DEFI:2021年区块链黑客攻击频发的原因是什么？后续的安全工作要如何改进？

原标题：《一文揭秘2021年区块链黑客攻击频发的原因》

区块链以无审查著称，是一片鼓励创新的热土，也是滋生犯罪的温床。当年众筹超过1.5亿美金的TheDao被黑客盗币后，进行了硬分叉操作，由此产生了如今的以太坊。自区块链创世以后，各种针对交易所、钱包以及dapp的黑客盗币事件频发。那么，2021年区块链安全领域又经历了何种波澜，后续的处理工作又是如何的呢？

瑞士国家旅游局于2022年秋在中国市场首次推出城市系列数字藏品:金色财经报道，据瑞士国家旅游局官方公众号，瑞士国家旅游局于2022年秋在中国市场首次推出城市系列数字藏品，作为六大当代艺术和古典音乐之旅目的地，瑞士国家旅游局希望通过此次全新数字化尝试，对年轻一代的文化艺术旅游爱好者开启元宇宙推广的大门。[2022/9/7 13:13:03]

2021年区块链黑客盗币事件整理

由于2021年市场情绪热烈，黑客盗币的金额打破了往年的历史记录。截至三季度，统计一共有32起黑客入侵事件导致了15亿美金的资产被盗，而去年全年这个数字是1.8亿美金。

1）defi协议

Uranium?Finance——逻辑漏洞

2021年4月份流动性挖矿协议Uranium受到了攻击，被攻击的智能合约是MasterChief的修改版本。其中，用于执行“质押奖励”的代码出现了逻辑漏洞，使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子，并将它换成了价值130万美元的BUSD以及BNB。

Asproex（阿波罗）将于2021年1月3日9:00正式上线ZML:官方消息，Asproex（阿波罗）将于2021年1月3日9:00正式上线生态项目智媒链ZML。具体上线安排时间如下：充提时间2021年1月1日9:00（UTC+8），开放交易时间：1月3日9:00（UTC+8）。

“智媒链”是一款安全稳定、可信度比较高的数字传媒发行渠道与区块链技术应用相结合的网络交易体系，致力于打造“区块链+传媒”文化传媒生态系统。ZML是平台连接广告客户、网约车司机、乘客、投资者（矿工）的通证激励层，是获取广告分红收益的权益证明，同时对标平台原始股份，是有价值的数字资产。

Asproex（阿波罗）作为一家离岸银行控股持牌交易平台，涵盖CTO(Corporate Token Offering)企业通证上市、合约跟单、ETT指数通证、数字矿业、Digital Bank板块并持有5国合法牌照，致力于为全球中小微企业提数字化上市一站式服务。[2021/1/3 16:17:43]

CreamFinance——预言机操纵

加密货币交易员预计2020年比特币的平均目标价格为22,866美元:Kraken近期对其400位用户进行的调查报告显示，41％的用户称自己为“投资者”，40％为“交易者”，而15％则为“机构”，其余4％包括支付处理方、加密货币交易所和矿工。另外，受访者还分享了对2020年加密货币的看法和期望：

1.受访者预计2020年比特币的平均目标价格为22,866美元，以太坊（ETH）为810美元；

2.近50％的受访者预计，美国证券交易委员会（SEC）今年将批准比特币ETF；

3.五种最受欢迎的山寨币是ETH、XMR、XRP、LTC和XTZ；

4.在作出投资或出售决策时，用户主要依靠技术分析、随后是基本面、市场情绪和行业研究报告。领先的行业模型包括Stock-to-Flow（S2F）比率模型、NVT信号和Mayer倍数；

5.就稳定币而言，USDT最受用户欢迎。[2020/3/28]

10月27日，CreamFinance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币，同时通过操纵多资产流动性池来操纵预言机对yUSD的报价。在提高了yUSD的价格后，攻击者的yUSD价格被人为提高，从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

动态 | 风险投资公司：2020年 DeFi价值可能达到50亿美元:据NewsBTC今日消息，风险投资公司Blockchain Capital预测，DeFi将继续增长，在2020年其价值可能达到50亿美元。同时，新兴行业可能会受到监管机构的审查，因为其目前并没有任何KYC / AML程序。[2019/12/13]

BadgerDAO——前端恶意代码注入

攻击者获取了项目方在Cloudflare后台的APIKey，以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易，就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。

Anyswap——后台签名

出事是因为后台签名时采用了不恰当的值，攻击者通过两笔交易来推导出了它签名的私钥。

简而言之，defi协议除了自身的代码需固若金汤，因其需与其他协议交互的可组合型，业务逻辑也要严丝合缝。最重要的是，Defi协议需借助第三方服务，而这些第三方服务很有可能面临外部操纵的风险，这也是产品受到黑客攻击的主要原因。

