闪电贷攻击记录

2020-02-15

bZx 第一次攻击事件(ETH)

策略解析

原因总结

DeFi 贷款协议 bZx 因合约漏洞损失金额或达 35 万美元。操控预言机

2020-02-18

bZx 第一次攻击事件(ETH)

策略解析

原因总结

bZx 再次受到攻击，估计损失了价值 $645,000 的 ETH。操控预言机

2020-06-30

Balancer攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

据 DeBank 推特表示，黑客再次利用 dYdX 的闪电贷攻击了 Balancer 部分流动性矿池中的 COMP 交易对，将池子中未领取的 COMP 奖励抽走，获利 10.8 ETH，约合 2408 美金

2020-09-29

Eminence攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

根据 bluekirbyfi 推特消息，yearn.finance 创始人 Andre Cronje 刚推出的游戏项目 Eminence（EMN）遭遇闪电贷攻击，黑客将 800 万美元的资金返还给了 yearn 部署者合约。官方目前正在调查具体情况，并将重新分配受攻击的 800 万美元

2020-10-26

Harvest Finance攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

链上数据显示，Harvest Finance 资金池中有大量资金被转移，通过多个合约交易成功套现约 2400 万美元（具体为 3380 万美元），其中大部分通过 renBTC 套现提款。此次黑客使用的初始 ETH 来源为以太坊匿名转账平台 Tornado.cash。此次操作的 Hash 为：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。从以太坊浏览器上可以看到，该黑客向 Harvest Finance 合约（地址： 0xc6028a9fa486f52efd2b95b949ac630d287ce0af）转账 20 枚 WETH，最后又将这 20 枚 ETH 转回了自己的地址。Harvest Finance 更新推特称，像其他套利经济攻击，这一次起源于一笔巨额闪电贷，并多次操纵一个货币乐高（Curve y Pool）的价格，以耗尽另一个货币乐高（fUSDT、fUSDC）的资金。攻击者随后将资金转换为 renBTC 并套现。像其他闪电贷攻击，攻击者没有给出响应时间，连续 7 分钟端到端地进行攻击。攻击者以 USDT 和 USDC 的形式向 Deployer 退回 2478549.94 美元。12月7日，Harvest Finance官方宣布上线GRAIN、USDC和USDT索赔门户网站。官方表示，根据此前黑客退还250万美元资金，这将用户损失减少到13.5%。官方正在通过USDC、USDT和GRAIN代币进行混合赔偿的方式，帮助此前受攻击事件影响的用户进行索赔。用户将根据其存款按比例获得GRAIN代币，以及按比例分配黑客退回的250万美元

2020-11-14

Value DeFi攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

Value DeFi 协议周六遭到了闪电贷攻击。据悉，攻击者从 Aave 协议借了 80000 ETH，执行了一次闪电贷攻击，在 DAI 和 USDC 之间进行套利。攻击者在利用 740 万美元 DAI 后，向 Value DeFi 退还了 200 万美元，保留了 540 万美元。此外，攻击者还给 Value DeFi 团队留下了一条带有嘲讽意味的信息:“你真的懂闪电贷吗？”而 Value DeFi 周五在推特上声称它有防止闪电贷攻击的功能。经查询，该推文目前已不存在。随后，Value DeFi 团队发推证实其 MultiStables vault 遭到了“一次复杂的攻击，净损失达 600 万美元。”目前正在进行事后分析，并正在探索减轻对用户影响的方法。CoinGecko 行情显示，其 VALUE 代币现已跌破 2 美元，暂报 1.98 美元，24 小时跌幅 28.5%

2020-11-16

Cheese Bank攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

基于以太坊的去中心化自治数字银行平台 Cheese Bank 因黑客攻击遭受了 330 万美元的损失。黑客通过利用基于自动做市商（AMM）的预言机在 dYdX、Uniswap 等平台上进行了一系列恶意借贷操作，共导致价值超 330 万美元的损失，其中包括 200 万美元的 USDC。

2020-11-17

OUSD攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

去中心化共享经济协议 Origin Protocol （OGN）联合创始人 Matthew Liu 撰文披露美元稳定币 Origin Dollar （OUSD）闪电贷攻击事件细节。截止目前，攻击已造成约 700 万美元损失，其中包括 Origin 及创始人和员工存入的超 100 万美元资金。目前，Origin 正在确定漏洞原因以及是否能够收回资金。Origin 提醒称，「目前已禁用了 vault 存款，请不要在 Uniswap 或 Sushiswap 上购买 OUSD。」

2020-12-18

Warp Finance攻击事件(ETH)

