毫无疑问，在过去的一年中，去中心化金融（DeFi）一直是以太坊生态系统的核心。但不幸的是，按其底层加密货币的市值将其用于第二大区块链的应用之中，其自身并非没有缺陷。

昨天的一份报告表明，4月18日，一个明星DeFi协议被黑客窃取了其中的以太坊和代币化的比特币。

Uniswap是基于以太坊的代币交换协议，不仅跟传统的加密货币交易所不同，也跟普通的去中心化代币交易所不同。Uniswap是一组部署到以太坊网络的合约，所有的交易都在链上进行。

从去年几乎没有什么流动性，到最近的24小时交易量达到了5300万美元，成为了DeFi生态中又一明星项目。

价值30万美元的加密货币被盗

根据区块链开发商和DeFi专家JulienBouteloup的说法，攻击者设法耗尽了基于Uniswap的池（市场），并在此过程中获得了价值超过300000美元的以太坊和基于以太坊令牌化版本的比特币imBTC。

Julien 在其Twitter上写道，“ Uniswap上的imBTC TokenIon池已遭到攻击并耗尽，对Uniswap的简单攻击使他们被窃取了超过300000美元的ETH + BTC。”

该问题在Uniswap的GitHub上被描述为“流动性池可能会被某些代币窃取（例如ERC-777）”，并且该问题被定义为重大的安全漏洞，截止目前官方的GitHub对该问题的解决方案依然显示为“目前正在审查该问题”。

尽管该事件的事后报告尚未发布，但Bouteloup声称，在16个月前对基于以太坊的Uniswap协议进行的一次审核中，解释了允许用户去发现一些加密货币的漏洞。

根据GitHub上揭示审计细节的帖子，漏洞利用涉及攻击者创建类似于原始交换的“假交换（池）”。

从那里，攻击者可以操纵Uniswap来使原始池中的资产价格突然变得非常便宜，从而使他们能够以比其实际市场价值低得多的价格清算该资产。

在这种情况下，被盗的加密货币是令牌化的比特币imBTC。

绝非个例的 DeFi 攻击

在过去的几个月中，这不是第一次用户利用基于以太坊的DeFi协议中的错误来获得巨额利润。

今年2月份，协议bZx遭受了两次攻击，而两次发生的时间只有几天的间隔，两次攻击并不完全相同，但是它们的要旨如下：

用户从bZx提取了大笔ETH的“闪电贷”，闪电贷是用户在同一笔交易中借入并返还借入资金的地方。

ETH被用来购买另一种基于以太坊的资产，用户部署操作来更改其他协议中基于以太坊的资产的价格，从而允许因预言价错误而获利。

两次攻击使得bZx的用户损失了30万美元和约65万美元，总计损失了近100万美元。

原文来源于bitcoinist，由BluemountainLabs团队编译，英文版权归原作者所有，中文转载请联系编译。