BSC连环惨案

BSC 币安智能链自上线以来,承接了大量因以太坊性能卡顿、手续费高昂导致的溢出用户,一度成为继以太坊之外最活跃、最受欢迎的公链之一。

由于用户每次在币安智能链上进行交易都需要 BNB 作为交易手续费,据CoinMarketCap数据显示,BNB 在5月10日市值达到了1000亿美元,排名仅次于比特币、以太坊之后,成为了全球市值第三的加密货币,赢得了全球瞩目。

但在币安智能链持续火爆之后,也逐渐成为了黑客的温床,尤其在最近,币安智能链不断发生资金被盗或被套利的安全事件,BSC 在 5 月份一共发生了12起安全事件,总共损失了超过 2.7 亿美元。

攻击规模最大的是一直以来被称为币安亲儿子的明星DeFi项目Venus,5月18日晚间,基于 BSC 的 DeFi 借贷平台 Venus 代币 XVS 被巨鲸拉涨翻倍,之后以 XVS 为抵押资产借走并转移出去价值上亿美元的 BTC 和 ETH,此后抵押资产 XVS 价格大跌并面
临清算,但由于 XVS 市场流动性不足系统未能及时清算,导致 Venus 出现超过1亿美元的巨额亏空。

除了 Venus 这个过亿美元的巨大亏空项目,其余超过千万美元损失的项目也比比皆是。

5月20日,基于 BSC 的 DeFi 收益聚合器 PancakeBunny 遭遇闪电贷攻击,损失 114631 枚 BNB 和 697245 枚 BUNNY,后者被黑客大量铸造并抛售,价格从 240 美元闪崩,一度跌破 2 美元,该攻击总共造成损失约4200万美元。

5月2日,基于BSC的合成资产协议 Spartan Pools V1 被攻击,由于流动性份额计算不当的漏洞,攻击者从资金池中转移了约 3000 万美元的资金。

5 月 16 日,基于BSC的跨链DeFi 协议 bEarn Fi其bVaults 的BUSD-Alpaca 策略遭遇闪电贷攻击,池中近 1086 万枚 BUSD 被耗尽,损失大约1086万美金。

甚至还有更过分的黑客,对受害者进行更为狠毒的“杀人诛心”操作,在 DeFi 100 项目当中,黑客盗走了 3200 万美金的链上资产,随后在官方网站上发布文字:「我们欺骗了你们,但你们做什么都没用了」。

背后真相

其实,自从 2020 年下半年 DeFi 开始火热兴起之后,以太坊链上的项目就已经经历过大规模的闪电贷攻击,黑客们利用预言机操纵价格、重入攻击等等方式都曾给链上用户都造成了巨大的资金损失。

但本次 BSC 链上在一个月的时间内频繁被盗、黑客高密度、高强度作案,的确是 DeFi 发展史上的第一次,这不得不让人引起重视。

那么,BSC 币安智能链这次到底是为何出现这种状况呢?原因也许可以粗略归结为如下几点:

一、BSC生态建设粗放,缺乏自主创新氛围,Fork项目居多

背靠币安这座大山并作为以太坊的“二层网络”,BSC 上的新项目虽然蓬勃发展,资金体量不断飙升,但一些项目却没有“敬畏心”,在黑客面前成了“人傻钱多”的优质攻击目标。

不少项目简单 Fork 以太坊生态协议的代码,肆意的组合不同协议,在他人的代码上进行微创新,或是本就没有长期做项目的“初心”。

要知道,随着 DeFi 在协议的可组合性方面愈发丰富,如果没有完全理解原协议背后的逻辑,进行随意的组合或创新,过程中的排斥性就会出现,导致潜在的漏洞和风险,从而给予黑客可乘之机。

例如,PancakeBunny 遭到攻击后,Fork 其代码的 AutoShark、Merlin 接连遭受同源攻击。

而从攻击手法来看,攻击者并不需要太高的技术门槛,只要将同源漏洞在 Fork PancakeBunny 的 DeFi 协议上重复试验就能捞上可观的一笔。

二、BSC链上手续费低,攻击成本更低

相比以太坊上高昂的Gas费,黑客在BSC链上进行攻击的成本可能最多只需要几百美元。

值得注意的是,近几次在 BSC 链上发生的闪电贷攻击,攻击者在获利后,都通过 Nerve 协议(Anyswap)的跨链桥将所获资产快速转移到以太坊上并将资产重新投到DeFi的流动性挖矿中。DeFi 领域的技术创新也衍出新型洗钱方式,对于反洗钱提出了新的挑战。

