GAS:盘点不安全的五月：BSC黑客攻击回顾

前言

币安智能链由于其手续费低廉、出块速度快的特点，吸引了大批DeFi协议，助长了BSC链上DeFi生态的发展，而也由此逐渐成为黑客众矢之的。5月份以来，BSC生态DeFi项目频频遭遇闪电贷攻击等黑客攻击事件，据数据统计，总损失已超过1.57亿美元，也直接导致相关项目方虚拟资产币价闪崩，DeFi生态一片哀鸿。知道创宇区块链安全实验室?总结了5月BSC发生的安全事件，并就攻击手法和暴露出的问题进行探讨。

5月BSC安全事件盘点

SuperDuperSecret Co.完成超100万美元种子轮融资:金色财经报道，区块链游戏开发公司SuperDuperSecret Co.宣布已完成超100万美元种子轮融资，Round 13 Digital Asset Fund、Merit Circle、Polygon、Solana、Overwolf、Big Brain Holdings、LD Capital、Sebastian Borget、Gabi Dijon和Christian Mane等参投。该公司正在开发一款“大逃杀”类型的国际象棋游戏“Royale Chess”，SuperDuperSecret会为新用户创建一个匿名托管钱包，并存储用户在游戏生命周期内积累的所有资产并可通过区块链获得所有权。（cryptosaurus）[2023/4/22 14:19:24]

以下是5月BSC链上发生的DeFi领域的安全事件：

Flare获Algorand基金会Bridges SupaGrant资助，为其构建比特币跨链桥:4月26日消息，跨链桥项目Flare宣布获得Algorand基金会数百万美元赠款，用于开发进入Algorand生态的比特币桥。Flare在新闻稿中表示，该桥将使用Flare的本地跨链协议进行设计，通过使用共识和风险缓解来管理桥接而不是托管多重签名方法，提供比现有技术更高的安全性。（腾讯网）[2022/4/27 5:13:40]

5月2日，合成资产协议SpartanProtocol遭到闪电贷攻击，由于添加/移除流动性存在滑点修正机制的差别导致套利，损失3050万美元；

Supra Oracle联合创始人Joshua：当前去中心化预言机市场存在四大痛点:3月15日19:00，一站式DeFi门户DeFiBox在线上举办DeFi Demo Day第二期——Heco专场， 去中心化预言机Supra Oracle受邀参与了本次圆桌讨论环节。

Supra Oracle联合创始人Joshua认为当前去中心化预言机市场存在四大痛点：数据透明度低；追责难度较高；极端行情下操作系统的鲁棒性较低；报价延迟和报价偏差。因为上述问题的出现，去年DeFi协议已经因黑客攻击预言机损失了至少1.2亿美金。

针对以上痛点，Supra Oracle通过加快数据并行处理速度，实时更新链上报价数据，数据报价频率控制在5~10秒，提高报价数据的随机性及数据源的多样性，通过用简单接口来实现DeFi项目部署及企业数据安全保障。[2021/3/16 18:47:15]

5月5日，机池项目ValueDeFi由于协议组合存在的冲突隐患遭到攻击，损失1000万美元，2天后再次遭到攻击，损失1100万美元；

5月16日，机池项目bEarnFi遭到攻击，由于策略合约提取逻辑的价格计算问题导致套利，损失1800万美元；

5月20日，PancakeBunny遭到闪电贷攻击，由于LP代币价格计算问题导致套利，损失约4500万美元；

5月23日，BoggedFinance遭到闪电贷攻击，由于交易手续费的销毁/分红机制和允许自我转账的问题导致套利，损失300万美元；

5月24日，机池项目AutoShark遭到闪电贷攻击，由于fork的PancakeBunny导致存在相同风险而被套利，损失75万美元，币价闪崩；

5月26日，Merlin项目遭到攻击，同样也是fork的PancakeBunny导致存在相同风险而被套利，损失680万美元；

5月28日，BurgerSwap遭到闪电贷攻击，由于重入漏洞和架构问题导致套利，损失约330万美元；

5月28日，JulSwap遭到闪电贷攻击，由于JulProtocolV2合约的错误计算导致攻击者套利，币价闪崩；

5月30日，BeltFinance协议遭到闪电贷攻击，由于beltBUSD价格计算可操纵导致套利，损失620万美元。

总结

BSC链上项目5月频频暴雷，DeFi领域安全形势依旧严峻，随着新型EVM兼容的公链生态发展，黑客的攻击目标已逐渐由以太坊转移至其他链的DeFi生态中。攻击手法则都相差无几，闪电贷的攻击手段不仅能降低黑客攻击的成本，同时也能大大提高攻击成功后的收益。

另外，在近期发生的攻击事件中，还暴露出当前DeFi生态存在的fork问题。众多项目在fork的基础上进行创新，进而打造出自己的DeFi协议，但如若对原协议没有深入的理解，就可能引入许多隐匿的漏洞或风险。而如果原协议也存在某种风险，那该风险的影响范围也将悄然扩张，引起连环效应，造成更大的损失。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。