那些稳如泰山的黑客们，也开始掌握时机，凭借自身技能实力，伺机进攻那些没有做好安详防范法子的 DeFi 们。

随后，11月18日，PeckShield 监控到 DeFi 牢靠利率借贷协议 88mph 存在代码裂痕，一名进攻者操作该裂痕锻造了代价 10 万美元 MPH 代币。

通过反复操纵这三个步调，进攻者锻造了代价 10万 美元的 MPH 代币，并将其存入 Uniswap V2: MPH 4 池中。

由于进攻者将得到的 MPH 代币存入了 Uniswap V2: MPH 4 池子傍边，而 88mph 项目方本身掏空了该池子，然后做了快照，因此暂未造成任何经济损失。

上线仅48小时后即遭伏击

操作另一裂痕荣幸逃过一劫

随后，挪用 fundAll()?函数购置浮动利率的债券，在此步调中，用户可得到 MPH 代币和一个 fundingID （非同质化通证 ）；

据悉，88mph于11月16日上线主网，上线仅48小时就遭到了进攻。在 88mph 协议中，用户可通过存入加密资产赚取牢靠利钱，并得到其原生代币 MPH，也可通过购置浮动利率的债券来获取 MPH 代币。

事实上，MPHMinter?合约尚有一个裂痕，而开拓者操作此裂痕荣幸逃过一劫，使得此次进攻暂未造成任何经济损失。

首先，开拓者挪用 takeBackDepositorReward 将所获 MPH 代币从 Uniswap V2: MPH 4 转移到 govTreasury（相当于 mph 的资金库），该函数没有配置门槛，任何人都可挪用此函数将 MPH 代币转移到 govTreasury 中。

PeckShield 通过追踪和阐明发明，首先，进攻者挪用 DInterest::deposit()?函数将不变币储存在资金池中，此时，存款者会收到一个新的 ?depositID，它相当于非同质化通证（NFT），同时 MPHMinter 合约会开始锻造 MPH 代币；

惊险时分：24小时产生两起进攻事件 损失近800万美元

11月17日，PeckShield 监控到 DeFi 协议 Origin Protocol 不变币 OUSD 遭到进攻，进攻者操作在衍生品平台 dYdX 的闪电贷举办了重入进攻（Re-entrancy attack)，造成代价 770万 美元的损失。

开拓者编写的每一段代码，就如同家产出产中的螺丝钉一般，纵然很微小，却与 DeFi 行业的兴衰成败细密相连。

开拓者们更急，为了快速上线主网，重新宣布的代码中得到最大收益，他们直接略过了安详审计的步调。

DeFi 的生态仍处于早期成长阶段，但区块链的焦点代价在于普世的信任，假如 DeFi 们仍一味追求快速上线主网，忽视代码的审计安详，，最终只能将社区成员的信任消磨殆尽，成为没有魂灵的躯壳。

接下来，进攻者将步调?1?和步调?2?所得到的?depositID?及?fundingID 传入 earlywithdraw()?函数提取在这两步中所存入的资产。也就是说，进攻者将步调 1 华夏本要锁仓 1 年的加密资产被提前取出，此时进攻者不会得到任何利钱，因此步调 2 中提供的资金也原路退回，而且 MPHMinter 会销毁在步调 1 中锻造的所有 MPH 代币。值得留意的是，在第 2 步中所铸的 MPH 代币并没有被销毁。进攻者操作这点，以?0?本钱得到了步调 2 所锻造的代价 10?万美元的 MPH 代币。

PeckShield 相关认真人暗示：“黑客们的进攻大概会歼灭或‘杀死’一个项目，DeFi 们不要存在荣幸心理，应该做好充实的防范法子。假如对此不相识，应该找专业的审计机构对代码举办彻底地审计和研究，防御各类大概产生的风险。”

进入11月，产生在DeFi协议上的进攻一起接着一起，DeFi 们俨然沦为黑客的取款机。据PeckShield统计，停止今朝共产生8起与DeFi相关的安详事件，包罗Yearn Finance、Percent.finance、Cheese Bank、Origin Protocol、Akropolis、Value DeFi、YFV、88mph，造成损失逾2100万美元。

2020 年 3 月 Compound 推出“借贷挖矿”模式，让寂静多时的币圈再次燥动起来。一位参加过 DeFi 挖矿的“矿工”暗示，为了抢到头矿，他把赌注押在未经测试的代码上，“不管安不安详，先把头矿抢了。”

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。