据PeckShield统计，2021年5月，与DeFi相关的安全事件25起，损失金额约2.8亿美元，其中闪电贷攻击约11起，BSC链与DeFi相关的安全事件15起，Ethereum链3起，EOS 1起。

闪电贷攻击频繁，今年从去年的Ethereum转到BSC。许多人将闪电贷款解释为邪恶的来源，在DeFi上建造的核弹，以及袭击者的主要原因。

其实这些言论都是对闪电贷款的误解，闪电贷款只是利用区块链技术给传统借贷市场无法实现的东西带来新的可能。理论上，闪电贷允许用户以无担保的方式贷出流动性池中的所有普通凭证，并要求用户在一系列互换抵押清算操作后、交易结束前归还借入的普通凭证和固定借款费用。

BSC第一次闪电贷款攻击是在5月2日。通过追踪分析，笔者发现DeFi协议Spartan协议遭到闪电贷款攻击。之后，BSC链闪电贷款攻击频率呈上升趋势，包括PancakeBunny、Bogged Finance、AutoShark、BurgerSwap、JulSwap。

PeckShield观察到，这些闪电租借攻击类似于Ethereum中的闪电租借攻击，只是从Ethereum转移到BSC。年初，BSC凭借其处理费用低、块输出快的优势，在原有的Ethereum和Fork Ethereum上吸引了一批DeFi协议。DeFi的生态越来越丰富，绑定到BSC的资产也越来越多，这让它成为了攻击者一个华丽的收割场。

从以上6起闪电租借攻击案例中，我们发现大部分攻击都与之前对Ethereum的攻击非常相似。

BurgerSwap和OUSD有类似的攻击技术。基于基站的入侵检测和基于以太网OUSD的闪电借贷再入攻击有相似之处。攻击者首先从提供闪电交易的分散式交易所借出闪电贷款，然后将假币和本地令牌(OUSD汉堡)存入智能合同，在这一步通过再入攻击攻击合同，最后返回闪电贷款以完成攻击。

操纵曲线工具的闪电贷款攻击再次出现在BSC上。5月30日，结合BSC链多策略收益优化的AMM协议“腰带金融”遭到闪电贷款攻击。PeckShield通过跟踪分析发现，此次攻击源于攻击者对BUSD的反复买卖，并利用bEllipsisBUSD的战略平衡计算中的漏洞操纵bEllipsisBUSD的价格牟利。

值得注意的是，省略号是Fork通过以太网上的DeFi协议Curve授权的项目，多次操纵Curve yPool的价格，重现稳定货币价差的套利事件。叉曲线潘多拉魔盒打开了吗？

综上所述，这些反复出现的闪电贷攻击是有迹可循的，也不是没有防御。

PeckShield的相关安全负责人说：

协议开发者不仅要了解Fork的DeFi协议，还要了解自己的协议。协议的乐高本质不是简单的拼接，而是对原始协议背后逻辑的完整理解。闪电贷攻击目前没有解决方案。我们发现攻击者往往从已知的漏洞入手，需要做的是在协议上线前做静态审计，消除已知的漏洞。

其他协议受到攻击时，自检代码，排除同源漏洞；研究过去的案例，定期进行动态审计，避免漏洞再次出现。除了寻求专业代码审计团队的帮助，还需要引入第三方安全公司的威胁感知情报和数据态势情报服务，以完善防御体系。当攻击发生时，确保第一时间察觉并及时采取对策。