一文揭秘2021年區塊鏈黑客攻擊頻發的原因_USD:DEFI

區塊鏈是一片鼓勵創新的熱土，在某種角度上因其安全風險也成為了滋生犯罪的溫床。

當年眾籌超過1.5億美金的The DAO被黑客盜幣后，進行了硬分叉操作，由此產生了如今的以太坊。

自區塊鏈創世以后，各種針對交易所、錢包以及Dapp的黑客盜幣事件頻發。

那么，2021年區塊鏈安全領域又經歷了何種波瀾，后續的處理工作又是如何的呢？

2021年區塊鏈黑客盜幣事件整理

由于2021年市場情緒熱烈，黑客盜幣的金額打破了往年的歷史記錄。

截至三季度，統計一共有32起黑客入侵事件導致了15億美金的資產被盜，而去年全年這個數字是1.8億美金。

Uranium Finance——邏輯漏洞

2021年4月份流動性挖礦協議Uranium受到了攻擊，被攻擊的智能合約是MasterChief的修改版本（MasterChief是用于創建質押池并向用戶返還質押獎勵的智能合約）。

某年初抄底巨鯨開始出售COMP，當前已出售4000枚:7月19日消息，據余燼監測數據，某年初抄底巨鯨開始在鏈上出售COMP，當前已出售4000枚，均價72.44 USDT。該巨鯨今年自交易所共轉出86976枚COMP，另轉出了2992枚ETH和83815枚AAVE。[2023/7/19 11:05:07]

其中，用于執行“質押獎勵”的代碼出現了邏輯漏洞，使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子，并將它換成了價值130萬美元的BUSD以及BNB。

Cream Finance——預言機操縱

10月27日，Cream Finance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣，同時通過操縱多資產流動性池（包含yDAI、yUSDC、yUSDT和YTUUSD）來操縱預言機對yUSD的報價。

在提高了yUSD的價格后，攻擊者的yUSD價格被人為提高，從而創造了足夠的借款限額以借走Cream Finance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。

谷歌Chrome瀏覽器發布針對零日漏洞的修復版本:6月7日消息，在6月5日的Chrome博客公告中，谷歌已確認其Chrome網絡瀏覽器中的零日漏洞正在被積極利用，并發布了緊急安全更新作為回應。谷歌稱，桌面應用程序已經更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有這些都將“在未來幾天/幾周內推出”。

公告稱此次更新中包含兩個安全修復程序，但實際上只有一個被詳細說明：CVE-2023-3079。CVE-2023-3079是V8 JavaScript引擎中的類型混淆漏洞，且是谷歌Chrome 2023年的第三個零日漏洞。類型混淆漏洞會帶來重大風險，使攻擊者能夠利用內存對象處理中的弱點在目標機器上執行任意代碼，強烈建議用戶及時更新瀏覽器以減輕潛在風險。[2023/6/7 21:21:31]

Badger DAO——前端惡意代碼注入

攻擊者獲取了項目方在Cloudflare后臺的API Key，以此在網站的前端代碼里面注入一系列的惡意代碼。

SBF希望傳喚舊的FTX/Alameda律師事務所的文件以用于其辯護:金色財經報道，SBF正在尋求向Fenwick&West傳喚文件。這家律師事務所從“發展初期”到FTX破產期間親自擔任FTX、Alameda Research和SBF的外部顧問。現在，SBF的法律團隊希望在針對他的13項刑事案件中使用這些文件為他辯護。

根據提交給紐約州南區美國地方法院的一份備忘錄，Fenwick表示，未經FTX債務人許可，它不能移交文件。這些文件代表公司提供的建議和其他內容。[2023/6/1 11:51:24]

當用戶訪問前端網站時，觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易，就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。

Anyswap——后臺簽名

出事是因為后臺簽名時采用了不恰當的值，攻擊者通過兩筆交易來推導出了它簽名的私鑰。

Bitwise致投資者信十大預測：加密市場復蘇將呈“U 型”而非“V 型”:金色財經報道，Bitwise發布致投資者信對2023年進行了10項預測：

1. 加密市場復蘇將呈“U 型”而非“V 型”。

2. 加密貨幣最初承諾的（有效）免費和（極）快速交易最終將在2023年成為現實。

3. Coinbase的市值將比2022年底的水平增長100%。

4. 在“上海升級”（最終允許質押的ETH提款）之后，質押的ETH數量將增加50%或更多。\u2028

5. ETH將在2023年通縮，總流通供應量將至少下降1%。\u2028\u2028

6. 加密貨幣與股票市場的相關性將急劇下降，降至0.5以下（并可能降至0.25）。\u2028\u2028

7. 至少一項重要的加密立法將在2023年通過美國國會。\u2028

8. USDC將超過USDT（Tether）成為世界上最大的穩定幣。\u2028\u2028

9. 一家加密貨幣獨角獸公司（10億美元估值以上）今年將倒閉。\u2028\u2028

10. Uniswap的交易量將在2023年第四季度超過Coinbase。[2023/1/13 11:08:59]

舉個比特幣錢包Electrum的例子，當用戶舊版本并連接到攻擊者的節點時，攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時，黑客便輕松掌握了用戶的私鑰。

