DeFi 項目 Boy Plus 最近出了事,被黑客盯上,損失了大約 610 枚 BNB,換算下來價值約 37 萬美元。這次攻擊來得有點突然,讓不少參與這個項目的用戶心裡一沉。
黑客盯上了他們的算力合約,發現裡面缺少 OpenZeppelin 的授權檢查機制。利用這個漏洞,直接在 PancakePair 上惡意鑄造代幣,然後抽乾了 USDT 儲備。整個過程聽起來挺專業,也暴露了合約審計時的疏漏。
我看到鏈上追蹤資訊後,覺得這種攻擊方式並不陌生。很多 DeFi 項目在快速上線時,為了趕進度,容易忽略一些基礎的安全檢查。這次 Boy Plus 就付出了不小的代價,USDT 池子被清空後,項目方和用戶都得面對後續影響。
這次攻擊暴露出的幾個關鍵問題
- 算力合約缺少 OpenZeppelin 授權驗證
- 黑客通過 PancakePair 惡意鑄造代幣
- 直接抽乾 USDT 儲備導致 37 萬美元損失
- 610 枚 BNB 被轉走
現在項目方應該正在緊急處理,修復漏洞並追蹤資金流向。對普通用戶來說,這又是提醒大家參與 DeFi 時要多看合約審計報告,別只看收益率就衝進去。尤其是流動性池和算力相關的功能,安全等級一定要夠高。
我跟圈內朋友聊這件事時,大家都感慨 DeFi 雖然創新快,但安全事故還是時有發生。黑客手法越來越精細,一個小小的檢查缺失就可能造成不小的損失。建議正在用類似項目的朋友,盡快檢查自己的頭寸,必要時撤出部分資金觀望。
這類事件也讓人看到DeFi 領域的成熟度還有提升空間。項目方需要更嚴格的多次審計,社區也要提高安全意識。短期內 Boy Plus 的代幣和池子可能會有波動,大家操作時多留一個心眼。