【连载】韩国政府 2021 区块链报告 DeFi 专题 (十五) 因技术问题和金融逻辑而发生事故的 DeFi 服务案例

因技术问题和金融逻辑而发生事故的 DeFi 服务案例智科创新院社群开张啦！欢迎广大区块链爱好者进群和我们共同交流~（进群方式：加 Rocky 微信 ypk870904167 文末有二维码哦）摘要本文将带您了解当下币圈最受关注的 DeFi，主要介绍了因技术问题和…

因技术问题和金融逻辑而发生事故的 DeFi 服务案例

智科创新院社群开张啦！欢迎广大区块链爱好者进群和我们共同交流~

（进群方式：加 Rocky 微信 ypk870904167 文末有二维码哦）

本文将带您了解当下币圈最受关注的 DeFi，主要介绍了因技术问题和金融逻辑而发生事故的 DeFi 服务案例。（本文共 3177 字，阅读时间约 7 分钟）

本文源自于韩国政府 2021 年的《区块链创新金融生态系统研究报告》，报告从金融创新角度出发，涵盖了以下三个方面的内容：

1. 区块链金融科技的定义、市场趋势及前景；

2.DeFi 的定义、市场趋势、技术趋势及前景；

1. 通过对相关法律制度及政策与生态系统的分析，提出阶段性发展方向和政策性建议。

本连载主要介绍其中的第二部分关于 DeFi 的内容。

因技术漏洞发生的事故案例

1） dForce

2020 年 4 月，dForce 上总资产的 99%，即 2500 万美元 (约 300 亿韩元) 规模的虚拟资产被盗走。此前一天，Uniswap 也遭到同样的攻击，被盗走了价值 23 万美元 (2.9 亿韩元) 的虚拟资产。据悉，该事故是由于在以太坊 ERC777 代币标准和 DeFi 服务的智能合约互换过程中存在安全漏洞，而黑客利用了这一漏洞。所幸后来黑客返还了相关资金，没有造成太大的损失。但是，这一安全隐患是区块链企业共识在 2019 年 4 月监察 Uniswap 智能合约的过程中已经指出的事项，也就是说，如果当时及时处理，就不会发生事故。

2） Yam Finance

去年 8 月 12 日，Yam Finance 上市仅一天就募集了总价值超过 5000 亿韩元的虚拟资产。但上市第二天，Yam Finance 的共同创始人 Brock Elmore 宣布了智能合约的漏洞，导致 Yam Finance 股价暴跌至 159 美元。Yam Finance 在推出服务后，因协议代码错误的问题，发生了过度开采的现象，因此中断了链上治理功能。Yam Finance 总市值在短短几分钟内就归零，Compound、Yearn.Finance 等股价也急剧下跌。

3） CherryFi

CherryFi 是基于 TRON 的 DeFi 项目，但因 9 月 13 日智能合约的问题，CherryFi 发布公告称 " 因 USDT 相关合约代码出现问题，用户们无法提取 USDT。因此，CherryFi 上用户储存的 262,279 个 USDT 被捆绑在合约内，实际上发生了被销毁的情况。

4） Turnip.land

于 2020 年 9 月 4 日推出的 Turnip.land 项目也发生了类似 CherryFi 的事故。项目组在上市一天内募集了价值 200,000 美元以上的虚拟资产，但由于发生非标准 USDT 合约的 SafeERC-20 库兼容问题，已经存入（Staking）的 USDT 的解除存入（Unstaking）功能无法正常运转。团队为了解决该错误，探索了多种解决方案，但最终 61102 个 USDT 永久被智能合约淹没。据悉，开发团队发表公告称，将用开发团队的私人费用全额退还给用户，目前 90% 以上的退款已完成。

5）珊瑚

从 2020 年 9 月 10 日 2 时 43 分开始，EOS DeFi 流动性开采项目珊瑚遭到黑客攻击，约 12 万 EOS 被盗。据悉，截至目前，4.6 万 EOS 被转移到 ChangeNOW 进行洗钱，黑客以类似再次进入攻击 (Re-Entrancy) 的方式攻击了 eoswramtoken 的智能合约。

6） Asuka

Asuka 是韩国开发者张钟灿（昵称）制作的与 DeFi 相关的代币。Asuka 在发行 10 个小时后，代币流动池募集了价值约 100 亿韩元的虚拟资产。与此同时 Asuka 在国外也成为热门话题，当时 Asuka 单价达到 1600 美元。但随着 8 月 3 日开发商突然退出社区并失踪，关闭所有网页后突然消失，Asuka 价格暴跌至 14 美元。8 月 8 日，开发者再次出现，表明了 " 因流言泛滥，需要休息 " 的立场。

所幸，这一事件并没有给存入本金的人带来多大的损失。因为，当初私募基金中存入的资金由 98% 的 DAI 和 2% 的 ASA 组成，其中 98% 的 DAI 在所有者需要时随时可以取款。但是，现在的 DeFi 市场氛围却证明，如果有人有意制造事故，就随时都有可能发生。

该案例虽然不是因技术原因发生的事故，但能说明，如果项目管辖权限集中在个人或少数人身上，随时都有可能引发资金转移、毫无预兆的项目中断等重大事故。以去中心化为核心的 DeFi 服务如果被少数人所左右，最终会与被中介控制的中心化机构并无差别。从项目隶属于特定个人的角度来看，此次情况可以说是更严重的中心化现象。另外，现有的中心化机构大部分接受国家机关的监督，但是在去中心化的环境下，没有规制、监督的机构，如果权力集中在个人或少数人身上，反而比中心化机构危险更大，信赖度更低。

