作者:秦曉峰
有些 DeFi 項目如果出現問題,可以通過保險挽回損失,但如果保險公司被攻擊了,又該怎么辦?
28日晚上,DeFi 保險項目 Cover Protocol 遭遇黑客攻擊,導致代幣增發超過萬億枚,黑客先后在 SuShiSwap、Uniswap 等 DEX 上進行套現,直接導致代幣 COVER 價格從 800 美元暴跌超過 90%,截至發稿前 Uniswap 上 Cover 暫報 23 美元,
事件發生后,OKEx、抹茶等中心化交易所第一時間關閉 Cover 充提,幣安方面暫停 Cover 交易。
歐科云鏈OKLink數據顯示,攻擊也導致 Cover Protocol 的總鎖倉量短時出現大幅下降,當前Cover 總鎖倉量約合 3112 萬美元,降幅達 31.17%,
今年 11 月 28日,Cover Protocol 與 Yearn Finance(YFI) 進行合并。截至發稿前,Yearn Finance 的核心開發人員 Banteg 表示,他們正在調查此問題,Cover Protocol 官方團隊也勸告投資者不要再次購買 COVER,
一、事件復盤:合約漏洞增發
今晚 18 點,推特用戶 CryptoKebab 表示,Cover 疑似遭到黑客攻擊,增發了 1 萬枚 COVER 代幣,并且已將其換成了 WBTC 和 DAI 等資產。
雖然未被證實,但消息傳出后,COVER 價格一度下跌暴跌 50%,從 800 美元下跌至 370 美元左右。
社群中,也有不少投資者認為這只是謠言,在 400 美元附近開始逐步抄底。然而,沒過多久,不少用戶發現 COVER 在一些去中心化交易中的價格開始狂跌,其中以 Uniswap 和 SushiSwap 為主,價格一度跌至 20 美元一線,近乎歸零,相較于今日開盤價暴跌超過 90%,
區塊瀏覽器顯示,目前 Cover Protocol 原生代幣 COVER 的總量已被增發至 40,796,131,214,802,600,000 個(4000京個,基本等于無限增發),一個標簽為 Grap Finance 的地址增發了這些代幣,并在 DEX 中持續拋售,
這些增發的「假幣」從何而來?
根據多方資訊整理,Odaily星球日報總結黑客攻擊過程如下,其中涉及兩波黑客:
- 第一波黑客首先自己構造假幣(合約地址1),然后將假幣拿去 Balancer 做流動性換取 bpt(合約地址2),然后拿著假幣的 bpt 去做了質押(合約地址3),之后再解壓換得真幣 COVER(合約地址4);如此反復,黑客總共獲得 11000 多個 COVER 真幣,最終套現獲利。
- 該攻擊者的地址創建于兩天前,初始資金約 200 ETH,目前該地址資產超過 1400 ETH和 100 萬美元其他代幣。該地址在 Etherscan 上已被打上了 CoverExploiter1(Cover剝削者1)的標簽,
- 第二波則是利用 Cover Protocol 獎勵合約中一個名為「無限挖礦 BUG」的漏洞,增發了 40 萬億個 Cover;由于同出一個智能合約,這些幣也被交易平臺誤認為是「真幣」;黑客通過 Uniswap 等 DEX 進行批量套現,據 DeFi 開發者@banteg表示,攻擊者最終獲益超過兌現了 4374 枚ETH,約合 320 萬美金,
目前第一波黑客身份不明,但第二波增發的黑客地址,被網路標記為 Grap Finance 開發者的地址,在獲利后,該攻擊者將所得收益還給了 Cover 團隊,銷毀了剩余增發的 COVER ,并給 Yield Farming 保險地址(Cover 協議的前身)留言:下一次,管好你自己的事,
“果然,grap.finance 的創始人是一位 DeFi 義俠,剛刷了一下,4350 個 eth 已經打給了 cover 團隊。 ”加密 KOL「超級比特幣」評價說。
聽起來不圖名不圖利,COVER 攻擊者似乎是一名正義的「白帽子」,但通過砸盤,讓眾多的投資者血本無歸,這樣的“俠義精神”真的值得提倡嗎?
目前,YFI 創始人 Andre Cronje 尚未對此事發表任何評論,Cover Protocol 也并未給出事故解釋。攻擊事件發生后,幣安等中心化交易所第一時間暫停了 COVER 充提,
二、DeFi 無險可保
COVER 并不是今年第一個被攻擊的 DeFi 項目,
臺北時間 12 月 14 日下午,DeFi 保險龍頭項目 Nexus Mutual 創始人 Hugh Karp 賬戶遭遇黑客攻擊,被盜 37 萬 NXM(833 萬美金)。黑客先是在 1inch 上出售 102000 NXM,在 Matcha 出售16000 NXM,隨后 Nexus Mutual 官方稱,黑客地址又通過 1inch 賣出了約3.5 萬枚 WNXM。
根據官方披露細節, 攻擊者通過獲得 Hugh Karp 個人計算機的遠程控制后,對計算機上使用的 Metamask 插件進行修改, 并誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中,
對于 DeFi 保險項目而言,初衷是為其他 DeFi 項目降低風險損失,本來就被黑客覬覦,理應加強安全防護。如今卻由于自身漏洞被黑客屢屢攻擊,遭受損失,這樣的保險項目真的能幫助用戶抵御風險嗎?
既然在 DeFi 的世界中,崇尚「代碼即法律」(Code is Law),那就把代碼做好,做到極致,不給黑客留下任何可乘之機。
最后,希望 DeFi 的發展越來越好,漏洞事件越來越少,