2月10日，成都链安链必应-舆情监测显示区块链安全态势感知平台，DeFi应用Dego Finance被黑客攻击，UniSwap 和 PancakeSwap 上的 DEGO 流动性已经耗尽。成都链安技术团队首次分析了这次攻击的资金流向。

#1 事件概览

据悉，Dego Finance从2020年9月开始，打造可持续性和实用性NFT以生态系统为目标，NFT DeFi平台。有人说，在DeFi的世界里，DEGO相当于乐高。每一个DeFi该协议被视为一块砖，包括稳定货币(DAI)、借贷 (Aave,Compound)、去中心化交易所DEX (Uniswap and Balancer)、衍生品(Synthetix)和保险(Nexus Mutual)等等。

2月10日，Dego Finance官方推特宣布被黑客攻击，DeFi 世界乐高就这样塌了！

本次攻击涉及多个账户地址的私钥泄露。黑客使用私钥提取多个链上的资产。请阅读详细分析。

#2 事件具体分析

我们以ETH以链上攻击为例，对Dego详细分析了项目方一个地址的资金流向。

首先，项目方私钥泄露DEGO.Finance: Deployer地址为：

0x20FE4B1eD95911487499e53355BB8f14a881D735

攻击者的地址如下：

0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91

通过私钥使用攻击者minter权限分别向DEGO.Finance: Deployer账户和0x592，582，118账户铸造.35个dego代币。

2之后移除ETH-dego交易池的流动性。

3攻击者通过DEGO.Finance: Deployer账户移除流动性获取了269,502个dego代币和378个ETH。

4 然后将DEGO.Finance: Deployer378个账户获取ETH转给了0x118地址。

与此同时，黑客转移原本属于441个项目方地址yvWETH给0x118地址。

此时0x118账户盈利(371.6 378.75）750.37个ETH以及其他转入的7.10个ETH一共757.4个。

到目前为止，已经发在Ethereum在链条上，攻击者在0x118地址将441个yv WETH转入 Zapper.Fi: Yearn yVault Zap Out 换445 个ETH，获取共1202个ETH，转入Tornado.Cash: Proxy 400 ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址转入202个ETH。

在Cronos链上，在0x118地址获取了196256.7个USDT和199401.9个USD Coin，还未转出。

在BSC链上，获取3736.17个BNB，9188个通过代币兑换获得BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d12、741个地址转入BNB。

三条链上0x目前，官方表示，118地址总计约为17、627、676美元，正在调查原因，6美元。

随着DeFi不断发展，DeFi项目安全问题也越来越紧急。与传统金融相比，DeFi底层依赖于智能合同，本质上是程序。该程序具有传统金融无与伦比的效率和便利性，但也存在传统金融不需要考虑的代码漏洞。因此，成都链安建议您对未披露智能合同和审计报告的项目保持警惕，项目方还需要避免私钥泄露，导致项目损坏。

扩展阅读：

分享纯干货(一) |    DEFI安全问题的基础文章

当DeFi如何保证黑客的提款机的安全？