如果一个项目需要价格参考，它也需要小心，因为闪电贷可能会操纵价格。为了防止这种情况发生，我们建议使用时间加权平均价格（TWAP）。TWAP代表了一个代币在特定时间范围内的平均价格。如果攻击者在一个区块中操纵价格，它是不会影响平均价格的。另一个建议是，使用一个可靠的链上价格预言机，如Chainlink。

　　许多项目，如PancakeSwap和UniSwap，是独立运行的。在PancakeSwap中，用户可以为收益耕种代币提供流动性，或者用一种代币交换另一种代币。用户不与其他第三方协议互动。

　　其他项目，如Yearn Finance，运作方式则不同。Yearn Finance收集用户资金并将其投入第三方合约。它通过投资用户的代币获得收益。另一种情况是，一些项目从其他项目 “借用”代码。例如，PancakeSwap就引用了UniSwap的代码。在这两种情况下，如果第三方代码的源头有漏洞，那么使用该代码的项目也会出现漏洞。如果一个项目的开发者不熟悉他们所使用的第三方代码，那么一旦漏洞被利用，就可能酿成大问题。

　　2021年5月8日，Value DeFi vSwap AMM的非50/50资金池被人利用，总共损失了约1100万美元。为了实现非50/50资金池，Value DeFi从属于Bancor协议的 “BancorFormula.sol ”复制了 “power() ”函数。在power()函数的描述中，写到这个函数不支持“_baseN <_baseD ”的情况。然而，不幸的是，Value DeFi就是这样使用这个函数的。攻击者通过向该函数发送了一个精心制作的有效载荷，将少量的代币A交换成了代币B。

　　Value DeFi 代码：

　　在DeFi领域中还有许多其他类似的案例。2021年5月8日，一名攻击者通过利用集成在Rari Capital V2中的Alpha Homora V1的ibETH池（银行合约）的功能，从Rari Capital Ethereum池中抽走了大约2600个ETH。Bearn Finance则在其 “BvaultsStrategy ”合约中允许使用BUSD的提款金额来提取ibBUSD，使得攻击者从池中移除了10,859,319 BUSD。

　　相较于前几种问题，此类漏洞更难发现，在使用与任何第三方协议通信的项目时，都应该谨慎行事。我们不建议盲目地复制和部署开发人员不了解的代码。开发者应该在整合第三方协议并将其部署到生产中之前，充分了解第三方协议以及分叉项目的工作方式。此外，我们还建议开发者先在测试网上部署他们的项目，并进行测试运行，以检查交易记录的异常情况。

　　作为终端用户，在使用个人资产与项目进行互动之前，有时很难找出项目的详细信息。这时，便可以借助区块链安全公司的审计报告，来浏览项目的安全性。

　　总之，创建DeFi项目可以很有趣，但被黑客攻击就不好了。要使一个项目100%安全是困难的，但我们可以尽可能地进行保护： (责任编辑：admin)