BSC链上DeFi项目集中失窃：同源漏洞引发“团灭”危机

免责声明：本文旨在传递市场动态，不做投资建议。文中的观点仅为作者独立见解，并不代表火星财经官方立场。

温馨提醒：蜂巢财经News邀您关注本文！

来源：蜂巢财经News

原题：《黑客利用同源漏洞 「团灭」Fork协议》

作者：凯尔

一：加密市场动荡与链上生态的不平静

2021年5月，加密资产市场经历了惊涛骇浪般的动荡，BTC从5万美元高位一路跌至29000美元，几乎腰斩，众多加密资产跌幅超过50%。与此同时，链上生态也未能幸免于难，DeFi领域在5月份上演了一幕幕安全危机大戏，其中尤其以币安智能链（BSC）为重灾区，短短一个月内发生了至少13起黑客攻击事件，累计损失金额高达2.7亿美元，甚至超过了2020年全年DeFi安全事件的总损失。BSC官方推测，这些连续不断的攻击可能源于一个有组织的黑客团队对BSC的密切关注和精准打击。

二：BSC链上项目为何成黑客“猎场”？

1. 集中失窃背后：同源漏洞频现

深入剖析发现，许多被攻击的BSC项目均存在同源漏洞问题。例如，在PancakeBunny遭受攻击后，其Fork版本AutoShark和Merlin Labs在接下来的一周内相继沦陷；同样地，被黑的 BurgerSwap 和 JulSwap，尽管都是基于Uniswap代码进行Fork，但在改动过程中却不幸引入了漏洞。

区块链安全公司PeckShield的研究表明，这些Fork出的协议之所以容易成为黑客的目标，是因为开发者在没有充分理解原协议底层逻辑的基础上进行微创新，结果导致即使是很小的更新或功能组合也可能孕育出安全隐患。

三：12个项目接连遭袭，损失高达2.7亿美元

在加密资产市场风雨飘摇之际，链上协议的安全事故接踵而至。5月30日，BSC上的稳定币兑换协议Belt Finance遭遇闪电贷攻击，损失金额达到620万美元。经PeckShield追踪，该次攻击源于黑客在PancakaSwap完成8笔闪电贷交易后，通过操纵beltBUSD价格的方式非法获利。

Belt Finance在遭受攻击后迅速回应并发布报告，表示将进一步审计，并将在48小时内公布用户补偿计划。受此影响，Belt Finance治理代币BELT价格大幅跳水，短期跌幅逾50%，让人瞠目结舌。

据统计，自5月2日起，包括Spartan Protocol、Value DeFi、BearnFi、Venus等在内的总计12个BSC链上项目遭到攻击，共造成2.7亿美元的资金损失，其中Value DeFi更是两度被黑。

面对如此密集且严重的安全事件，BSC官方发声指出近期已有多达8起针对BSC链上项目的闪电贷攻击，怀疑有专门针对BSC的黑客团伙在行动，并提出了加强DApp风险管理的系列建议，包括进行健康检查、反复审核Fork项目更改内容、实时监控异常情况并及时暂停协议、制定应急计划以及设立漏洞赏金计划等措施。

四：Fork隐患爆发，同源攻击揭示安全短板

BSC今年异军突起，凭借高效的交易处理能力和低廉手续费吸引了大量项目和用户入驻。然而，部分开发者为了抢占先机，匆忙将以太坊或其他成熟开源项目的代码Fork到BSC上部署，这种急于求成的做法无疑为后续的安全危机埋下了伏笔。

据PeckShield透露，多个被盗项目如BurgerSwap和JulSwap的代码直接来源于Uniswap，但它们似乎并未完全吃透Uniswap背后的运行机制。在多起案例中，黑客正是瞄准了这些Fork协议尚未成熟或理解不足之处，成功利用同源漏洞实施攻击，给项目方带来沉重打击。

PeckShield的安全专家强调，对于项目方而言，确保DeFi协议安全并非口号，而是要落实到日常实践中，做到每日自查代码，关注同类项目被攻击后的漏洞警示，审视与其他协议交互时是否存在安全风险。同时，新合约上线前务必经过严格审计，设计有效的风控熔断机制，并引入第三方安全公司的威胁感知情报服务，全方位提升防御系统。

小编建议来看，BSC链上一批DeFi项目短时间内集中失窃，主要原因在于黑客找到了多个协议间的同源漏洞，通过模仿攻击手段实现“一招鲜，吃遍天”。这不仅给BSC生态敲响了警钟，也让所有协议开发者深刻意识到，在追求模式创新的同时，绝不能忽视底层代码的安全性建设。