成都链安链必应揭示：Dego Finance遭黑客攻击，DeFi安全警钟再鸣

2月10日，成都链安旗下的区块链安全态势感知平台——链必应发现，专注于构建可持续及实用型NFT生态系统的DeFi应用Dego Finance不幸遭受黑客入侵，致使UniSwap与PancakeSwap上的DEGO流动性枯竭。

Dego Finance自2020年9月起正式启动，旨在打造一个融合NFT与DeFi的创新平台，被誉为DeFi领域的"乐高积木"，整合了诸如稳定币DAI、借贷平台Aave与Compound、去中心化交易所Uniswap和Balancer、Synthetix等衍生品以及Nexus Mutual保险等多个DeFi协议。然而，这一天，DeFi世界的"乐高大厦"却因黑客袭击瞬间崩塌。

二、事件详细剖析

经成都链安技术团队快速响应并进行资金流向追踪，发现在本次攻击中，黑客利用多账户地址私钥泄露之机，盗取了多条区块链上的资产。

以ETH链为例，我们关注到如下关键步骤：

黑客通过窃取的私钥，利用minter权限向Dego项目方的一个Deployer地址（0x20FE4B1eD95911487499e53355BB8f14a881D735）及0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91地址总共铸造了592,582.35个dego代币。

随后，黑客移除了ETH-dego交易池的全部流动性。

黑客又通过DEGO.Finance: Deployer账户移除流动性操作，获得了269,502个dego代币和378个ETH。

紧接着，黑客将DEGO.Finance: Deployer账户中的378个ETH转移到0x118地址。

此外，黑客还从项目方地址转移了441个yvWETH至0x118地址。截止发稿时，在Ethereum链上，攻击者已将这441个yvWETH通过Zapper.Fi: Yearn yVault Zap Out兑换为445个ETH，并将其中400 ETH转入Tornado.Cash: Proxy，同时向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址转账了202个ETH。在Cronos链上，0x118地址持有196,256.7 USDT和199,401.9 USD Coin；而在BSC链上，攻击者获取了3,736.17 BNB并通过代币兑换积累了9,188 BNB，并向同一地址转入了12,741 BNB。目前，三条链上的资产总额约为1,762.7万美元，而Dego Finance官方正全力以赴地追查原因并努力挽回损失。

三、启示与反思

随着DeFi领域持续发展壮大，其安全问题日益紧迫。相较于传统金融，DeFi依赖于智能合约这一底层基础，虽然具有无可比拟的效率与便利性优势，但同时也暴露出传统金融无需面对的代码漏洞风险。因此，成都链安呼吁广大用户对于那些未经公开智能合约审计报告的项目保持高度警惕，并建议项目方严格保管私钥，以防类似事件导致项目严重受损。