Mintable和Moonpay已建立戰略合作伙伴關系:金色財經報道，NFT市場Mintable和Web3金融技術公司Moonpay已建立戰略合作伙伴關系。該聯盟的目的是推動NFT在 IMX 生態系統中的大規模采用。通過合作，兩家公司打算通過在 Mintable 平臺上開發獨特的入職解決方案來加快主流 NFT 的采用。這將增強 IMX 生態系統中新老用戶的導航便利性。此外，由于 Moonpay 使所有人都可以通過法定通道購買 NFT ，這將取得成果。[2023/1/7 10:59:01]

交易所

不同于項目方一旦出事，人們可以通過鏈上公開的交易記錄進行分析，交易所出事只有內部人員知道發生了什么，那些信息也不會被公開。

一般交易所出事來自于這幾個方面：交易所的服務器被黑了，攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊，然后攻擊者通過工作人員的賬號訪問到內部系統，接觸到了熱錢包的私鑰等等。

關于資產被盜后的處理方式，可以從三個角度——項目方、交易所以及第三方安全機構來分析。

項目方一般會采取這幾個解決方式

及時暫停智能合約中的通證轉移和交易服務，對于不能暫停的合約，查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務，避免合約被再次攻擊。

同時向社區發出警告，避免新的投資者把財產放到有漏洞的合約里面。

聯系第三方安全機構，請求幫助分析漏洞產生的原因，并合作共同修復漏洞。

對于被盜資金的去向——假如合約里面存在黑名單功能，第一時間屏蔽黑客地址，防止黑客進行資金轉移。

和安全機構和執法部門合作追回被盜的財產，同時提出合理的補償方案以減少用戶的損失。

從交易所的角度來說，有兩種情況

假如交易所本身被盜，需第一時間暫停所有的提現充值功能，把損失降到最少。交易所保留系統里面的所有信息（比如說日志）以便日后做分析使用，聯系安全機構或者執法部門，協助進行財產追蹤。

假如某個項目被黑的話，交易所可以監控黑客相關鏈上地址，如果監測到最新充值的關聯地址，則立即凍結該賬戶。

安全機構則需要做到以下幾點

在事件發生之后分析漏洞產生的原因，并修復漏洞。

在項目重新上線之前提供安全審計服務，以減少項目重新上線之后的安全風險。

發布社區警告，同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞，可以通過保密渠道發出警告。

通過鏈上技術手段來追蹤資金流向以及分析鏈下信息（比如說黑客的IP地址以及設備），協助執法部門抓到黑客。

那么，為何安全機構對漏洞已進行層層篩查，還會被黑客有機可趁？

事實是，對于某個項目的審計工作只能持續數個星期，而黑客的時間和精力是無限的。他們一旦瞄準某類項目，便會有比審計公司多得多的時間進行研究并展開行動。

今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。

其次，跨鏈橋和其他DeFi項目的不同的點是：普通DeFi項目幾乎100%的邏輯是在智能合約上實現的，而跨鏈橋是web2和web3的結合，是智能合約和傳統后臺的結合。

非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。

簡而言之，DeFi協議除了自身的代碼需固若金湯，因其需與其他協議交互的可組合型，業務邏輯也要嚴絲合縫。

最重要的是，DeFi協議需借助第三方服務（如外部預言機、中心化的云平臺等），而這些第三方服務很有可能面臨外部操縱的風險，這也是產品受到黑客攻擊的主要原因。

未來隨著技術的發展，區塊鏈行業會變得日益安全嗎？

理論上是的。

先說底層技術，首先編寫智能合約的Solidity語言慢慢變成熟。

在最近的Solidity版本8.0之后，之前比較常見的一種漏洞叫做integer overflow（整數溢出）便銷聲匿跡了。

其次，區塊鏈業內對于安全的重視度正在大幅增加。

最后，安全的開源代碼庫也會提高安全系數。

OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫，它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能，便能實現從零開始寫代碼。

另外，現在有很多安全工具會對代碼進行檢查——它可以幫助項目方在沒有聯系安全公司的情況下，找到一些潛在的漏洞，從而提高代碼的安全性。

例如CertiK Skynet天網掃描系統，它作為一個24*7全天候運行的安全情報引擎，可為智能合約的鏈上部署提供多維度和實時的透明安全監控并24小時運行監控和危險警報提示。

除此之外，例如公開透明展示安全數據的安全排行榜以及項目預警系統也可為除項目方外的投資人提供安全見解。所有投資者都可以通過這個這個不受限制的安全洞察數據庫查詢所需要的安全數據信息。

隨著越來越多的技術人員加入到這個領域來，區塊鏈行業的安全壁壘會不斷被加固。

總而言之，DeFi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。DeFi行業在安全性上達到無懈可擊，是這一賽道項目必須實現的目標——尤其對中心化嚴重的跨鏈賽道而言。

Tags：USD區塊鏈EFIDEFIUSDS區塊鏈域名還有市場前景嗎Scarcity DeFiDeFireX

Polygon