有些 DeFi 項目如果出現問題,可以通過保險挽回損失。但如果保險公司被攻擊了,又該怎麼辦?

28 日晚上,DeFi 保險項目 Cover Protocol 遭遇駭客攻擊,導致代幣增發超過萬億枚。駭客先後在 SuShiSwap、Uniswap 等 DEX 上進行套現,直接導致代幣 COVER 價格從 800 美元暴跌超過 90%,截至發稿前 Uniswap 上 Cover 暫報 23 美元。

事件發生後,OKEx、抹茶等中心化交易所第一時間關閉 Cover 充提,幣安方面暫停 Cover 交易。

歐科雲鏈 OKLink 數據顯示,攻擊也導致 Cover Protocol 的總鎖倉量短時出現大幅下降,當前 Cover 總鎖倉量約合 3112 萬美元,降幅達 31.17%。

今年 11 月 28 日,Cover Protocol 與 Yearn Finance(YFI)進行合併。截至發稿前,Yearn Finance 的核心開發人員 Banteg 表示,他們正在調查此問題,Cover Protocol 官方團隊也勸告投資者不要再次購買 COVER。

延伸閱讀 👉🏻👉🏻👉🏻 DeFi 保險協議誰能「保」? Nexus Mutual 創始人錢包被盜 8 百萬!

一、事件回顧:合約漏洞增發

今晚 18 點,推特用戶 CryptoKebab 表示,Cover 疑似遭到駭客攻擊,增發了 1 萬枚 COVER 代幣,並且已將其換成了 WBTC 和 DAI 等資產。

雖然未被證實,但消息傳出後,COVER 價格一度下跌暴跌 50%,從 800 美元下跌至 370 美元左右。    

WBTC

社群中,也有不少投資者認為這只是謠言,在 400 美元附近開始逐步抄底。然而,沒過多久,不少用戶發現 COVER 在一些去中心化交易中的價格開始狂跌,其中以 Uniswap 和 SushiSwap 為主,價格一度跌至 20 美元一線,近乎歸零,相較於今日開盤價暴跌超過 90%。

區塊瀏覽器顯示,目前 Cover Protocol 原生代幣 COVER 的總量已被增發至 40,796,131,214,802,600,000 個(4000 京個,基本等於無限增發),一個標籤為 Grap Finance 的地址增發了這些代幣,並在 DEX 中持續拋售。    

WBTC

這些增發的「假幣」從何而來?

根據多方信息整理,Odaily 星球日報總結駭客攻擊過程如下,其中涉及兩波駭客:

  • 第一波駭客首先自己構造假幣(合約地址1),然後將假幣拿去 Balancer 做流動性換取 bpt(合約地址2),然後拿著假幣的 bpt 去做了質押(合約地址 3),之後再解壓換得真幣 COVER(合約地址4);如此反复,駭客總共獲得 11000 多個 COVER 真幣,最終套現獲利。
  • 該攻擊者的地址創建於兩天前,初始資金約 200 ETH,目前該地址資產超過 1400  ETH和 100 萬美元其他代幣。該地址在 Etherscan 上已被打上了 CoverExploiter1(Cover 剝削者 1)的標籤。
  • 第二波則是利用 Cover Protocol 獎勵合約中一個名為「無限挖礦 BUG」的漏洞,增發了 40 萬億個 Cover;由於同出一個智能合約,這些幣也被交易平台誤認為是「真幣」;駭客通過 Uniswap 等 DEX 進行批量套現,據 DeFi 開發者 @banteg 表示,攻擊者最終獲益超過兌現了 4374 枚 ETH,約合 320 萬美金。

目前第一波駭客身份不明,但第二波增發的駭客地址,被網絡標記為 Grap Finance 開發者的地址。在獲利後,該攻擊者將所得收益還給了 Cover 團隊,銷毀了剩餘增發的 COVER ,並給 Yield Farming 保險地址(Cover 協議的前身)留言:下一次,管好你自己的事。

WBTC

加密 KOL「超級比特幣」評價說:

果然,grap.finance 的創始人是一位 DeFi 義俠,剛刷了一下,4350 個 eth 已經打給了 cover 團隊。

聽起來不圖名不圖利,COVER 攻擊者似乎是一名正義的「白帽子」。但通過砸盤,讓眾多的投資者血本無歸,這樣的「俠義精神」真的值得提倡嗎?

目前,YFI 創始人 Andre Cronje 尚未對此事發表任何評論,Cover Protocol 也並未給出事故解釋。攻擊事件發生後,幣安等中心化交易所第一時間暫停了 COVER 充提。

二、DeFi 無險可保

COVER 並不是今年第一個被攻擊的 DeFi 項目。

台北時間 12 月 14 日下午,DeFi 保險龍頭項目 Nexus Mutual 創始人 Hugh Karp 帳戶遭遇駭客攻擊,被盜 37 萬 NXM(833 萬美金)。駭客先是在 1inch 上出售 102000 NXM,在 Matcha 出售 16000 NXM。隨後 Nexus Mutual 官方稱,駭客地址又通過 1inch 賣出了約 3.5 萬枚 WNXM。

根據官方披露細節,攻擊者通過獲得 Hugh Karp 個人計算機的遠程控制後,對計算機上使用的 Metamask 插件進行修改,並誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的帳戶中。

對於 DeFi 保險項目而言,初衷是為其他 DeFi 項目降低風險損失。本來就被駭客覬覦,理應加強安全防護。如今卻由於自身漏洞被駭客屢屢攻擊,遭受損失,這樣的保險項目真的能幫助用戶抵御風險嗎?

既然在 DeFi 的世界中,崇尚「代碼即法律」(Code is Law),那就把代碼做好,做到極致,不給駭客留下任何可乘之機。

最後,希望 DeFi 的發展越來越好,漏洞事件越來越少。


(以上內容獲合作夥伴 火星財經 授權節錄及轉載,原文鏈接 

聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。


熱門市場動態與新聞傳送門:

區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。

Avatar

區塊客