今月、少なくとも14のDeFiプロジェクトがハッキングされ、損失総額は2億5000万ドル以上となった。

DeFi業界は今年急速に発展し、多数のDeFiプロジェクトが次々と登場し、ロックイン総額は900億米ドル近くに達した。しかし、多くのプロジェクトではコード監査が不十分なため、多数のハッカーが狙う攻撃の標的にもなっています。特に5月には、DeFiセキュリティインシデントの発生頻度が大幅に増加しました。

Chain Catcherの統計によると、DeFi業界では今年、合計27のプロジェクトがハッカーの攻撃を受けており、今月は少なくとも14のプロジェクトがハッカーの攻撃を受けた。平均すると、2日ごとに1つのDeFiプロジェクトが攻撃を受け、損失総額は少なくとも2億5,000万ドルに上ります。今月はDeFi史上最も頻繁に攻撃が発生し、損失が最大となった月です。

具体的には、今月ハッキングされた DeFi プロジェクトには、BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi、EOS Nation、xToken、Rari Capital、Value DeFi、Spartan などがあります。

その中で、フラッシュローンはハッカー攻撃の主な手段であり、その結果少なくとも 7 つのプロジェクトが攻撃を受けました。 BSC はハッカーにとって最も活発な攻撃プラットフォームであり、BSC パブリック チェーンに対して少なくとも 11 件の攻撃が発生しました。攻撃額は総じて大きく、少なくとも 7 つのプロジェクトが 1,000 万ドル以上の損失を被っており、最も大きな損失は Venus で 1 億ドルを超えています。

以下は、Chain Catcher による今月の 14 件の DeFi プロジェクト攻撃の詳細な概要です。

1. バーガースワップ

損失額：約700万ドル

概要: 2月28日、BSCベースのAMMプロジェクトBergerSwapがフラッシュローン攻撃を受け、432,874以上のBURGERが盗まれました。

2. ジュルスワップ

損失額: 不明

概要: 2月28日、BSCベースのAMMプロジェクトJulswapがフラッシュローン攻撃を受け、コイン価格が最大90%下落しました。

3. マーリン

損失額：約68万ドル

簡単に言うと、5月26日に、BSCエコシステムの自動収益アグリゲーターであるMerlinがハッキングされました。プロジェクトのgetRewardコードの脆弱性により、大量のCAKEトークンが手動でVaultコントラクトに転送され、合計約59,000のMERLが発行され、販売を通じて240 ETHが得られました。

解決策: チームはユーザーに補償トークン cMERL をエアドロップし、このトークンの保有者は補償プールから BNB 報酬を受け取ることができます。同時に、追加の開発チーム資金は、トークン価格を回復するためのバーンおよび買い戻し活動を実行するために使用されます。

4. オートシャークファイナンス

損失額：約82万ドル

概要: 5 月 25 日、BSC に基づく固定金利契約である AutoShark Finance がフラッシュローンの攻撃を受けました。 LP値と取得した手数料額の誤りにより、SharkMinter契約は最終的に攻撃者の貢献度を計算する際に非常に大きな値を算出し、SharkMinter契約は攻撃者のために大量のSHARKトークンを発行し、その価格が1.2米ドルから0.01米ドルに暴落し、攻撃者は月額82万ドルの利益を得ました。

解決策: 当局は、影響を受けたユーザーに補償するために新しいトークン「JAWS」を発行すると述べた。

5. 行き詰まった財務

損失額: 300万ドル

概要: 5月23日、BSCベースの集約取引プラットフォームであるBogged Financeは、ハッカーがBOGトークン契約のステーキング機能の脆弱性を突いてフラッシュローン攻撃を開始したと公式に発表しました。ハッカーは、契約の検証が完了する前に、パンケーキペアスワップコードを使用してステーキング収入を抽出し、その結果、1,500万以上のBOGトークンが発行されました。そのほとんどは、もともとBOG誓約者に割り当てられていました。

解決策: 新しいコインを発行し、盗まれた BOG トークンを誓約したユーザーに返却します。

6. パンケーキバニー

損失額：約4,200万ドル

概要: 5月20日、BSCベースのDeFi利回りアグリゲーターPancakeBunnyがフラッシュローン攻撃を受け、114,631BNBと697,245BUNNYを失いました。後者はハッカーによって大量に発行・販売され、価格は一時240ドルから2ドル以下にまで暴落した。 CertiK セキュリティ チームの調査によると、PancakeBunny は資産価格の計算に PancakeSwap AMM を使用しているため、ハッカーはフラッシュ ローンを悪用して AMM プールの価格を操作し、Bunny がトークンを発行する際の計算上の問題を利用して攻撃を成功させました。

