ตามรายงานของ CipherTrace ในเดือนพฤษภาคม 2021 ณ สิ้นเดือนเมษายน 2021 ปริมาณการโจรกรรม การแฮ็ก และการฉ้อโกงในฟิลด์เข้ารหัสสูงถึง 432 ล้านดอลลาร์สหรัฐ และกรณีการแฮ็ก Defi คิดเป็นมากกว่า 60% ของการโจมตีการแฮ็กทั้งหมด ซึ่งสูงกว่า 25% ในปี 2563 จากรูปด้านล่าง จะเห็นได้อย่างชัดเจนว่ากรณีการโจมตีด้วยแฮ็ก DeFi นั้นเพิ่มขึ้นทุกปี และจำนวนเงินที่ถูกขโมยในไตรมาสที่ 2 ของปี 2021 อยู่ที่ประมาณ 130 ล้านดอลลาร์สหรัฐ

ในหลาย ๆ กรณีของการโจมตีด้วยการแฮ็ก DeFi Flashloan เป็นการโจมตีแบบแฮ็คที่พบบ่อยที่สุดอย่างไม่ต้องสงสัย Flashloan เป็นเงินกู้ที่ไม่มีหลักประกันและไม่มีหลักประกันซึ่งสามารถจัดหาเงินทุนจำนวนมากในช่วงเวลาสั้น ๆ สัญญาเงินกู้อัจฉริยะจะต้องเสร็จสิ้นในการทำธุรกรรมเดียวกันกับเงินกู้ดังนั้นผู้กู้จึงต้องใช้สัญญาอัจฉริยะอื่น ๆ เพื่อช่วยเขา เมื่อสิ้นสุดการทำธุรกรรม ทำธุรกรรมทันทีด้วยกองทุนกู้ยืม สิ่งนี้ทำให้แฮ็กเกอร์ใช้ช่องโหว่ในโค้ดเพื่อควบคุมราคาและกำไรจากโค้ดดังกล่าว

เราได้นับกรณีของการแฮ็คสินเชื่อแฟลชในช่วงสองสัปดาห์ที่ผ่านมา:

1. นิเวศวิทยาของ PancakeBunny BSC

เมื่อวันที่ 19 พฤษภาคม PancakeBunny ถูกโจมตีโดยเงินกู้แฟลชจากนักพัฒนาภายนอก แฮ็กเกอร์ใช้ PancakeSwap เพื่อยืม BNB จำนวนมาก จากนั้นจึงดำเนินการต่อเพื่อควบคุมราคาของ USDT/BNB และ BUNNY/BNB เพื่อให้ได้ BUNNY จำนวนมาก และขายทิ้งทำให้ราคาของ BUNNY พัง ในที่สุดแฮ็กเกอร์ก็แลกเปลี่ยน BNB กลับผ่าน PancakeSwap ในการโจมตีสินเชื่อแฟลชครั้งนี้ ความเสียหายโดยประมาณคือ 114,631.5421WBNB และ 697,245.5699BUNNY รวมมูลค่าประมาณ 45 ล้านดอลลาร์สหรัฐ ราคาของโทเค็น BUNNY ครั้งหนึ่งเคยลดลงต่ำกว่า $2 โดยลดลงสูงสุดเกินกว่า 99%

2. นิเวศวิทยา BSC ที่จมอยู่กับการเงิน

เมื่อวันที่ 22 พฤษภาคม แฮ็กเกอร์ทำการโจมตีด้วยเงินกู้แบบแฟลชบนช่องโหว่ของฟังก์ชันการรับจำนำของสัญญาโทเค็น BOG ช่องโหว่นี้ได้รับการออกแบบให้เกิดการยุบตัวโดยการเรียกเก็บเงิน 5% ของจำนวนเงินที่โอน โดยเฉพาะค่าธรรมเนียม 5% นั้น 1% ถูกเผาและ 4% ใช้เป็นค่าธรรมเนียมสำหรับการทำกำไร อย่างไรก็ตาม การดำเนินการตามสัญญาโทเค็นจะเรียกเก็บเงินเพียง 1% ของจำนวนเงินที่โอน แต่ยังคงเพิ่มกำไรจากการเดิมพัน 4% เป็นผลให้ผู้โจมตีสามารถใช้การยืมเพื่อเพิ่มจำนวนเงินเดิมพันอย่างมีนัยสำคัญ และดำเนินการโอนอัตโนมัติซ้ำ ๆ เพื่อเรียกร้องกำไรการเดิมพันที่สูงเกินจริง ทันทีหลังจากนั้น ผู้โจมตีได้ขาย BOG ที่สูงเกินจริงในราคาประมาณ 3.6 ล้านดอลลาร์ใน WBNB

