BSC 生態五月份發生至少 7 起閃電貸攻擊事件，總損失估計超過 1 億美金

2021/5/28

幣安智能鏈（BSC）在今年上半年爆炸性成長，聚集了相當多的用戶與資產流動性，憑藉易用性與成本低廉等特性，BSC 生態成為許多新手踏入 DeFi 領域的第一步。然而，最近發生的一連串產閃電貸攻擊事件，可能會對這群新手投資人造成很大的衝擊與心理陰影。

內容目錄

五月發生 7 起閃電貸攻擊事件

「閃電貸」是一種特殊的流動性解決方案，其核心原理是「借款」與「還款」必須在一筆交易內完成，在這個前提之下實現無抵押品借款。其本意是為了讓投資人作為一種無本套利的工具，但也時常成為駭客發起攻擊的工具。今年五月，BSC 的 DeFi 生態系統發生了至少 7 起閃電貸攻擊事件，總損失金額估計超過 1 億美金，其中被攻擊的項目包括：

Spartan Protocol

廣告 - 內文未完請往下捲動

5 月 2 日，合成資產協議 Spartan Pools V1 因合約漏洞遭閃電貸攻擊，損失約 3000 萬美元的資金。

bEarn Fi

5 月 16 日，跨鏈 DeFi 協議 bEarn Fi 因機槍池（Vault）代碼存在漏洞而遭遇閃電貸攻擊，損失約 1086 萬美金。

Pancake Bunnny

5 月 20 日，DeFi 收益聚合協議 PancakeBunny 由於使用 PancakeSwap 的交易價格作為主要報價數據，再加上 PancakeBunny 鑄幣合約存在漏洞，駭客利用了這一點並透過閃電貸操縱價格，大量鑄造並拋售 BUNNY 代幣。此次攻擊損失約 4,200 萬美金。

Bogged Finance

5 月 23 日，基於 BSC 的聚合交易協議 Bogged Finance 因 BOG 代幣合約的質押功能存在漏洞（能夠在合約驗證完成前提取質押收益），遭駭客利用閃電貸攻擊。損失金額約 300 萬美元。

AutoShark Finance

5 月 25 日，基於 BSC 的固定利率協議 AutoShark Finance 因鑄幣合約存在漏洞，在計算使中者貢獻值時會計算出錯誤的數值，攻擊者利用此漏洞並透過閃電貸攻擊，鑄造了大量的 SHARK 代幣。估計損失約 82 萬美元。

Julswap

5 月 27 日，基於 BSC 的自動化做市商協議 Julswap 同樣在閃電貸的攻擊之下導致幣價崩跌 95%。官方尚未披露損失金額與事發細節。

BurgerSwap

5 月 28 日，自動化做市商協議 BurgerSwap 因代碼漏洞導致攻擊者執行交易後能夠在協議更新資金池的儲備之前進行第二次交易，駭客利用這一點並透過閃電貸進行攻擊。估計損失約 720 萬美元。

一連串事件引發諸多揣測

有些人認為，BSC 生態近期頻繁發生閃電帶攻擊事件是因為 BSC 網路本身存在某些問題。但事實上，以太坊過去也時常發生閃電貸攻擊事件，此外，從上述的統計中也可以看出，攻擊事件大多與協議本身的漏洞有關，並非 BSC 底層鏈的問題。不過，一連串的攻擊事件，也引發了市場的陰謀論，認為這些事件都是內部人士收割投資人的手段。例如今天發生的 BurgerSwap 攻擊事件，Uniswap 創辦人 Hayden Adams 就對開發團隊刪除關鍵代碼的舉動提出了質疑。

This thread sounds complicated. Here's what happened very simply.

Uniswap v2 fork removed the only line that enforces x*y=k from core:

So core could very trivially be drained.

This is the line that was removed:https://t.co/iN3nc1xMTm

iWoNDerWhYTHeyDiDtHAt https://t.co/B9TN3KP25U

— hayden.eth 🦄 (@haydenzadams) May 28, 2021