不过,跟闪电贷一样,跨链桥本身也是一种金融创新,它并不是恶意的洗钱工具,它打破了各类加密资产的流通存在的壁垒,协助资产自由流动以及公链之间自由交互,进而使得 DeFi 能够向纵深发展。

三、部分无良项目方监守自盗

不得不承认在如此混乱的环境下,并不是所有的项目方都是为了做一个好项目而来,一些无良项目方其实在一开始就已经埋下了精心的骗局,吸引无辜的投资者们“上钩”。
5月24日Pancake Bunny 仿盘 AutoShark 卷走了70万美元之后,相隔一天又出现了一个仿盘,名叫 Merlinlab,一天被攻击两次,重操 AutoShark 的旧业,卷走了680万,这些骗局不断寄生在币安智能链上欺骗用户。
至于在上文提到的“杀人诛心”的 DeFi 100 项目,在推特上解释称官网首页的狂妄言论也是由于黑客的攻击,而后就没有了下文,这一切到底是真的被盗还是项目方监守自盗,可能只有它们心里最清楚。

警钟长鸣

频频发生的黑客攻击事件给 BSC 生态亮起了警示灯,毕竟没有玩家愿意将自己的资金放在那些有漏洞的项目上,区块链世界也是用脚投票。

根据 The Block 数据显示,因为黑客攻击事件,BSC 已有部分锁仓资金回流至以太坊,总锁仓量回落至 20 亿美元。

面对最近这样一系列困局,十分值得我们反思,到底如何做才能尽量避免出现这种安全问题。

对于项目开发团队而言,需要提安全意识,不能只是简单的复制其他协议的代码,务必查逻辑,排除可能的漏洞,或寻求专业代码审计团队的帮助。

新合约上线之前除了要进全专业的智能合约安全审计,排查已知的各类漏洞外,还要注意排查与其他DeFi产品进组合时的业务逻辑漏洞,避免出现跨合约等逻辑兼容性漏洞。

另外,还需要引入一定的风控熔断机制,比如第三方安全公司的威胁感知情报和数据态势情报服务等,做到第一时间响应安全风险,及时排查封堵安全攻击。

在攻击事件发时,应联动各方力量,搭建套完善的资产追踪机制,事后需做到查缺补漏,完善防御系统。

而投资者本身,也需要学习最基本的DeFi常识,能够对于市场上的新项目做出辨别,切莫在一问三不知的情况下一头冲进新矿,殊不知你图它的利息,它却有可能图你的本金。

正本清源

实际上,区块链这一行业诞生至今也不过12年的时间,与市面上很多发展成熟的行业相比,还非常的早期,行业底层基础设施仍然不够完善,行业发展规则和标准不清晰,各界监管框架也十分模糊。

因此,不光是 DeFi 协议的安全事件频发,随着各种应用落地,区块链数字资产引发的安全问题总体呈上升趋势,加密资产犯罪五花八门,盗币、诈骗、洗钱等案件频发,各种原因造成的“黑天鹅”事件也层出不穷。

而这更加需要区块链各界同仁一起重视这些问题,项目方自身首先应把握正确的发展方向,不搞短视、捞快钱、诈骗等损害区块链行业发展的事,向外界树立区块链行业的正面形象,努力将区块链行业早日推上正轨;广大投资者和用户则应该不断学习提升自身对于行业的认知,积极探索实践,不仅有能力做到辨别骗局、保护好个人资产安全,更能通过个人的学习和实践通过这一行业,抓住未来数字经济时代的新机遇,获得成功。

总之,无论在这个行业中发生了如何耸人听闻的故事,区块链的机遇仍然还在,风险与机遇永远并存,当你还在害怕市场反复收割、DeFi项目安全事故频发,犹犹豫豫的时候,已经一批人已经悄然走向了新时代的光明之路。