交易链接
策略解析

原因总结

DeFi 门户网站 DefiPrime 今日早间在推特表示，北京时间 12 月 18 日 06:34，流动性 LP 代币抵押借贷 DeFi 协议 Warp Finance 遭遇闪电贷攻击，约 800 万美元被盗。此外，Warp Finance 官方也在推特表示，正在调查最近一小时内被借出的违规稳定币贷款，并建议不要再存入稳定币，直到官方查明违规情况为止。之后 Warp Finance 针对遭到的闪电贷攻击发布声明。据称，闪电贷攻击者最多可盗走价值 770 万美元的稳定币，不过 Warp Finance 团队已拟定计划来追回仍在抵押金库中的价值约 550 万美元的稳定币，这 550 万美元将按比例分给遭受损失的用户

2020-12-18

YFI攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

Yearn v1 yDAI vault 遭到攻击，攻击者窃取 280 万美元。Yearn finance 核心开发者 Banteg 随后表示：攻击者获得 280 万美元， vault 损失了 1100 万美元。在调查期间将禁止存款存入 v1 DAI、TUSD、USDC、USDT vault

2021-02-09

BT.Finance攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

DeFi 收益聚合器 BT.Finance 发推称，「遭到了黑客攻击，受攻击的策略包括 ETH、USDC 和 USDT，其他策略不受影响，BT.Finance 提款费用保护使这次攻击的损失减少了近 140,000 美元。」BT.Finance 表示希望黑客能够将资金归还，并将使用使用 BT 代币感谢其 Bug 测试。ICO Analytics 对此表示，受影响资金约为 150 万美元。

2021-02-13

Alpha Finance、Cream Finance攻击事件(ETH)

交易链接
策略解析

原因总结

攻击者使用闪电贷到 Alpha Finance 中进行杠杆借贷，并使用 Alpha Finance 本身的 Cream IronBank 额度来归还闪电贷，在这个过程中攻击者通过在 Cream 添加流动性获得了大量的 cySUSD，使攻击者得以用这些 cySUSD 在 Cream Finance 中进行进一步的借贷。由于 Alpha Finance 的问题，导致了两个协议同时遭受了损失。

2021-02-27

YFI攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

DeFi 收益聚合器 Yeld.finance 的 DAI 池遭到闪电贷攻击，损失 16 万 DAI，涉及 10 余名用户。Tether、TrueUSD 和 USDC 均未受到影响。据介绍，Yeld 的问题与前期 Yearn.Finance 的 DAI 池漏洞问题一致。官方同时表示，受影响的使用者将得到代币偿还，代币来自 DAI 池的收入奖励，以弥补他们的部分损失。后 Yeld.finance 官方表示，被闪电贷攻击造成的 16 万 DAI 已经被归还，此次活动疑似是白帽所为，官方将进一步更新细节。

2021-02-27

YFI攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

2021-05-20

PancakeBunny攻击事件(BSC)

原因总结

由于采用V1版 LP 代币价格计算问题导致套利以及Bunny铸币问题，损失约 4500 万美元

2021-05-23

Bogged Finance攻击事件(ETH)

交易链接（待补充）
策略解析（待补充）

原因总结

DeFi 协议 Bogged Finance 官方表示，黑客对 BOG 代币合约质押功能漏洞进行了闪电贷攻击，从流动性池中抽出了 300 万美元资金，黑客利用 Pancake Pair Swap 代码，在合约验证完成前即提取了质押收益。官方团队表示，目前流动性池中剩余的 800 万美元是安全的，黑客利用的漏洞已经被「封锁」，目前已无法被重复利用，Bogged Finance 所提供的工具仍可安全使用，团队正在修复前端显示问题。

2021-05-24

AutoShark攻击事件(BSC)

策略解析

原因总结

机枪池项目 AutoShark 遭到闪电贷攻击，由于 fork 的 PancakeBunny 导致存在相同风险而被套利，损失 75 万美元，币价闪崩

2021-05-26

Merlin 攻击事件(BSC)

策略解析

原因总结

Merlin 项目遭到攻击，同样也是 fork 的 PancakeBunny 导致存在相同风险而被套利，损失 680 万美元

2021-05-28

BurgerSwap 攻击事件(BSC)

策略解析

原因总结

BurgerSwap 项目由于交易K值未更新发起重入攻击，损失 720 万美元

2021-05-28

JulSwap 攻击事件(BSC)

策略解析

原因总结

JulSwap项目遭到攻击，fork 的 BurgerSwap 导致存在相同风险而被套利，损失不详，币价跌幅达95%

2021-05-29

Belt Finance攻击事件(BSC)

交易链接（待补充）
策略解析（待补充）

原因总结

据官方消息，币安智能链（BSC）上的 Belt Finance 遭遇闪电贷攻击，损失 620 万美元。攻击者利用闪电贷，通过 8 笔交易从 Belt Finance 协议中获得超过 620 万美元资金，并已将大部分资金转换成 anyETH 并提取到以太坊

2021-06-03

PancakeHunny攻击事件(BSC)