7） Yam bZx

贷款协议 bZx 在 2020 年 9 月 14 日，因黑客的攻击，被盗取了价值 800 万美元（约 94.6 亿韩元）以上的虚拟资产资金。bZx 团队成员 Anton Bukov 在推特上承认，" 在智能合约中，由于代码的漏洞，黑客们开始了一系列 iToken 重复交易，盗走了 ETH。" 幸亏有保险基金，所以存入 bZx 的用户们的资金没有受到损失。但值得注意的是，bZx 网络是在智能合约监察服务 "Peckshield" 和 "Certik" 进行代码安全监察的项目。也就是说，即使进行了代码安全监察，也不能 100% 保证安全。这起事故也说明需要更加注意启动 DeFi 的智能合约技术。

金融风险事故类型

所谓金融逻辑漏洞，并不是因为代码错误或攻击程序的安全漏洞。代码和程序虽然正常运行，但该代码内嵌的金融逻辑有可能遭到攻击。这种利用金融逻辑漏洞进行攻击的手段不仅仅是在 DeFi 领域，而是金融领域的通病。例如，如果在股市动用可以暂时动摇市场的资金，那么通过动摇市场赚取差价的事情会经常发生。类似的事件在 DeFi 领域中也发生过，闪存结构极容易遭到攻击。

在 DeFi 中最早实现闪存的服务是 Aave。Aave 拥有在以太坊的 1 个区块生成期间提供无担保贷款，最后还款的逻辑。所谓闪存，是指在去中心化协议中获得无担保贷款，在其他平台进行套利交易的技术，主要攻击方式是，在闪存获得大量虚拟资产后，将其大量出售给其他 DeFi 服务，使其价格下降，并以较低的价格购买相应代币，偿还贷款并获取差额。因为所有这些过程都是在生成一个区块的时间（约 12~13 秒）内完成的，所以很难发现或阻止这样的攻击。因此，如果连续进行相同模式的攻击，那么瞬间就能盗取价值数百亿韩元的资产。例如，Harvest Finance 于 2020 年 10 月 27 日遭到黑客恶意利用闪存的攻击，共损失了 3,380 万美元（约 381 亿韩元）。攻击者并非只攻击一次，而是在 4 分钟内 17 次攻击了 Harvest 的 Tether Bolt，3 分钟内攻击了 13 次 USDC Bolt，共获得了相当于 3,380 万美元（约 381 亿韩元）的差价。

操纵交易基准价格或计算基准价格的系统出现问题，从而获得市价差价的方法也常被使用。据区块链安全企业 CipherTrace 透露，截至目前，近 1 亿美元的虚拟资产在多个 DeFi 服务中被窃取。最近，其攻击频率进一步增加，仅 2020 年 11 月，Akropolis 就损失了 200 万美元，Cheese Bank 损失了 330 万美元，Value Finance 损失了 600 万美元，Origin Protocol 损失了 700 万美元。据悉，这些攻击是以操纵交易基准价格的方式进行的。

但这种攻击在金融市场已经普及，因此有人怀疑 " 闪存 " 的设计者真的不知道这样的漏洞吗？因为即使是金融新手，这种攻击方法即使不经过复杂的计算也能直观地看穿。闪存首次攻击发生在 2020 年 3 月，但并没有人马上解决该问题，从而引发了更多的事故，这足以让人产生 " 项目故意搁置漏洞，通过黑客攻击来吞没存款 " 的疑虑。

但也并不是没有应对闪存攻击的方法。Harvest 表示，将改善交易方式，将交易范围从一个交易范围内的交易改为两种交易方式。另外，这种攻击之所以可能发生，是因为在市场规模小的地方容易发生瞬间的行情变动，从而容易产生行情差价。但如果在流动性更充裕、更稳定的市场里带来交易基准价格，或者能够调节交易基准价格，与外部市场价格相差无几，那么很难形成急剧的行情变动，利用闪存的攻击也不会轻易成功。从这个角度来看，Harvest 计划不使用内部行情信息，而是利用链条连接、Oracle 解决方案，最大限度地减少市价浮动现象。

但是，用这种方法也无法充分阻止恶意利用行情差价的攻击。这些问题与代码本身的问题一样，还面临着必须充分检查金融逻辑本身是否存在漏洞。另外，DeFi 项目开发者们表示 " 我们的代码已经没有问题了，有问题是恶意利用逻辑的人。" 如果说这是涉及其他个人资产的服务，那么不管是什么原因，制造可能发生金融事故的漏洞本身就脱离了金融服务的本质。

下一章我们将带您走进韩国政府 2021 区块链报告，介绍 DeFi 服务中因技术或金融逻辑问题引起的事故类型分类，敬请期待！

智科创新院是专业的韩国区块链行业咨询公司，在中国和韩国均有本土团队。智科创新院将为区块链项目提供创建品牌，上交易所，开拓市场，运营社群，活动宣传等服务，助力优秀的项目进入韩国市场，欢迎合作！

添加 Rocky，获得更多韩国区块链咨询！

更多韩国区块链相关资讯，请关注微信公众号“智科创新院”

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻 ChainNews 立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。