Odaily星球日报译者|念银思唐

摘要：- 今年已经发生了70次DeFi攻击，使用了四个区块链平台。- 最初有14亿美元被盗，但已返还了7.6亿美元。

根据TheBlock的DataDashboard数据显示，今年迄今为止，DeFi攻击中被盗的资金总额已达6.8亿美元。根据TheBlockResearch收集的数据显示，最初有14亿美元由于漏洞攻击从DeFi协议中被盗取，但现在已经有7.6亿美元被返还。数据来源：TheBlockCryptoData。

在过去的一年里，DeFi领域发生了70次大型的DeFi漏洞攻击，其中大多数发生在以太坊上，共34次。币安智能链（BSC）紧随其后，共受到25次攻击。Polygon上也发生了3次攻击，Avalanche上发生了两次攻击。

在这些攻击中，有34次使用了闪电贷。闪电贷是指在同一交易区块中取出并用于某些功能的贷款，完全偿还。这意味着贷款人知道他们的钱会被还回（或者一开始根本没有借出）。因此，闪电贷可以以低成本达到巨额规模，使黑客能够借到大量资金，从而最大程度地造成损害。

例如，DeFi协议xToken在5月份遭到攻击。攻击者利用闪电贷借了61800枚ETH（价值2.7亿美元），扰乱了系统，并盗走2450万美元。由于闪电贷的规模庞大，攻击更加有利可图。

在五次最大的黑客攻击中，有三次是针对PolyNetwork的。该项目损失了总计6.11亿美元，直到黑客全部归还被盗资金。其他重大损失包括Compound，在9月份遭遇了一个漏洞，导致意外发行了价值1.14亿美元的COMP代币，其中约一半被返还。

最近发生的一次大规模闪电贷攻击发生在上个月底。10月27日，DeFi借贷协议CreamFinance再次遭受攻击，损失超过1.3亿美元。被盗资金主要是CreamLP代币和其他ERC-20代币。根据Rekt的排行榜，这是有史以来第三大DeFi黑客攻击（尽管另外两次更大的黑客攻击事件都获得了资金返还）。

CreamFinance发布了10月27日闪电贷攻击报告，报告称攻击者从C.R.E.A.M.Ethereumv1市场取走了约1.3亿美元的代币，正在与当局合作追踪攻击者，并将在未来几天公布详细的还款计划。CreamFinance鼓励攻击者与其对话，以返还用户资金，并承诺在资金返还时支付10%的漏洞赏金。

具体来说，此次攻击结合了经济攻击和预言机攻击。攻击者使用MakerDAO进行闪电贷，创造大量yUSD代币，同时通过操纵多资产流动性池来利用价格预言机计算yUSD的价格。当yUSD价格上升时，攻击者的yUSD头寸增加，创造了足够的借入限额来抵消C.R.E.A.M.Ethereumv1市场的绝大部分流动性。

CreamFinance已经暂停C.R.E.A.M.Ethereumv1市场的所有交互，并停止了所有可封装代币的供应/借贷，包括所有PancakeSwapLP代币。

目前，CreamFinance官方尚未发布有关此事的进一步更新说明，而被盗资金能否归还还不确定。

此外，BSC上最近也发生了一次大型攻击事件。去中心化交易协议BXH于10月30日遭到攻击，黑客已将4000ETH从BSC链转移到ETH链，并将300BTCB兑换为renBTC跨链。黑客在洗币过程中多次使用了AnySwap、PancakeSwap、Ellipsis等兑换平台，其中部分ET鱼池挖矿H代币被兑换成BTC。此外，黑客还将13304.6ETH和642.88BTCB代币从BSC链转移到ETH和BTC链，初始黑客获利地址仍持有15546BNB和价值超过3376万美元的代币。

需要注意的是，以上数据不包括拉地毯（rugpulls）和其他加密诈骗，只涉及DeFi攻击事件。