国务院发文进一步扩大和升级信息消费，2020年拉动相关领域产出达到15万亿元:《国务院关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》提出：推广智能电视、智能音响、智能安防等新型数字家庭产品，推动虚拟现实、增强现实产品研发及产业化，支持可穿戴设备、消费级无人机、智能服务机器人等产品创新和产业化升级。支持利用物联网、大数据、云计算、人工智能等技术推动各类应用电子产品智能化升级，推动智能网联汽车与智能交通示范区建设，发展辅助驾驶系统等车联网相关设备。鼓励利用开源代码开发个性化软件，开展基于区块链、人工智能等新技术的试点应用。鼓励学校、企业和其他社会力量面向继续教育开发在线教育资源，加强家庭诊疗、健康监护、分析诊断等智能设备研发。[2017/8/28]

2）钱包——钓鱼信息

举个比特币钱包Electrum的例子，当用户旧版本并连接到攻击者的节点是，攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时，黑客便轻松掌握了用户的私钥。

3）交易所

不同于项目方一旦出事，人们可以通过链上公开的交易记录进行分析；交易所出事只有内部人员知道发生了什么，那些信息也不会被公开。一般交易所出事来自于这几个方面：交易所的服务器被黑了，攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击，然后攻击者通过工作人员的账号访问到内部系统，接触到了热钱包的私钥等等。

资产被盗后的处理方式

关于资产被盗后的处理方式，可以从三个角度来分析。

项目方一般会采取这几个解决方式：

1）即时暂停智能合约中的通证转移和交易服务；对于不能暂停的合约，查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务，避免合约被再次攻击。

2）同时向社区发出警告，避免新的投资者把财产放到有漏洞的合约里面。

3）联系第三方安全公司，请求帮助分析漏洞产生的原因，并合作共同修复漏洞。

4）对于被盗资金的去向，假如合约里面存在黑名单功能；第一时间屏蔽黑客地址，防止黑客进行资金转移。

5）和安全公司和执法部门合作追回被盗的财产，同时想出合理的补偿方案来减少用户的损失。

从交易所的角度来说，有两种情况：

1）假如交易所本身被盗，需第一时间暂停所有的提现充值功能，把损失降到最少。交易所保留系统里面的所有信息以便日后做分析使用，联系安全公司或者执法部门，帮忙做财产追踪。

2）假如某个项目被黑的话，交易所可以监控黑客相关链上地址，如果监测到最新充值的关联地址，冻结该账户。

安全公司需要做到以下几点：

1）在事件发生之后分析漏洞产生的原因，并修复漏洞。

2）在项目重新上线之前提供安全审计服务，以减少项目重新上线之后的安全风险。

3）发布社区警告，同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞，可以通过保密渠道发出警告。

4）通过链上技术手段来追踪资金流向以及分析链下信息，帮助执法部门抓到黑客。

那么，为何安全公司对于漏洞已经层层筛查，还会被黑客有机可趁？事实是，对于某个项目的审计工作只能持续数个星期，而黑客的时间和精力是无限的。他们一旦瞄准某类项目，便会有比审计公司多得多的时间进行研究并展开行动。

今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。其次，跨链桥和其他Defi项目的不同的点是：普通Defi项目几乎100%的逻辑是在智能合约上实现的，而跨链桥是web2和web3的结合，是智能合约和传统后台的结合。非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。

未来区块链安全展望

未来随着技术的发展，区块链行业会变得日益安全吗？理论上是的。先说底层技术，首先编写智能合约的solidity语言是在慢慢变得成熟的。在最近的solidity版本8.0之后，之前比较常见的一种漏洞叫做integeroverflow便销声匿迹了。

其次，安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库，它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能，便能实现从零开始写代码。https://github.com/OpenZeppelin/openzeppelin-contracts

现在有很多安全工具会对代码进行检查；它可以帮助项目方在没有联系安全公司的情况下，找到一些潜在的漏洞，从而提高代码的安全性。随着越来越多的技术人员加入到这个领域来，区块链行业的安全壁垒会不断被加固。

从人为因素出发，项目方需要考虑金融模型以及商业逻辑是否值得推敲，并进行不计其数的测试才能消弭潜在的风险。

总而言之，Defi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。环顾Defi出事的所有原因，最主要的还是Defi项目还无法完全去中心化，需要借助第三方的外部服务。Defi行业在安全性上达到无懈可击，是这一赛道项目必需实现的目标，期待行业下一周期跑出拥有全新业务逻辑的Defi产品来！

标签：EFIDEFDEFI区块链FireFiDEFLCT币defi币联合坐庄是局吗区块链怎么入手

币安app下载热门资讯