原文来源：decrypt

去中心化金融（DeFi）指的是区块链应用，它从贷款、储蓄和互换等金融产品和服务中剔除了中间商。虽然DeFi的回报很高，但它也有很多风险。

由于任何人都可以启动DeFi协议并编写一些智能合约，代码中的缺陷很常见。而在DeFi中，有很多黑客能够利用这些缺陷。当这种情况发生时，数以百万计的美元被置于危险之中，用户往往无法追回。

根据Elliptic公司11月的一份报告，2021年，DeFi用户因盗窃而损失105亿美元。但正如我们列出的11个最大的DeFi漏洞所示，这个数字后来又增加了数百万。(以下所有数字都是事件发生时的资金价值）。

通常情况下，dApps从它们所建立的区块链中获得主题灵感。因此，Avalanche生态系统充满了雪的元素，如Snowtrace、Blizz和Defrost。同时，Fantom生态系统感觉像是一个链上的万圣节派对。Grim Finance，一个收益优化器协议。

2021年12月，该协议遭受了一次重入攻击，这是一种攻击者在前一笔交易尚未结算时向金库伪造额外存款的漏洞。最终，该攻击欺骗了智能合约，盗取了3000万美元的Fantom代币。

基于Binance智能链的借贷协议Meerkat Finance在2021年3月推出后仅一天就损失了3100万美元的用户资金。

攻击者调用了合约中的一个函数，使他们的地址成为金库的所有者，使项目中1396万美元的Binance稳定币BUSD和另外73000个BNB（Binance的原生代币）流失。BNB抢劫案当时价值约1740万美元。

许多用户认为这是一个内部操，Meerkat否认了这些指控。

2021年夏天，Avalanche上的交易活动大增。

2021年9月，在借贷平台Vee Finance庆祝锁定资产总值达到3亿美元的里程碑后仅一周，它就遭遇了至今仍是Avalanche网络上最大的漏洞。

因为Vee Finance的杠杆交易功能依赖于Avalanche的主要流动性协议Pangolin提供的代币价格。攻击者在Pangolin上创建了七个交易对，提供流动性，并最终在Vee上进行杠杆交易。这使他们能够从该协议中抽走3500万美元的加密货币。

在2021年春天，Binance智能链（BSC）（BNB链）是最热门的DeFi潮流，特别是对散户来说，但BSC也是很多骗局和黑客的宿主，其中最大的一次是2021年5月针对协议PancakeBunny的漏洞。

一名黑客通过一系列的八次闪电贷攻击操纵了PancakeBunny的定价算法，抬高了该协议的原生代币$BUNNY的价格。该黑客通过以市场价格廉价购买BUNNY美元，并以人为的高价出售，获得了4500万美元。

多链借贷协议bZx在2021年11月因 "私钥 "被泄露而被黑。该协议在Binance智能链和Polygon上共损失了5500万美元的部署。

虽然闪电贷款攻击是如今常见的DeFi漏洞策略，但bZx在这方面是个 "OG"。它在2020年2月受到闪电贷攻击，攻击目标是其保证金交易平台Fulcrum。黑客抢走了1300个ETH，当时价值36.6万美元。

在2020年9月的另一次攻击中，bZx损失了锁定在其金库中的30%的资金，当时价值800万美元。然而，持有未平仓保证金的用户没有遭受损失，该协议后来在一份报告中所说，这些资金被从bZx的保险基金中扣除。

2021年12月，比特币到DeFi的桥梁Badger DAO遭受了1.2亿美元的损失，因为骗子欺骗Badger DAO成员批准了恶意交易，让他们控制用户的金库资金并移动资金。

区块链安全公司PeckShield告诉Decrypt，该协议的合约在该漏洞中是安全的，只有用户界面受到了影响。

借贷协议Cream Finance在2021年10月的一次闪电贷攻击中损失了1.3亿美元--这是该协议遭受的第三次攻击。

闪电贷允许你即时贷款，只要你在同一笔交易中还款。虽然对套利游戏很有用，但它们被恶意行为者广泛用于利用DeFi协议的漏洞。在Cream Finance的案例中，闪电贷的黑客能够通过在不同的以太坊地址上反复进行闪电贷来利用一个定价漏洞。

2021年8月，一名黑客在另一次主要针对Flexa Network的原生代币AMP的闪电贷攻击中窃取了约2500万美元。而在2021年2月的一次闪存贷款攻击中，黑客从该协议的资金池中抽走了3750万美元。

Play-to-earn 是加密货币的最新趋势之一，Vulcan Forged是Polygon上的一个游戏平台，2021年12月它的用户损失了1.4亿美元。

根据一份事后报告，一名黑客获得了该平台的中心化的用户钱包--Venly的凭证，从而掌握了96个加密货币钱包的私钥。后来，黑客利用它获得了该平台资产组合功能-MyForge的私钥，并最终获得了450万个Vulcan Forged原生PYR代币。

Vulcan Forged首席执行官Jamie Thomson在对社区的讲话中说："在未来，我们将只使用去中心化的钱包，这样我们就不会再遇到这个问题了。"

像大多数DeFi协议一样，借贷协议Compound有一个治理token

2021年10月，出现了一个错误--"DeFi中最隐蔽的秘密"--让借款人索取超过其预期份额的COMP。该漏洞涉及其两个金库，或智能合约上的资金池。用户会在Reservoir金库上调用一个特定的函数--drip()，它将重新填充另一个金库--Comptroller。该金库将自动向错误的地址分发大量的COMP。

在8000万美元的COMP被发送到黑客手中后，该团队急于修补一个补丁。但在实施任何修复之前，该协议需要一个治理提案来通过。它是在10月2日创建的，最终在10月9日被接受。在社区辩论的时候，金库又损失了6880万美元。

Compound的创始人Robert Leshner是如何试图拿回这些钱的呢？他在推特上写道："任何将COMP返还给社区的人都是外星人，如果有一队外星人召唤我，我就会出现。" 几乎一半的资金被退回。

随着越来越多的第一层区块链上面建有DeFi，用户更希望在链之间转移资金。跨链桥接解决了这种需求，但也带来了新的漏洞。最具破坏性的跨链事件发生在2022年1月，当时流行的桥接器Wormhole损失了3.2亿美元的Wrappped Ethereum（wETH）。WETH是一种加密货币，与以太坊的价格以1:1的比例挂钩。

黑客瞄准了Solana，用户必须首先将以太坊锁定在一个智能合约中，该黑客设法找到了一个方法，在不锁定虫洞中的ETH的情况下铸造WETH。

虫洞开发的利益相关者Jump Trading Group主动补充了虫洞的以太坊库房，使其重新成为一个整体。

Poly网络的黑客攻击仍然是加密货币中最大的事件。不过幸运的是，在经历了一系列奇怪的转折之后，2021年8月10日开始的这个传奇故事在三天后愉快地结束了。

这次抢劫开始于一名黑客利用了Poly Network的 "合同调用"--为协议提供动力的几段代码--中的一个漏洞。这名黑客迅速盗走了6.11亿美元的各种加密货币，导致Poly发表了一封绝望的信，上面写着 "亲爱的黑客"。

这一沟通尝试以及随后的努力最终奏效。提供了50万美元的赏金，并为黑客提供了成为其首席安全顾问的机会。但在链上的问答环节，黑客解释说，这个漏洞只是为了给Poly Network一个教训。他们说，归还被盗资金是 "一直以来的计划"。

加密货币安全公司SlowMist表示，它确定了攻击者的身份标记，并且该漏洞 "可能是一个长期计划、有组织和有准备的攻击"。