高风险、高回报是对加密圈的投资收益最准确的概括，但风险除了行情变化外，资产的安全风险也需要注意。

尤其是在DeFi的领域内，相较投资回报风险，DeFi更容易遭到黑客的攻击，从而导致个人的财产收到损失。关于DeFi的风险点，最常被黑客攻击和漏洞有哪些？

1.RugPull

「Rugpull」已成为整个DeFi圈中的常用术语，现在多被用于指许多类型的黑客和漏洞利用，实际上指的是突然从流动性池中移走大部分流动性的一种特定技术。

流动性的突然损失可能会造成代币的死亡螺旋，因为代币持有者会试图尽快出售手中的代币，从而避免造成更多的损失。

Rugpull通常是恶意团队进行攻击的最后一步，也是一种常见的「退出骗局（exitexam）」形式，即当团队试图带着资金逃跑时，协议会删除他们之前所有的社交媒体痕迹。

由于这类型攻击在技术上实施起来非常简单，它通常是低投入项目快速获取现金的首选技术，但并不意味着按照这种方式所获取的利润很低，目前已经有几起主要的恶意攻击导致用户损失了数百万美元。

如MeerkatFinance，该项目在运营了一天之后，就获得了1300万BUSD和7.3万BNB的收益，当时的总收益约为3100万美元。

如果一个项目使用了一个大的流动资金池，那么该项目团队就不应该具有检索这些资产的能力。若项目团队这样做了，那么相当于你把自己的信任完全交给了项目团队。

而MeerkatFinance一开始并没有这个能力，在攻击前不久，MeerkatFinance的部署者「升级」该团队的2个Vaults，并且给他们自己进入Vault留了后门。

怎样避免被Rugpull？

个人可以检查该项目的流动性如何锁定、是否有时间锁，以及有多重签名？

项目的背景调查、项目支持方，以及项目的规划（白皮书）之类的。

尤其是团队成员的熟悉度这方面，如果是熟悉的，是否能在网上获取到相关信息的。现在网上证明个人身份变得愈加困难，因此有不少团伙也会采用一些方式建立他人对项目的信任，从而获取投资者的资产。

从另一个角度来看，如果你找不到任何关于项目方相关人员的信息，团队信息匿名不一定是一件坏事，比如比特币的创始人至今仍是匿名的。

2.闪电贷

近期发生的DeFi黑客事件，大部分都和闪电贷有关系，比如八月时PolyNetwork被盗取6.1亿美元的事件。

也因此，闪电贷给大部分人的印象是负面多于正面。

目前闪电贷交易适用于拥有大账户的鲸鱼用户，闪电贷本身并不是一种恶意工具，它们可在很短的时间内提供大量资金。这些资金可被用来利用代码的漏洞，或者操纵定价并从套利的过程中获利。

闪电贷是一种无抵押、无担保的贷款，它需在区块链交易结束前偿还；如果没有偿还，智能合约则会逆转交易，那么贷款就像从未发生过一样。

由于贷款的智能合约必须在其出借的同一交易中完成，因此借款人必须使用其他智能合约从而帮助他在交易结束前与贷款资金进行即时交易。

大多数闪电贷攻击都涉及使用大量资金操纵代币价格。

以上面提到的PolyNetwork被盗取6.1亿的事情来讲，黑客通过在三条不同的链上发起攻击，34分钟损失了6.1亿刀，也是目前历史上被盗取最高的一次（虽然最后白帽已将全部盗取金额归还）。

另外，闪速贷还可用于其他攻击手段，如重入攻击、抢先交易或套利。

3.套利

套利是指利用不同市场之间的价格差异来产生利润。套利的行为，在不成熟的市场是非常常见的，如DeFi和加密货币。随着流动性的增加和市场效率的提高，套利机会因此逐渐减少。

如果一个池子被操纵（比如通过闪电贷）来为套利提供空间，也因此被认为是一种利用，因为流动性提供者最终可能会失去他们的资金，如SaddleFinance一样。

尽管SaddleFinance项目方声称「已经解决了滑点的问题」，但在今年1月的运行过程中，至少有3个主要的套利行为在6分钟内从早期的流动性提供者手中拿走了7.9枚比特币（折合275735美元）。

尽管这只是套利行为，但用户仍因此出现了资金损失。因为项目方无法保护他们免受套利者的伤害，而这些套利者只是在代码的限制内进行买卖。

也因此引出了另外一个问题——DeFi中损失资金算是黑客攻击，还是利用项目方的漏洞？

DeFi的存在对于加密圈而言，仍算是较新的概念，在整个行业内也是一个尝试。这意味着漏