3. ระบบนิเวศ AutoShark BSC

ในวันที่ 24 พฤษภาคม AutoShark ถูกโจมตีโดยสินเชื่อแฟลช จากการวิเคราะห์ของ SlowMist:

1). ผู้โจมตียืม WBNB จำนวนมากจากคู่ซื้อขาย WBNB/BUSD ของ Pancake;

2). แลกเปลี่ยนครึ่งหนึ่งของ WBNB ที่ให้ยืมในขั้นตอนแรกเป็น SHARK จำนวนมากผ่านคู่ซื้อขาย SHARK/WBNB ของ Panther และในเวลาเดียวกัน จำนวน WBNB ในกลุ่มจะเพิ่มขึ้น

3). ป้อน WBNB และ SHARK ในขั้นตอนที่ 1 และขั้นตอนที่ 2 ใน SharkMinter เพื่อเตรียมพร้อมสำหรับการโจมตีครั้งต่อไป

4). เรียกใช้ฟังก์ชัน getReward ในกลุ่มกลยุทธ์ WBNB/SHARK ในโครงการ AutoShark ฟังก์ชันนี้จะดึงค่าบริการส่วนหนึ่งจากกองทุนที่ทำกำไรได้ของผู้ใช้และให้รางวัลแก่ผู้ใช้ด้วยโทเค็น SHARK เป็นมูลค่าการบริจาค ส่วนนี้ของ การดำเนินงานอยู่ในสัญญา SharkMinter ดำเนินการ;

5). สัญญา SharkMinter จะแบ่ง LP เป็น WBNB และ SHARK ที่สอดคล้องกันหลังจากได้รับค่าธรรมเนียมการจัดการ LP ที่ผู้ใช้ได้รับ และเพิ่มอีกครั้งในกลุ่มการซื้อขาย WBNB/SHARK ของ Panther

6) เนื่องจากผู้โจมตีได้ป้อนโทเค็นที่เกี่ยวข้องลงในสัญญา SharkMinter ล่วงหน้าในขั้นตอนที่ 3 เมื่อสัญญา SharkMinter ลบสภาพคล่องและเพิ่มสภาพคล่อง จึงใช้ยอดคงเหลือ WBNB และ SHARK ของสัญญา SharkMinter เองเพิ่ม ส่วนนี้ของ ยอดคงเหลือรวมถึงยอดคงเหลือที่ผู้โจมตีเข้าสู่ SharkMinter ในขั้นตอนที่ 3 ส่งผลให้ยอดคงเหลือของสภาพคล่องเพิ่มเติมที่ได้รับจากสัญญาขั้นสุดท้ายไม่ถูกต้อง กล่าวคือ สัญญา SharkMinter เข้าใจผิดว่าผู้โจมตีได้ป้อนค่าธรรมเนียมการจัดการจำนวนมหาศาลเข้าไป ในสัญญา;

7). หลังจากสัญญา SharkMinter ได้รับจำนวนเงินค่าธรรมเนียมการจัดการ จะคำนวณมูลค่าของค่าธรรมเนียมการจัดการผ่านฟังก์ชัน tvlInWBNB จากนั้นจึงสร้างโทเค็น SHARK ให้กับผู้ใช้ตามมูลค่าของค่าธรรมเนียมการจัดการ อย่างไรก็ตาม เมื่อคำนวณค่าของ LP จำนวนแบบเรียลไทม์ของ WBNB ในพูล Panther WBNB/SHARK จะถูกหารด้วยจำนวน LP ทั้งหมดเพื่อคำนวณว่า WBNB LP สามารถแลกเปลี่ยนได้เท่าใด อย่างไรก็ตาม เนื่องจากในขั้นตอนที่สอง จำนวน WBNB ในพูล Panther นั้นสูงมากแล้ว ค่าของ LP ที่คำนวณได้จึงสูงมาก

