Defi：本月有14个Defi项目遭到攻击，损失总额超过2.5亿美元

BSC是黑客最活跃的攻击平台，Venus损失最高，超过1亿美元。

原标题：本月至少有14个DeFi项目遭到黑客攻击，总损失超过2.5亿美元

今年以来，DeFi产业发展迅速，一大批DeFi项目相继涌现，总锁定金额近900亿元。然而，由于许多项目的代码审核不严，它们也成为众多黑客觊觎的攻击目标。特别是5月份，DeFi安全事件频发明显增多。

据chain catcher统计，今年DeFi行业有27个项目遭到黑客攻击，而本月至少有14个项目遭到黑客攻击。平均每两天就有一个DeFi项目遭到攻击，总损失至少2.5亿美元，堪称DeFi历史上攻击频率最高、损失最大的一个月。

具体来说，本月遭到黑客攻击的DeFi项目包括burgerswap、julswap、Merlin、autoshark finance、bogged finance、pancake bunny、Venus、finnexus、bean fi、EOS nation、xtoken、rari capital、value DeFi和Spartan。

其中，闪电贷款是最重要的黑客攻击，至少有7个项目受到攻击；BSC是黑客最活跃的攻击平台，BSC公链中至少发生了11次攻击；攻击量一般都很大，至少有7个项目损失在1000万美元以上，金星损失最高的也在1亿美元以上。

以下是本月chain catcher对DeFi项目发起的14起攻击的详细总结：

汉堡交换

损失金额：约700万元

简介：2月28日，基于BSC的AMM项目bergerswap遭到FlashLoan攻击，432874个Buger被盗。

七月交换

损失金额：未知

简介：2月28日，基于BSC的AMM项目julswap遭遇闪贷攻击，货币价格下跌高达90%。

梅林

损失金额：约68万元

简介：5月26日，BSC生态自动收入聚合器Merlin遭到黑客攻击。由于该项目的getreward代码存在漏洞，大量蛋糕代币被手动转移到保险库合同中，导致约59000个额外的merls和240个ETH通过销售。

解决方案：团队将补偿代币cmerrl空投给用户，代币持有者将能够从补偿池中获得BNB奖励。同时，额外的开发团队资金将用于执行烧录和回购活动，以恢复代币价格。

自动共享金融

损失金额：约82万元

简介：5月25日，基于BSC的固定利率协议autoshark finance遭到闪贷攻击。在LP值错误和手续费数目错误的情况下，sharkinter合同在计算攻击者的贡献时最终计算了一个非常大的值，导致sharkinter合同为攻击者铸造了大量的shark代币，结果，其货币价格迅速从1.2美元跌至0.01美元，攻击者每月获利82万美元。

如何处理：官方表示，他们将发行一种新的代币jaws，以补偿受损用户。

陷入困境的金融

损失金额：300万美元

简介：5月23日，基于BSC的聚合交易平台bogged finance正式发布消息称，黑客对bog代币合约质押功能漏洞进行了闪贷攻击。黑客利用煎饼对交换码，在完成合同验证前提取质押收入，导致投出超过1500万枚bog代币，这些代币中的大部分本应分配给bog的质押人。

解决方案：发行新币，将被盗bog代币返还质押用户。

班尼煎饼

损失金额：约4200万元

简介：5月20日，基于BSC的WiFi收入聚合器pancake bunny遭遇闪电贷款攻击，损失了114631个BNB和697245个bunny。后者被黑客大量铸造和出售，价格一度从240美元跌至2美元。据certik安全团队调查，由于pancakebunny使用pancakeswap AMM计算资产价格，黑客恶意利用flash loan操纵AMM池价格，利用Bunny在投币时的计算问题成功完成攻击。

解决方案：pancake Bunny将发行一个新的代币pbunny，并创建一个补偿池，以补偿Bunny的原主人因代币价格大幅下跌而造成的损失。

维纳斯

损失金额：1亿美元以上

简介：5月18日晚，基于BSC的DeFi借贷平台Venus token被巨鲸翻倍。随后，价值数亿美元的BTC和ETH被借入，并与xvs一起作为抵押资产转出。此后，抵押资产xvs的价格急剧下跌，面临清算。然而，由于xvs市场缺乏流动性，系统未能及时变现，这导致金星出现了数亿元的巨额亏损。

解决方案：Venus向coin出售一些xvs代币，以弥补平台的损失。

芬尼克索斯

损失金额：700万美元

简介：5月17日，连锁期权协议finnexus遭到黑客攻击。黑客潜入并设法恢复了fnx代币合同管理器的私钥。攻击者伪造了3.23亿多fnx，然后在中心化和去中心化的交易所出售，导致价格大幅下跌。

解决方案：芬尼克斯团队表示，将在黑客攻击前发行新硬币，并按1:1的比例补偿所有fnx用户；DEX上的流动性提供者将因更高的损失获得额外补偿。

比尔恩菲

损失金额：约1086万美元

简介：5月16日，基于BSC的交叉链路DeFi协议Bearn fi的bvaults的busd-Alpaca策略遭遇雷击，池中近1086万条总线耗尽。

解决方案：bean-fi称将创建一个补偿基金，由剩余的储蓄基金、开发基金、Dao基金和协议产生的部分费用组成，然后将余额快照以部署补偿合同。

EOS国家

损失金额：1500万美元

简介：5月14日，EOS国家闪电贷款智能合约遭遇重入攻击，约120万EOS和46.2万USDT先后被盗。

解决方案：flash.sx表示，所有丢失的资金都在eosio.prods的安全控制之下，并已发起修改黑客EOS账户权限的建议，通过后将返还给用户。

克托肯

损失金额：约2500万美元

简介：5月13日，DeFi质押和流动性策略平台xtoken遭到闪贷攻击，xbnta Bancor池和xsnxa balancer池的流动性立即耗尽，损失约2500万美元，

解决方案：xtoken团队表示，计划使用xtk总供应量的2%来弥补被盗损失。

Rari资本

损失金额：1400万美元

简介：5月8日，由于集成了alpha finance lab协议，DeFi智能投资咨询协议rari capital的ETH池出现漏洞。攻击者通过部署辅助合同，操纵ibETH中ibETH代币的价格，导致rari capital损失1400万美元。

解决方案：rari capital将向Dao返还200万个保留rgt，用于扩大团队规模，以补偿受影响的用户并奖励贡献者。

价值定义

损失金额：两次，共计1500万美元

简述：基于以太坊和BSC的value DeFi协议分别于5月5日和5月7日遭到两次攻击。第一次攻击是由value DeFi的profitsharing rewardpool合同中的代码漏洞引起的，该漏洞影响了其vstack池，导致超过200000个总线和8790个BNB的总损失；第二次攻击是由vswap contract of value DeFi中的代码漏洞引起的，iron finance的一些池和产品受到攻击。

处理方案：团队将使用保险基金中的8530个值和多重签名中的122463个值，共计130994个值进行赔偿，剩余的251702个值将使用团队的值进行赔偿。

斯巴达人

损失金额：3000万美元

简介：5月2日，基于BSC的综合资产协议Spartan pools V1遭到攻击。由于流动性份额计算不当的漏洞，攻击者从资金池中转移了约3000万美元。

解决方案：发行新的斯巴达代币，并用2000万未发行的代币赔偿因攻击而遭受损失的基金池LP。