DeFi攻击事件揭示的启示

除去这次攻击，截止到7月底，与DeFi相关的黑客事件就已经让用户们损失了近3.6亿美金。据有关数据显示，从年初至今发生了近40起DeFi被盗事件，损失金额近10亿美金（不算黑客归还）。

没有人可以完全预测已部署的智能合约会发生什么，即使是最好的安全审计师。由于智能合约上有数十亿美元的资金，所以可以肯定的是，最聪明的黑客仍在不断寻找利用安全弱点从中获利。

DeFi的巨大风险在于，DeFi应用本身的创新性和复杂性，使安全审计人员很难发现存在的漏洞。DeFi应用程序开发人员必须确保网络安全审计人员不断检查他们的代码，以减少任何漏洞被利用的可能性，否则一旦攻击成功，将导致巨大的经济损失。

从DeFi概念出现至今，DeFi遭受过无数大大小小的攻击。其中，有两种攻击手法最为常用，闪电贷攻击和RugPull（拉地毯）。

所谓闪电贷（Flashloan），其实是一种创新金融工具，甚至可以称得上是智能合约上的一个伟大创新。用户可以在不需要任何抵押借款的情况下，只需付出极小的手续费就能得到巨额资金，前提是要在同一个区块内还款，否则交易回滚。

在此类攻击手法中，黑客只是利用了闪电贷的特点，在短时间内借出资金、交易、然后存入并再次借出大量的资金，这样黑客就能在实现操纵、扭曲特定的加密货币价格数据后，实施套利，最后归还“本金”。

比如在今年2月，攻击者就针对DeFi借贷协议AlphaHomora发起闪电贷攻击，导致3,750万美元被盗。在一个AlphaHomoraV2池中，攻击者操控了数百万枚稳定币，使其价值膨胀，最终完成套利。

RugPull（拉地毯）指的是加密货币领域中的一种恶意操纵，DeFi项目开发人员毫无征兆地放弃该项目并带着投资者的钱跑路，RugPull多发生于DEX（去中心化交易所），是DeFi领域较为典型的骗局。骗子们会在流动性池中投入大量的资金，并在社交媒体上发布诱人的广告吸引投资者入局，一旦投资者将代币存入这些流动性池中，骗子就会“抽地毯般”地把池子里的代币全部提走。

比如在今年5月，基于币安智能链（BSC）上的DeFi协议DeFi100项目运营者已经卷跑了大约有3200万美元的用户资金。其官方网站已经无法访问，在网站关闭之前，DeFi100官方网站上还出现“我们骗了你们，你们拿我们没办法”的字样，该页面随后被删除。

一路高歌的DeFi市场因PolyNetwork攻击事件使我们知道，DeFi还处在初级阶段，各种技术还待成熟。黑客攻击无法避免，对于后续准备继续上线跨链项目的项目方而言，恐怕现在最好的准备方式就是加强项目安全审计和反复的压力测试了。