8). ในกรณีที่ค่า LP ไม่ถูกต้องและค่าธรรมเนียมการจัดการที่ไม่ถูกต้อง ในที่สุดสัญญา SharkMinter ก็คำนวณมูลค่าที่สูงมากเมื่อคำนวณการมีส่วนร่วมของผู้โจมตี ซึ่งทำให้สัญญา SharkMinter สร้างโทเค็น SHARK จำนวนมากสำหรับผู้โจมตี . สกุลเงิน;

9). ผู้โจมตีขายโทเค็น SHARK เพื่อแลกเปลี่ยนเป็น WBNB และชำระคืนเงินกู้แฟลช จากนั้นทำกำไรและออกไป

เหตุการณ์นี้ทำให้ราคาของ AutoShark พัง ตกลงไปที่ $0.01 ลดลงมากกว่า 99%

4. นิเวศวิทยา MerlinLabs BSC

เมื่อวันที่ 26 พฤษภาคม MerlinLabs ซึ่งเป็นผู้รวบรวมรายได้จาก DeFi ถูกโจมตี วิธีการโจมตีคล้ายกับ PancakeBunny โดยสูญเสีย 200ETH

5. นิเวศวิทยา JulSwap BSC

เมื่อวันที่ 27 พฤษภาคม โปรโตคอล DEX และโปรโตคอลสภาพคล่องอัตโนมัติ JulSwap ถูกโจมตีโดยสินเชื่อแฟลช และ $JULB ร่วงลงมากกว่า 95% ในช่วงเวลาสั้นๆ

6. ระบบนิเวศน์ของ BurgerSwap BSC

ผู้สร้างตลาดอัตโนมัติ BurgerSwap ถูกสงสัยว่าถูกโจมตีโดยสินเชื่อแฟลช และเบอร์เกอร์มากกว่า 432,874 ชิ้นถูกขโมยไป มูลค่าประมาณ 3.3 ล้านดอลลาร์ ผู้โจมตีได้รับรู้ผลกำไรผ่าน 1 นิ้ว นักลงทุนบางรายขาดทุนเกือบ 97%

7.Belt Finance BSC นิเวศวิทยา

เมื่อวันที่ 29 พฤษภาคม Belt Finance ประสบกับการโจมตีเงินกู้ด่วน ผู้โจมตีใช้เงินกู้แฟลชเพื่อรับเงินมากกว่า 6.2 ล้านดอลลาร์จากโปรโตคอล Belt Finance ผ่านธุรกรรม 8 รายการ และแปลงเงินส่วนใหญ่ให้เป็น ETH ใด ๆ และสกัดเป็น Ethereum ขาดทุน 6.2 ล้านเหรียญสหรัฐ

โครงการที่ถูกแฮ็กข้างต้นทั้งหมดมีสิ่งหนึ่งที่เหมือนกัน นั่นคือทั้งหมดอยู่ในระบบนิเวศของ BSC ตั้งแต่เดือนพฤษภาคม โครงการระบบนิเวศของ BSC ถูกโจมตีโดยเงินกู้แบบสายฟ้าแลบ และความสูญเสียทั้งหมดเกิน 157 ล้านดอลลาร์สหรัฐ การสูญเสียจำนวนมากยังส่งสัญญาณเตือนสำหรับนักพัฒนา: สินเชื่อแฟลชเป็นสิ่งที่นักพัฒนาต้องพิจารณาเมื่อสร้างสัญญาอัจฉริยะ

DeFi ได้รับการพิจารณาเสมอว่าเป็นกระบวนทัศน์ใหม่ของการเงินในอนาคต และการเกิดขึ้นของมันยังช่วยให้เรามีส่วนร่วมในการทำธุรกรรมทางการเงินใหม่ล่าสุด อย่างไรก็ตาม เนื่องจากความซับซ้อนของชุดเทคโนโลยี ฟังก์ชันบางอย่างอาจถูกใช้ในทางที่ผิดในส่วนที่ไม่เกี่ยวข้องกันโดยสิ้นเชิงของระบบ ทำให้เกิดการสูญเสียครั้งใหญ่ ซึ่งไม่เพียงแต่เป็นอันตรายต่อผลประโยชน์ของนักลงทุนเท่านั้น แต่ยังสร้างรอยด่างให้กับโครงการและอุตสาหกรรมด้วย ดังนั้น ที่คนนอกสะดุ้ง