2021年區塊鏈黑客攻擊頻發的原因是什么？后續的安全工作要如何改進？_區塊鏈

原標題：《一文揭秘2021年區塊鏈黑客攻擊頻發的原因》

區塊鏈以無審查著稱，是一片鼓勵創新的熱土，也是滋生犯罪的溫床。當年眾籌超過1.5億美金的TheDao被黑客盜幣后，進行了硬分叉操作，由此產生了如今的以太坊。自區塊鏈創世以后，各種針對交易所、錢包以及dapp的黑客盜幣事件頻發。那么，2021年區塊鏈安全領域又經歷了何種波瀾，后續的處理工作又是如何的呢？

2021年區塊鏈黑客盜幣事件整理

由于2021年市場情緒熱烈，黑客盜幣的金額打破了往年的歷史記錄。截至三季度，統計一共有32起黑客入侵事件導致了15億美金的資產被盜，而去年全年這個數字是1.8億美金。

神魚：Cobo 2022年將大力推動DeFi合規基金和DaaS鏈上業務:據官方消息，神魚在Cobo內部發出全員信，在全員信中神魚表示2021年是無窮的行業的機會與更大力度的政策壁壘相互交織的一年，同時并表示2022年Cobo將增強自身合規意識、積極擁抱監管、正確的處理好合規與發展的關系。目前正在新加坡和香港申請相關的合規牌照，同時也在不斷探索歐洲及美國地區的合規化途徑。

并在全員信中表達了對于Cobo的未來戰略規劃，將繼續堅持區塊鏈基礎設施中間鍵的戰略目標，大力發展DaaS、DeFi Fund和WaaS等多個優勢，深化自身技術安全及用戶安全意識培養。并將70%-80%的戰略重心放在已有和即將深耕的領域，分出20%-30%的精力會去做一些探索性的業務。[2022/1/5 8:26:56]

1）defi協議

Uranium?Finance——邏輯漏洞

2021年4月份流動性挖礦協議Uranium受到了攻擊，被攻擊的智能合約是MasterChief的修改版本。其中，用于執行“質押獎勵”的代碼出現了邏輯漏洞，使得黑客可以獲得比別人多的挖礦獎勵。黑客抽干了RAD/sRADS的池子，并將它換成了價值130萬美元的BUSD以及BNB。

區塊鏈走進政法系統：歐科云鏈集團受邀出席2021·全國政法裝備展開幕式:7月27日，“2021·全國政法智能化建設技術裝備及成果展”在北京國家會議中心盛大開幕，歐科云鏈集團受邀出席會展開幕式。

本次會展由中央政法委機關報《法治日報》和北京安全防范行業協會主辦，中國警察網、法安網承辦，中央和地方政法系統支持。中紀委駐司法部紀檢組原組長，中央政法委宣傳教育局副局長，法治日報社黨委書記、社長，人民報社副總編輯等領導嘉賓出席開幕式，法治日報社副總編輯擔任主持人。

開幕式結束，歐科云鏈集團副總裁張超接受《法治日報》專訪。他表示，區塊鏈技術是近十年來少有的創新技術，用好區塊鏈技術不僅可以賦能實體經濟發展，還可以打通不同部門之間的數據流通，提升公共服務效率。歐科云鏈將持續專注于區塊鏈底層技術研發，同時加大在安全領域的投入，融合區塊鏈+大數據、人工智能等創新技術，匯總分析鏈上數據，積極響應政法系統的技術支持需求。[2021/7/27 1:18:41]

CreamFinance——預言機操縱

全球比特幣自動取款機超過8000臺，2020年增長超過29%:數據顯示，在過去的兩年中，全球運行的比特幣ATM數量逐步增加，6月達到了8000多個。今年年初，這一數字剛剛超過6346，在2020年的半年時間已躍升了約29％。從地理位置上看，截至6月，北美地區的市場份額超過83％。大多數比特幣ATM都在美國運營，其次是加拿大的731個加密ATM，占9.1％的份額。歐洲是全球第二大比特幣ATM，數量為1147，其中英國，奧地利和瑞士是該地區的領先國家。（Coinatmradar）[2020/6/19]

10月27日，CreamFinance預言機受到操縱。攻擊者從MakerDAO借用DAI來創建大量yUSD代幣，同時通過操縱多資產流動性池來操縱預言機對yUSD的報價。在提高了yUSD的價格后，攻擊者的yUSD價格被人為提高，從而創造了足夠的借款限額以借走CreamFinance在以太坊v1借貸市場的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。

動態 | 2025年全球企業區塊鏈市場規模將超200億美元 電信行業三巨頭加速布局區塊鏈技術:據新浪財經消息，5月9日，中國信息通信研究院官網發布《區塊鏈電信行業應用白皮書》(1.0版)(以下簡稱“《白皮書》”)。文件顯示，麥肯錫的研究表明，區塊鏈技術是繼蒸汽機、電力、信息和互聯網科技之后目前最有潛力觸發第五輪顛覆性革命浪潮的核心技術。不同研究機構對區塊鏈市場未來規模作出預測分析：Tractica預測，2018年全球企業區塊鏈市場在46億美元左右，到2025年市場規模將達到203億美元。據ResearchandMarkets據測，到2022年，全球區塊鏈市場規模將達到139.6億美元。2017至2022年間，該市場的年復合增長率為42.8%。

