7亿美元已经归还，被盗资金的总额达到了11.16亿美元。

与2020年对比明显的除了攻击事件显著增多外，单个项目被盗金额在量级上也有了显著提升。据Rekt排行榜显示，前十大DeFi黑客攻击事件中，仅有1起发生在2020年。排名前三的分别是Poly Network（6.11亿美元）、Compound（1.47亿美元）以及Cream Finance（1.3亿美元）。
其中仅Poly Network被盗资金就超过了2020年全年，不过好在攻击该项目的黑客事后已归还全部被盗资金。最近一次大规模的攻击，当属于10月28日Cream Finance遭受到的闪电贷攻击，损失超过1.3亿美元，被盗的资金主要是Cream LP代币和其他ERC-20代币。据了解，这并非是Cream Finance遭受的初次攻击，去掉本次，仅2021年，Cream Finance就因闪电贷、合约漏洞亦或是被其他DeFi项目连带影响，就已经遭受了3次攻击，损失共计5,740万美元。
从2021年年初至今的82起安全事件中，我们发现闪电贷是黑客最常用的手段，占到了33起，其次是合约漏洞，共27起。此外，因激励机制变更、私钥或助记词泄露（保管不当）等因素也会导致黑客攻击。接下来，我们将结合具体案例，为大家展现。
Cream Finance再遭闪电贷攻击，损失1.3亿美元
10月27日，DeFi借贷协议Cream Finance遭到闪电贷攻击，攻击者从C.R.E.A.M. Ethereum v1市场取走约1.3亿美元代币。
闪电贷是指不需要抵押资产，在同一个区块内完成借款、还款的一种贷款方式。需要说明的是，闪电贷本身只是一种工具，没有好坏之分，但因为闪电贷不时出现在与DeFi暴雷相关的新闻中，因此在很多不明就里的人眼中，闪电贷似乎成为了恶意攻击者的帮凶，这其实是对闪电贷的误解。
事实上，闪电贷甚至可以称得上是智能合约上的一个伟大创新。由于DeFi存在结构性缺陷，所以在大多数抵押借贷协议里都要求用户超额质押资产，这就意味着资金利用率会变得十分低下。闪电贷的出现，大大降低了资金成本，用户可以在不需要任何抵押借款的情况下，只需付出极小的手续费（如AAVE上的闪电贷手续费仅为 0.09%），就能获得巨额的资金，用户在借到款后，可以利用借到的资金进行其他操作，在交易结束时，只需将借款及手续费及时归还，否则该笔交易就会回滚，犹如什么都没有发生过，因此它可以用于套利、交换抵押品和自我清算等。
针对此次Cream Finance攻击，攻击者从MakerDAO闪电贷借出5亿枚DAI，接着质押兑换成4.51亿枚yDAI，再将yDAI在Curve ySwap中添加流动性获得4.47亿枚

热点：代币 区块链 区块链世界 智能合约 金融