1.简介
Spartan Protocol,一个基于BSC的去中心化协议,旨在激励流动性并合成资产,因“流动性份额计算存在缺陷”,于5月2日遭遇大规模套利攻击,导致约3000万美元损失。具体而言,黑客利用漏洞放大了池内资产余额,销毁等量池内代币后,成功窃取巨额资金。2.影响与排名
此次攻击使Spartan Protocol成为DeFi史上损失金额仅次于EasyFi(5900万美元)、Uranium Finance(5720万美元)、Kucoin(4500万美元)、Alpha Finance(3750万美元)和Meerkat Finance(3200万美元)的第六大受害者。1.事件概述
在BSC上举足轻重的借贷平台Venus,其管理代币XVS价格遭到恶意操纵,引发了一场DeFi清算风暴,造成超过2亿美元的清算和1亿美元的协议坏账。数百名用户深受其害,遭遇资金损失或清算。这一事件直指团队风控疏漏,尤其在Binance交易所XVS价格明显被操控后,Venus协议仍允许最大额度借款,导致约200万XVS被迫清算。2.价格预言机问题
如同DAI价格预言事件(损失$ 88M),Compound曾因Open Price Feed备受Chainlink社区指责,但事实上,即便使用Chainlink,类似问题依然存在。本次Venus事件中,预言机价格近乎翻倍,致使至少两个账户得以借入巨额资产。尽管目前尚不清楚Chainlink具体从何获取XVS价格数据,但在流动性单一市场背景下,这一点显得并不重要。3.黑客行为与后果
狡猾的黑客通过操纵,成功从Venus借出4.2k BTC(价值约1.65亿美元),并转移至BSC代币交易中心。他们留下约8000万美元的BTC坏账,所有抵押品已被清算,无人偿还债务。这场浩劫对Venus后续运营造成了重大困扰,受害用户愤怒情绪蔓延,犹如生根发芽的种子,等待时机爆发或被命运抹平。1.攻击手法与损失
黑客在BSC上通过Bunny Finance铸造超1亿美元+69.7万枚BUNNY代币,导致约4000万美元资产被盗,包括11.4万枚WBNB。受此影响,BUNNY代币价格从146美元骤降至6美元。2.攻击步骤详解
黑客采取以下步骤实施攻击:3.资产转移与代币现状
黑客已通过神经桥向以太坊转移10.1k ETH(价值约2350万美元),BSC地址上另有约1400万美元。经历攻击后,BUNNY代币价格从最高点240美元断崖式下跌至几乎归零,现稳定在20美元左右。1.盗窃事件与嚣张声明
2021年5月23日,一伙胆大包天的黑客盗走3200万美元,并在DeFi100官网上公然宣称:“我们骗了你们,你们已无能为力。”项目方在Twitter更新,声称遭黑客攻击,但如此嚣张的言论实为黑客所为。DeFi100表示正在寻求项目重启方案。真相究竟如何,是真正被盗还是监守自盗,黑暗面难以揭示。代币价格暴跌至0.13美元,失去价值,用户对项目信心彻底崩溃。1.资金被盗详情
5月7日,Value DeFi遭遇非50/50池约1100万美元被盗,加之因合同重新初始化导致的600万美元损失。被盗资产包括:2.攻击原理与根源
由于Value DeFi在非标准池中采用Bancor公式替代不支持资产比率非50/50的Uniswap,看似一切有序,实则暗藏风险。攻击者利用力量()函数处理“_baseN”情况时的缺陷,当一对中第二个代币余额显著减少时,该函数无法正常工作。这是项目团队未经深入理解盲目分叉他人代码导致漏洞的根本原因。3.补偿措施与后续影响
Value DeFi在一周内连续遭受两次攻击,其原本高达10亿美元的总锁仓价值(TVL)瞬间崩塌,降至2000万美元,降幅达80%。项目方启动补偿计划,将Reserve Fund(2802.75 vBSWAP)中的所有vBSWAP及来自ValueDeFi部署者的205,659 BUSD用于赔偿池内用户,剩余4540 vBSWAP将被铸造以补偿所有受影响用户。4.仿盘骗局频现
在Value DeFi风波之后,BSC上仿盘项目如pancakebunny的AutoShark、Merlinlab等接踵而至,相继卷走用户资金。这些骗局如同寄生虫般依附于BSC,不断欺诈用户。据统计,BSC在一系列攻击中损失超过3亿美元,生态系统遭受重创,受伤用户纷纷逃离。尽管如此,我们仍然期待BSC能够力挽狂澜,走出阴霾。