2020链上安全报告:DeFi攻击60逾起损失超2.5亿美元
区块律动BlockBeats
刚刚
25
魔幻的2020年在牛市的陪伴下落下了帷幕,然而这一年中链上安全事件却频频发生。律动BlockBeats将2020年中发生的链上安全事件进行了总结。《2020链上安全报告》主要分为四部分:2020影响币圈行业的大事件、以太坊安全事件、合约保险以及DeFi合约外的其他攻击。
2020影响币圈行业的大事件?
2020年新冠疫情对于全球经济造成了极大的影响,美股一个月内经历了三次熔断,与此同时加密资产市场也受到了牵连。3月12日加密资产全体暴跌无一幸免,比特币日内跌幅达50%,加密资产市场总市值近乎腰斩。随后各国央行选择以最简单粗暴的方式来应对此次重创:疯狂QE放水。这种刺激手段虽然是货币政策中最行之有效的,然而其副作用也是显而易见的。?
如果说次贷危机所引发的金融海啸造就了比特币,那么疫情所导致的大量印钞让更多人认识到比特币是一种稀缺资产且可对冲法币贬值的风险。合规买入、托管以及各类加密资产基建和衍生品的成熟从各个角度为加密资产需求者提供了完美的解决方案,诸多机构也就顺理成章地选择了比特币以及其他龙头加密资产作为资产配置的一部分。
欧科云链集团斩获“2020年度金融科技公司奖”:3月27日消息,欧科云链集团作为金融科技优秀企业新势力代表,在《华夏时报》主办的主题为“金融业2021:双循环下的变革与信心”的华夏机构投资者年会上,斩获“2020年度金融科技公司奖”。
据悉,欧科云链集团是中国本土成立时间最早的区块链企业之一。2013年成立以来,一直致力于区块链技术的研发与商用,现已发展成为全球化的大型区块链技术与服务提供商。[2021/3/27 19:22:47]
若散户未能享受到机构牛市所带来的红利,那么流动性挖矿的热潮大家一定都没缺席。那些曾经只将币存放在中心化交易所的用户为了成为DeFi「农民」将资产转入「狐狸头」中,将非生产性资产通过去中心化交易所换成了种地的「锄头」。疯狂的挖矿让以太坊链上资产市值飞上云端,但同时,这也成为了黑客嘴边的肥肉。
声音 | 美国SEC前委员Katherine Wu:2020年应该关注中国央行数字货币:据Coindesk消息,美国证券交易委员会(SEC)前委员、区块链投资基金NotificCapital管理人Katherine Wu表示,2020年应该关注中国央行数字货币。她解释称,所有的中国科技公司都在研发区块链解决方案;所有的支付平台都可以无障碍地接入央行数字货币。这意味着当中国央行数字货币出来后,可以立刻使用起来,并且大型的科技公司可以通过央行数字货币展开区块链业务。Katherine说:“我能想象的到,在2020年中国央行数字货币是唯一一个大国国家支持的数字货币,使用者可以用这种数字货币买任何东西,而不是像Libra那样还有很多限制。”[2020/1/5]
图源:OKLink
以太坊的安全事件?
在流动性挖矿的带领下,沉寂已久的DeFi在2020年下半年成为焦点。用户将资产存入合约,为协议提供流动性,从而获得协议的费用分成和治理代币奖励。
由于协议内存放着各类有价资产,这让DeFi协议成为了被攻击重灾区。黑客们通过各种手段向合约发起攻击,据PeckShield派盾统计2020年DeFi安全事件达到60起,损失逾2.5亿美元,占统计的黑客攻击造成总损失的12.5%,远超2019年数据。
动态 | 瀛和律师机构、达瓴智库发布《法律行业区块链2020年度报告》:12月28日,瀛和律师机构联合达瓴智库发布《法律行业区块链2020年度报告》。报告指出,互联网革命刚刚进入第40年,而区块链革命也迈入第11个年头,互联网带来的技术奇点理论逐渐失效,未来将是区块链带来的范式改变。按法学界通说,法律是调整一定社会关系的行为规范体系;也可以说,法律的调整对象就是人的行为。区块链作为一门信息技术,当然是人类智力成果,是人类行为的结果。因此,关于区块链的法律是指调整人类创造、运用区块链技术的一套行为规则体系。因此跨入区块链好比使用互联网一般,初入红利极大,尤其是在多专业结合的领域里尤为可见。无论是区块链+法律、区块链+AI或是区块链+任何产业,如何将区块链结合原有产业已成大家最关心的问题,今年,不论放眼全球还是着眼我国,区块链及数字货币领域都进入了高速发展期,在技术基础和商业模式不断创新的同时,法律政策和监管趋势也日渐明朗,也期望能够看到区块链深入我们生活的一天。(瀛和律师)[2019/12/30]
声音 | 金融分析师:预计到2020年底比特币将攀升至历史新高:金融分析师Bob Loukas最近在推特发布预测,“如果比特币牛市的说法仍然属实(我认为是这样),我们应该会看到未来两个月BTC开始走高。然后到2020年底稳步攀升至历史新高(ATH)。2021年将超过ATH”。此前他证实了自己关于比特币在2019年底收于7000美元区间的预测。(Beincrypto)[2019/12/30]
图片来源:PeckShield派盾
发生在DeFi合约中最常见的三种攻击分别为预言机操纵攻击(闪电贷)、重入攻击以及代码漏洞。
?预言机操纵(闪电贷、套利)攻击?