解決策: PancakeBunny は新しいトークン pBUNNY を発行し、トークン価格の急落によって生じた損失を元の BUNNY 保有者に補償するための補償プールを作成します。

7. 金星

損失額：1億ドル以上

概要：5月18日の夕方、BSCをベースとしたDeFiレンディングプラットフォームであるVenusのトークンであるXVSの価格が、クジラによって2倍に上昇しました。その後、XVSを担保に数億ドル相当のBTCとETHが借り入れられ、送金されました。その後、担保資産XVSの価格が急落し、清算に直面した。しかし、XVS市場の流動性が不十分だったため、システムは時間内に清算できず、Venusに数億ドルもの巨額の赤字をもたらしました。

解決策: Venus はプラットフォームの損失を補うために、XVS トークンの一部を Binance に販売します。

8. フィンネクサス

損失額：700万ドル

簡単に説明すると、5月17日、オンチェーンオプションプロトコル FinNexus がハッカーの攻撃を受け、ハッカーは侵入して FNX トークン契約マネージャーの秘密鍵を盗み出しました。攻撃者は3億2,300万以上のFNXを発行し、それを中央集権型および分散型取引所で売却し、価格を急落させた。

解決策: FinNexus チームは、新しいコインを発行し、ハッキング前に FNX を保有していたすべてのユーザーに 1:1 の比率で補償すると述べました。 DEX の流動性プロバイダーは、損失の増加により追加の補償を受けることになります。

9. ベアーンファイ

損失額：約1,086万ドル

概要: 5月16日、BSCに基づくクロスチェーンDeFiプロトコルであるbEarn FiのBUSD-Alpaca戦略がフラッシュローン攻撃を受け、プール内の約1,086万BUSDが枯渇しました。

解決策: bEarn Fi は、残りの貯蓄資金、開発資金、DAO 資金、およびプロトコルによって生成された手数料の一部で構成される補償基金を作成し、その後、残高のスナップショットを取得して補償契約を展開すると述べました。

10. EOSネイション

損失額：1,500万ドル

概要: 5月14日、EOS Nationフラッシュローンスマートコントラクトが再侵入攻撃を受け、約120万EOSと462,000 USDTが盗まれました。

解決策: flash.sx は、失われた資金はすべて eosio.prods のセキュリティ管理下にあり、ハッカーの EOS アカウントの権限を変更する提案が開始されたと述べています。承認された場合、資金はユーザーに返金されます。

11. xトークン

損失額：約2,500万ドル

簡単に言うと、5月13日、DeFiステーキングおよび流動性戦略プラットフォームxTokenがフラッシュローンの攻撃を受けました。 xBNTa Bancor プールと xSNXa Balancer プールの流動性は即座に枯渇し、約 2,500 万ドルの損失が発生しました。

解決策: xToken チームは、盗難による損失を補うために XTK の総供給量の 2% を使用する予定であると述べました。

12. ラリ・キャピタル

損失額：1,400万ドル

簡単に言うと、5月8日、DeFiスマート投資助言プロトコルRari CapitalのETHファンドプールに、Alpha Finance Labプロトコルの統合により脆弱性が見つかりました。攻撃者は補助契約を展開してibETH内のibETHトークンの価格を操作し、Rariに1,400万ドルという巨額の損失をもたらしました。

解決策: Rari Capital は、チーム拡大に使用された 200 万の予約済み RGT を DAO に返還し、攻撃の影響を受けたユーザーに補償し、貢献者に報酬を与えます。

13. バリューDeFi

損失額：2回、合計1500万ドル

概要: Ethereum と BSC をベースにした DeFi プロトコルである Value DeFi は、5 月 5 日と 5 月 7 日にそれぞれ 2 回の攻撃を受けました。最初の攻撃は、Value DeFi の ProfitSharingRewardPool 契約のコード脆弱性によって引き起こされ、vStake プールに影響を及ぼし、合計 200,000 BUSD 以上と 8,790 BNB 以上の損失が発生しました。 2回目の攻撃は、Value DeFiのvSwap契約のコード脆弱性によって引き起こされ、IRON Financeの一部のプールと製品が攻撃を受けました。

解決策: チームは保険基金からの 8,530 VALUE とマルチ署名からの 122,463 VALUE、合計 130,994 VALUE を補償に使用し、残りの 251,702 VALUE はチームの VALUE を使用して補償されます。

14. スパルタン

損失額：3,000万ドル

概要: 5 月 2 日、BSC ベースの合成資産プロトコル Spartan Pools V1 が攻撃を受けました。流動性シェアの不適切な計算による脆弱性により、攻撃者はファンドプールから約 3,000 万ドルを移転しました。

解決策: 新しい SPARTA トークンを発行し、未発行のトークン 2,000 万個を使用して、攻撃により損失を被ったファンド プールの LP に補償します。