借贷协议 Cream Finance在 2021 年 10 月 的一次闪电贷攻击中损失了 1.3 亿美元——这是该协议遭受的第三次攻击。

如果您在同一笔交易中偿还，闪电贷允许您立即获得贷款。尽管对套利交易有用，但它们被恶意行为者广泛部署以利用 DeFi 协议中的漏洞。在 Cream Finance 的案例中，闪电贷黑客能够通过在不同的以太坊地址上反复进行闪电贷来利用定价漏洞。

Cream Finance以前见过这一切。2021 年 8 月，一名黑客在另一次主要针对 Flexa Network 的原生代币 AMP 的闪电贷攻击中窃取了约 2500 万美元。在 2021 年 2 月的一次闪电贷攻击中，黑客从协议池中吸走了 3750 万美元。

6. Vulcan Forged: 1.4亿美元

Play-to-earn是加密领域的最新趋势之一，但它并非摆脱了老派的技巧和陷阱——尤其是那些利用集中式功能的技巧和陷阱。Polygon上的游戏赚钱平台 Vulcan Forged在 2021 年 12 月的用户损失 1.4 亿美元时惨痛地吸取了这一教训。

根据报告，一名黑客获得了该平台集中式用户钱包 Venly 的凭据，以获取 96 个加密钱包的私钥。后来，黑客利用它获取了平台资产组合功能 MyForge 中的私钥，最终盗取了 450 万枚 Vulcan Forged 原生 PYR 代币。

Vulcan Forged 首席执行官 Jamie Thomson 在对社区的讲话中说：“当然，展望未来，我们将只使用去中心化钱包，因此我们再也不必遇到这个问题了。”

5. Compound: 1.5亿美元

与大多数 DeFi 协议一样，借贷协议 Compound有一个治理令牌 COMP。该协议在特定条件下向用户分发代币。

2021 年 10 月，Compound出现了一个漏洞——“ DeFi 中保存最完好的秘密”——让借款人索取的 COMP 份额超过了他们的预期份额。该漏洞涉及其两个保险库，或智能合约上的资金池。用户将调用 Reservoir 保险库上的特定函数 —drip()，它会重新填充另一个保险库 Comptroller。该保险库会自动将大量 COMP 分配到错误的地址。泄漏水龙头是先前协议更新中引入的错误的结果。

在将 8000 万美元的 COMP 发送给错误的人之后，该团队急于修补。但在实施任何修复之前，该协议需要通过治理提案。它创建于 10 月 2 日，最终于 10 月 9 日被接受。在社区辩论期间，金库又损失了 6880 万美元。

Compound 的创始人罗伯特·莱什纳 (Robert Leshner) 是如何试图把钱拿回来的？通过推特，“任何将 COMP 归还给社区的人都是外星人。如果一队外星巨魔召唤我，我会出现的。” 几乎一半的资金被退回。 (责任编辑：admin)