撰文：Ekin Genç & Stephen Graves，Decrypt

编辑：南风

有很多资金流入了 DeFi。但由于黑客攻击和漏洞利用，有时也会有大量资金流出。

去中心化金融 (DeFi) 是旨在将中间商从借贷、储蓄和兑换等金融产品和服务中剔除的区块链应用程序。虽然 DeFi 有着高回报，但也伴随着很多风险。

由于几乎任何人都可以启动一个DeFi 协议并编写一些智能合约，因此代码中的漏洞是很常见的。在 DeFi 领域，有许多不择手段的人准备并有能力利用这些漏洞。当这种情况发生时，数百万美元的资金就会处于危险中，而用户往往没有追索权。

根据 Elliptic 去年 11 月的一份报告，DeFi 用户在 2021 年因被盗而损失了 105 亿美元。但是，正如我们将在下文中列出的一些最大的 DeFi 漏洞攻击所显示的那样，这个数字已经增长了数百万。(以下所有数字均为攻击事件发生时的资金价值。)

通常，Dapps (去中心化应用) 从它们所构建的区块链中获得主题灵感。因此，Avalanche (雪崩) 区块链的生态系统充满了以「雪」为主题的应用，比如Snowtrace、Blizz 和 Defrost。与此同时，Fantom 区块链的生态系统就像是一个链上的万圣节派对。当出现问题时，这就增加了一层更加黑暗的色彩，比如 Fantom 链上的收益率优化协议Grim Finance发生的情况。

2021 年 12 月，Grim Finance 协议遭受了一次重入攻击(reentrancy attack)，这是一种攻击者在前一笔交易尚未结算时伪造额外的存款存入金库 (vault) 中的漏洞利用。最终，此次攻击导致了价值 3000 万美元的 Fantom 代币被盗。

DeFi 协议通常使用重入防护(reentrancy guards)，也即防止此类攻击的代码片段。区块链安全审计公司SolidityFinance 发布的 Grim Finance 审计报告错误地指出，该协议已经使用了重入防护。这提醒我们审计并不能保证漏洞不会发生。

12. Meerkat Finance：3100 万美元

有时候，一个 DeFi 协议不需要很长时间就会遭受第一次攻击。基于 BSC (币安智能链) 的借贷协议Meerkat Finance在 2021 年 3 月上线后仅一天就损失了 3100 万美元的用户资金。

攻击者在该合约中调用了一个函数，使该攻击者的地址成为了其金库合约的所有者，抽走了该项目中价值 1396 万美元的币安稳定币 BUSD，以及另外73000 BNB(币安的原生代币)，这些被盗的 BNB 当时的价值约为1740 万美元。

许多用户认为这是一场内部作案：该协议开发人员实施了一场 Rug Pull (卷款跑路)。Meerkat否认了这些指控。

2021 年夏天，Avalanche 链上的活动激增，这也吸引了那些渴望攻击该区块链网络新兴生态系统的人。

2021 年 9 月，借贷平台 Vee Finance 刚刚庆祝了其 TVL (总锁仓量) 达到 3 亿美元的里程碑，而一周后，该协议遭遇了Avalanche网络上最大的一场漏洞攻击。

此次攻击的发生，主要是因为 Vee Finance 的杠杆交易功能依赖于 Avalanche 上的主要流动性协议 Pangolin 提供的代币价格。为了利用这一点，攻击者在 Pangolin 上创建了 7 个交易对，提供流动性，最后在 Vee Finance 上进行杠杆交易。这使得该攻击者得以从 Vee Finance 协议中抽走价值 3500 万美元的加密货币。

在一条发给“亲爱的0x**95BA先生/女士”的推文中 (见下图)，Vee Finance 协议要求该攻击者返还这笔资金，且作为该协议赏金计划的一部分，让攻击者保留一部分资金。但该攻击者并没有返还这笔资金的意愿。

Crypto 领域通常会经历短暂但强烈的趋势。2021 年春季，币安智能链 (BSC)(现已更名为 BNB 链)有着最热门的 DeFi 趋势，特别是对散户用户，因为该链的网络费用较低。

但 BSC 链上也发生了许多骗局和黑客攻击，其中最大的一次是 2021 年 5 月的一次攻击，受攻击的是收益耕作协议PancakeBunny。

一名黑客通过 8 次闪电贷攻击操纵了 PancakeBunny 的定价算法，抬高了协议原生代币 BUNNY 的价格。该黑客先以市场价格低价买入 BUNNY，然后在人为抬高其价格之后高价卖出，盈利 4500 万美元。

2021 年 11 月，多链借贷协议bZx在“私钥”被泄露后遭到黑客攻击。该协议在 BSC 和 Polygon 链上总共损失了 5500 万美元。

但 bZx 此前已经经历过两次类似的痛苦。

虽然闪电贷攻击是目前 DeFi 领域常见的攻击策略，但 bZx 在这方面是一个“OG” (元老级项目)。2020 年 2 月，该协议成为闪电贷攻击的目标，攻击目标是其保证金交易平台 Fulcrum。这名黑客盗走了 1300 wETH，当时价值 36.6 万美元。