明眼可见的是，原本聚集在以太坊上的流量一步步被瓜分，形成了一个个被割裂的价值孤岛，而这意味着未来随着公链数量和 Layer2 数量的增多，跨链桥会继续成为一个刚需，跨链桥的安全事件恐怕会继续难以避免。

02

历史悠久的 DeFi 「闪电贷」攻击

不过在跨链桥这个被盗热门之外，DeFi 其实有个历史悠久的安全黑洞，它的术语也几乎被不少用户当作黑客工具的代名词——「闪电贷」。

自从 2020 年的 DeFi 盛夏之后，涵盖 DEX、借代、衍生品、固定收益、算法稳定币、资产合成、聚合器等各赛道的发展层次越发多元化。

而 DeFi 自身的无边界属性和可组合特性，在为这个「乐高世界」提供了足够的想象空间与可能性之余，也带来了诸多比传统金融更不可测的风险，「闪电贷」就是其中的典型代表之一。

早在 2020 年《15 秒内通过「DeFi 乐高」获取数十万美元，「bZx 事件」会成为 DeFi 新阶段的起点么？》一文中，就对彼时「DeFi 盛夏」还未到来之际的闪电贷攻击苗头进行了关注，bZx（现已改名为 Ooki）也可谓是这方面最不幸的代表之一——仅 2020 年连续被攻击了至少三次：

2 月 15 日，攻击者在一个以太坊区块时间内充分利用「闪电贷」，在未曾动用自有资金的前提下，一环紧套一环，最终通过在漏洞间操纵价格，成功「套利」1271 枚 ETH；

三天之后，2 月 18 日，「闪电贷」攻击再次出现，获利 2388 个ETH；

bZx 的霉运并未就此结束，9 月 14 日，再次因合约漏洞失窃 4700 枚 ETH；

此后 DeFi 领域的「闪电贷」攻击便开始迎来井喷，屡屡见诸报端，直到今年遇到上亿美元的上榜事件——4 月 17 日，去中心化稳定币协议 Beanstalk Farms 遭遇「闪电贷」攻击，协议损失约为 1.82 亿美元，包括约 24830 枚以太坊以及 3600 万枚 BEAN 。

此次攻击得逞的一个关键原因是恶意的治理提案，借助「闪电贷」被推动通过，然后攻击者投票决定将所有资产转移给自己，这轮攻击的被盗金额也在 DeFi 被盗榜上排行第 4。

03

智能合约攻击的新路径

而 DeFi 被盗榜上排行第 5 的 Compound 被盗事件则是智能合约漏洞的典型代表：

2021 年 10 月，有消息称 Compound 有一个漏洞，即允许借款者索要超出其预期的 COMP 份额，这个漏洞涉及到 Compound 的两个金库 。

用户在 Reservoir 金库上调用一个特定的函数，触发了价值 8000 万美元的 COMP 被发送到另一个金库 Comptroller，该金库会自动将大量 COMP 代币分发到错误的地址中，而这个「漏水的水龙头」是由之前的一次协议更新中引入的错误造成的。 (责任编辑：admin)