DeFi 安全項目Lossless幫助 Cream Finance 從黑客手中追回1670萬美元

金色財經報道，Lossless 是一家去中心化金融 (DeFi) 安全機構，已協助收回在 8 月發生的 Cream Finance 漏洞利用期間被轉走的 5152.6 ?ETH，價值近1670萬美元。周一，Lossless 在推特上指出，白帽安全專家 Pascal Caversaccio 對成功收回被抽走的資金至關重要。Lossless 表示，該項目正在尋求推出一種黑客緩解工具，該工具將允許協議開發人員采用“動手”方法來防止對其平臺的此類惡意利用。據報道，這種緩解措施的一部分將包括對可疑交易凍結 24 小時，以便有時間進行有力的調查。（cointelegraph）

風投機構The Spartan Group新基金完成1.1億美元募資，將用于投資DeFi領域:據風投機構TheSpartanGroup合伙人SpartanBlack表示，TheSpartanGroup原計劃募集2000萬美元的新一輪基金現超額募得1.1億美元，募得的資金將用于投資DeFi領域。[2021/6/2 23:04:47]

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

當前DeFi協議借貸總量為14.65億美元:金色財經報道，DeBank數據顯示，當前DeFi協議借貸總量約為14.65億美元。其中，Compound平臺約9億美元，占總體份額61.42%，Maker平臺約4.12億美元，占總體份額28.12%，Aave平臺約1.28億美元，占總體份額8.79%。dYdX平臺約0.23億美元，占總體份額1.61%。

注：DeFi其實質是基于一套開放的賬戶體系，保證全球任何人都可以無門檻使用的一系列金融服務。這些金融服務主要由一些開源的智能合約來提供，整個服務的代碼和賬目都可以在區塊鏈上進行公開審計。[2020/8/17]