交易链接（待补充）
策略解析（待补充）

原因总结

据官方消息，BSC 上的 PancakeHunny 遭遇黑客攻击，黑客获利 43 ETH（合计 10 余万美元）。PancakeHunny 分叉自 PancakeBunny，此次遭受的攻击也和 PancakeBunny 类似，黑客获得大量 HUNNY 代币并抛向市场，导致 HUNNY 代币价格暴跌

2021-06-10

EvoDefi攻击事件(BSC)

交易链接（待补充）
策略解析（待补充）

原因总结

BSC 链上项目收益农场 EvoDefi 遭到攻击，其代币 GEN 价格从 2.1 美元/枚跌至 0.9 美元/枚，短时下跌57%。损失价值约 100 万美元的 455,576.85 个 GEN。由于 MasterChef 合约中的函数的更新逻辑存在设计缺陷，未更新奖励需要扣除的部分，从而导致被攻击者套利

2021-06-21

Impossible Finance攻击事件(BSC)

交易链接（待补充）
策略解析（待补充）

原因总结

BSC 链上 DeFi 协议 Impossible Finance 遭到闪电贷攻击，攻击者获利 1,510.75 WBNB（合计 49.7 万美元）。6 月 25日，攻击者退还约 25.2 万美元

2021-06-23

Eleven Finance 攻击事件(BSC)

原因总结

合约逻辑漏洞，提币函数未销毁用户在合约的代币余额，损失450万美元

2021-07-14

Aperocket 攻击事件(BSC)

原因总结

Aperocket项目遭受攻击，fork的PancakeBunny 代码，BSC链损失26万美金

2021-07-14

Aperocket 攻击事件(Ploygon)

原因总结

Aperocket项目遭受攻击，fork的PancakeBunny 代码，Ploygon链损失100万美金。defi项目之间的搭配而导致出现的问题，因为合作项目方sushi的LP奖励池MiniChefV2的机制不同。策略解析参考PancakeBunny再次攻击事件

2021-07-17

PancakeBunny再次攻击事件(Ploygon)

原因总结

PancakeBunny再次遭受闪电贷攻击，仅Ploygon网络，攻击者获利1281ETH。defi项目之间的搭配而导致出现的问题，因为合作项目方sushi的LP奖励池MiniChefV2的机制不同

2021-07-19

Array Finance 攻击事件(ETH)

交易链接
策略解析

原因总结

攻击者利用Array Finance的计价机制依赖于aBPT的totalSupply这点攻击，攻击者获利272.94ETH，价值约51.5万美金

2021-08-04

Wault Finance攻击事件(BSC)

原因总结

BSC 链上 Wault Finance 遭攻击，攻击者获利 93 万美元。由于经济模型上的设计缺陷导致的攻击者可以对 WaultSwapPair (BSC_USDT-WEX) 的池子进行套利攻击

2021-08-04

Popsicle Finance攻击事件(ETH)

原因总结

本次漏洞的核心在于由于奖励更新记录缺陷导致同个 PLP 凭证能在同个时间节点给多个持有者都带来收益。损失接近 2100 万美元。

2021-08-17

XSURGE攻击事件(BSC)

原因总结

BSC 上 DeFi 协议 XSURGE 遭到闪电贷攻击，被盗金额价值 500 万美金。利用重入攻击漏洞。

2021-08-25

DOT.Finance攻击事件(BSC)

原因总结

DOT.Finance项目遭受攻击，fork的PancakeBunny 代码，攻击者获利 900.89 BNB（合计约 $429,724）。属于pancakeBunny同源攻击，可参考PancakeBunny 攻击策略

2021-08-29

xToken攻击事件(BSC)

原因总结

xToken闪电贷攻击事件导致损失450万美元，攻击策略待整理

2021-08-30

Cream Finance攻击事件(BSC)

原因总结

抵押借贷平台CreamFinance遭遇闪电贷攻击，损失2500万美元。攻击原因为defi项目间的兼容性问题，并且Cream合约未做重入贷款限制。

2021-09-12

Zabu Finance攻击事件(Avalanche)

原因总结

此次攻击是由于 Zabu Finance 的抵押模型与 SPORE 代币不兼容导致的，此类问题导致的攻击已经发生的多起。Avalanche 链上 Zabu Finance 官方表示，攻击者从 Zabu Farm Contract 提取 45 亿个 ZABU 代币，使供应达到 50 亿，并将全部倾销给 ZABU 的 Pangolin LPs 和 Trader Joe LPs，窃取了约 60 万美元。

2021-09-20

Vee Finance攻击事件(Avalanche)

策略解析

原因总结

预言机小数位精度处理问题。Vee.Finance 团队注意到多次异常转账，经过进一步监控，共有 8804.7 ETH 和 213.93 BTC被盗（总价值超 3500 万美元）。攻击者地址为：0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA。经调查，疑似攻击者系通过上述地址发起攻击，并已获取该地址的被盗资产。