在现今DeFi大热的背景下,预言机攻击极为普遍,因为大多数DeFi协议都需要通过喂价预言机来提供价格信息。一般来说,喂价预言机分为链上和链下两种,链上预言机通过抓取去中心化交易所价格来获取信息,而链下预言机则从中心化交易所获得价格。
这两种喂价预言机方式各有优劣,从链上获取价格可以通过协议完全去信任化,但存在被操纵攻击风险。链下预言机虽不存在被闪电贷攻击风险,但其价格源需依赖于中心化交易所提供,存在中心化风险,且链下数据在链上反映较慢。
动态 | 2020年河北重点项目投资将超8000亿元 其中包含区块链建设:2020年,河北省省将强力推进“三件大事”,大力抓投资促消费,实施项目带动战略,大力开展“重点项目建设落实年”活动,全年重点项目完成投资8000亿元以上。河北省将加强基础设施建设,增强高质量发展保障能力,加快布局5G基站、绿色数据中心、物联网、IPV6等新型基础设施,同步推进区块链、大数据、人工智能、物联网等技术集成创新和融合应用。(河北省人民政府网)[2019/12/26]
在链上,用户可以通过闪电贷工具瞬间完成大额借款、兑换和大额存入等一系列操作,这使得攻击者可以自行创造套利机会,从而操控去中心化交易所价格来扰乱其他使用该价格的DeFi应用,最终完成套利攻击,典型案例有bZx,CheeseBank,Harvest以及Valley等喂价预言机攻击事件。
重入攻击?
重入攻击是一种危害性极高的攻击手段,可以轻松榨干合约内所有资产。著名的theDAO被盗事件就是攻击者运用重入攻击导致以太坊硬分叉,损失了价值5000万美元的以太坊。
智能合约不仅可以相互调用,也可以在内部调用。一般情况下,这不会产生任何问题,但当调用使得合约状态不一致时,例如取款金额大于合约内金额时,或当某合约还未将余额设为零前就发起转账,此时攻击者可滥用提现功能提取合约中所有余额。今年经典的重入攻击案例有:Akropolis,dForce以及Origin。
合约漏洞?
此类攻击通常是由于开发者在编写智能合约时,出现逻辑漏洞或自留后门所导致的。大多合约漏洞出现在未经审计的合约上,较常见的手法是攻击者通过合约漏洞无限铸币随后榨干流动性池内资产,冻结合约内资产,或是合约开发者取走合约资产后跑路。
合约保险?
在去中心化的世界中,由于DeFi应用迭代速度过快,为了追赶热度许多应用的合约在没有通过第三方审计的情况下就进行了发布。由智能合约漏洞而损失的资产也是不计其数。许多用户可能会抱怨项目方不负责任,但有些项目并没有公开项目信息,由于FOMO情绪,用户为了抢先一步参与到项目中,会通过蛛丝马迹寻找尚未公开的项目合约。
例如在9月29日凌晨,YFI创始人在其参与开发的新项目的推特上发布了两张项目相关设计图,随后被黑客找到此项目合约地址并利用闪电贷攻击盗取了1600万枚DAI。?
合约审计对于高速迭代的DeFi产品来说耗费时间过长,保险或许会是更好选择。DeFi要发展,需要保险这样的基础设施。如果只是靠DeFi协议用户自行去购买保险,这是不现实的。一种方案可由协议的交易费用或挖矿收益中抽取一部分,存入项目的金库中,金库中一部分用于购买协议保险。
DeFi合约外的其他攻击?
除了合约攻击外,公链攻击、交易所以及钱包攻击也不占少数。大多数公链攻击的方式为51%攻击,自年初开始,多个区块链项目相继遭受51%双花攻击。1月到2月间,BTG网络多次遭到双花攻击,损失达到5万美元以上。7到8月之间,以太经典遭受了三次51%攻击,损失高达上千万美元,OKEx一度考虑从交易所中下架ETC。11月8日,GrinNetwork受到51%攻击,由于反应及时,故并未造成损失。
发生51%攻击的主要原因在于区块链项目的共识程度不够,矿工转向其他项目,致使维护网络运转的算力下降,给了攻击者可乘之机。例如ETC、BTG、AE,这些都是几年前的老牌区块链项目,项目热度严重下降,币价表现不佳,由于矿工收益与币价有直接关系,矿工们也就顺势投身收益更高的公链中。
当然,一部分新项目也会成为被攻击对象,虽然币价表现一般,但因其尚未凝聚强大的社区,故而没有足够的共识和算力,攻击成本也相对较低,最终也会是黑客下手的目标。从具体实现方式上看,随着被攻击网络算力下降或其本身的算力不足,攻击者可通过租用算力获得足够的算力进行攻击,并且攻击成本较低,收益一般远高于成本。
图片来源:Crypto51.app
Kucoin交易所热钱包被盗事件也引起了圈内人的重点关注。本次入侵影响了该交易所的比特币、以太坊和ERC-20热钱包,平台损失了近2.81亿美元资产。然而KuCoin的攻击者貌似十分着急,试图直接将USDT打散充入币安和抹茶交易所变现,然而,还没来得及操作相关账户就被两家交易所及时冻结。随后Bitfinex、Tether也相继冻结KuCoin攻击地址上约3300万USDT,忙活了大半天,这名黑客似乎什么也没有得到。
总结?
在魔幻的2020年加密市场经历了太多太多,在312过后人们重拾信心,DeFi所点燃的FOMO情绪不亚于当年的IC0,用户的热情无疑让开发者更有动力开发出更有趣、优质、吸引人的链上应用,当然安全性是第一位的。现今传统金融机构已经将目光聚集在加密资产之上,加密金融应用将必定成为关注焦点,若想让加密金融应用完全去中心化,那么首要关注点就必须是安全性。在未来,将必定出现合约保险外的其他衍生品来对冲资产安全风险,日益完善的技术也将从各维度增加攻击成本。相信在加密市场飞速发展的明天,安全事件会越来越少!
安全问题
链上交易
本文来源:
区块律动BlockBeats
文章作者:律动研究院
我要纠错
声明:本文由入驻金色财经的作者撰写,观点仅代表作者本人,绝不代表金色财经赞同其观点或证实其描述。
提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。
金色财经>区块链>2020链上安全报告:DeFi攻击60逾起损失超2.5亿美元
DeFi正在席卷加密货币世界。站上风口的DeFi又一次吸引了市场眼球,龙头项目接连走出强势上涨行情,UNI、AAVE、SUSHI等屡创新高.
1900/1/1 0:00:00律动BlockBeats消息,2月8日,加密资产管理公司CoinShares在一份报告中称,上周约有2.45亿美元资金流入加密货币投资基金,其中80%的资金投资了以太坊产品.
1900/1/1 0:00:00DeFi数据1.DeFi总市值:842.5亿美元 市值前十币种涨跌幅,金色财经制图,数据来源Coingecko2.过去24小时去中心化交易所的交易量:23.7亿美元金色相对论 | 金色财经合伙人.
1900/1/1 0:00:00在DeFi世界,去中心化借贷系统是一个极其重要的赛道,也是整个DeFi体系里面的基石系统,它能够模拟现实世界里的金融系统,了解不同用户的资金需求.
1900/1/1 0:00:002月10日,以太坊基金会宣布已向与以太坊2.0质押相关的25个社区项目提供超100万美元的资金支持。受赠项目的类别社区和教育、新工具、数据分析/可视化以及研究.
1900/1/1 0:00:00当比特币价格徘徊在3万美元的临界点附近时,一大批专家警告投资者要做好应对冲击的准备,这表明比特币这一加密资产正处于调整的边缘,可能再次跌至2万美元左右的区域.
1900/1/1 0:00:00