此外白皮書顯示，目前國內電信行業中的很多公司已在不同程度上涉足于區塊鏈技術領域，并與有關方面達到了合作共識。其不僅大力推動區塊鏈標準的國際化，還不斷深入探索，挖掘區塊鏈的應用場景，切實結合行業特點，積極研發基于區塊鏈技術的電信領域應用平臺，用于解決電信行業現存難題，從而共同推動區塊鏈在電信應用場景的真實落地，共同營造與建立電信領域新的行業生態。同時，電信行業三巨頭均積極探索區塊鏈技術，搶占新技術高地，并取得一定的成果。[2019/5/9]

BadgerDAO——前端惡意代碼注入

動態 | 迪拜計劃到2020年建立第一個由區塊鏈驅動的政府:據atozmarkets消息，迪拜計劃到2020年在世界上建立第一個由區塊鏈技術工作的政府。目前，迪拜當局正在研究20種區塊鏈技術用例，以增加其現有業務。[2018/9/24]

攻擊者獲取了項目方在Cloudflare后臺的APIKey，以此在網站的前端代碼里面注入一系列的惡意代碼。當用戶訪問前端網站時，觸發惡意代碼后會發起交易讓用戶去確認。假如用戶確認了那筆惡意交易，就會將通證使用權給到攻擊者。攻擊者就可以通過托管使用權將錢全部轉走。

Anyswap——后臺簽名

出事是因為后臺簽名時采用了不恰當的值，攻擊者通過兩筆交易來推導出了它簽名的私鑰。

簡而言之，defi協議除了自身的代碼需固若金湯，因其需與其他協議交互的可組合型，業務邏輯也要嚴絲合縫。最重要的是，Defi協議需借助第三方服務，而這些第三方服務很有可能面臨外部操縱的風險，這也是產品受到黑客攻擊的主要原因。

2）錢包——釣魚信息

舉個比特幣錢包Electrum的例子，當用戶舊版本并連接到攻擊者的節點是，攻擊者通過節點向這個錢包發送釣魚信息。當用戶看見釣魚信息并下載帶有后門的錢包時，黑客便輕松掌握了用戶的私鑰。

3）交易所

不同于項目方一旦出事，人們可以通過鏈上公開的交易記錄進行分析；交易所出事只有內部人員知道發生了什么，那些信息也不會被公開。一般交易所出事來自于這幾個方面：交易所的服務器被黑了，攻擊者訪問到了服務器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊，然后攻擊者通過工作人員的賬號訪問到內部系統，接觸到了熱錢包的私鑰等等。

資產被盜后的處理方式

關于資產被盜后的處理方式，可以從三個角度來分析。

項目方一般會采取這幾個解決方式：

1）即時暫停智能合約中的通證轉移和交易服務；對于不能暫停的合約，查看合約里可以使用的特權函數并屏蔽掉一部分合約的服務，避免合約被再次攻擊。

2）同時向社區發出警告，避免新的投資者把財產放到有漏洞的合約里面。

3）聯系第三方安全公司，請求幫助分析漏洞產生的原因，并合作共同修復漏洞。

4）對于被盜資金的去向，假如合約里面存在黑名單功能；第一時間屏蔽黑客地址，防止黑客進行資金轉移。

5）和安全公司和執法部門合作追回被盜的財產，同時想出合理的補償方案來減少用戶的損失。

從交易所的角度來說，有兩種情況：

1）假如交易所本身被盜，需第一時間暫停所有的提現充值功能，把損失降到最少。交易所保留系統里面的所有信息以便日后做分析使用，聯系安全公司或者執法部門，幫忙做財產追蹤。

2）假如某個項目被黑的話，交易所可以監控黑客相關鏈上地址，如果監測到最新充值的關聯地址，凍結該賬戶。

安全公司需要做到以下幾點：

1）在事件發生之后分析漏洞產生的原因，并修復漏洞。

2）在項目重新上線之前提供安全審計服務，以減少項目重新上線之后的安全風險。

3）發布社區警告，同時查看有沒有別的項目存在相同的漏洞。如果有項目存在相同漏洞，可以通過保密渠道發出警告。

4）通過鏈上技術手段來追蹤資金流向以及分析鏈下信息，幫助執法部門抓到黑客。

那么，為何安全公司對于漏洞已經層層篩查，還會被黑客有機可趁？事實是，對于某個項目的審計工作只能持續數個星期，而黑客的時間和精力是無限的。他們一旦瞄準某類項目，便會有比審計公司多得多的時間進行研究并展開行動。

今年出現的跨鏈橋項目屢次受到攻擊便是因為此類項目中鎖著大量的用戶資產。其次，跨鏈橋和其他Defi項目的不同的點是：普通Defi項目幾乎100%的邏輯是在智能合約上實現的，而跨鏈橋是web2和web3的結合，是智能合約和傳統后臺的結合。非去中心化且存有巨額鎖倉資金的賽道給到了黑客攻擊的機會。

未來區塊鏈安全展望

未來隨著技術的發展，區塊鏈行業會變得日益安全嗎？理論上是的。先說底層技術，首先編寫智能合約的solidity語言是在慢慢變得成熟的。在最近的solidity版本8.0之后，之前比較常見的一種漏洞叫做integeroverflow便銷聲匿跡了。

其次，安全的開源代碼庫也會提高安全系數。OpenZeppelin代碼庫是由專業人員寫的一個開源的代碼庫，它的代碼質量會相對比較高、比較安全。項目方只需要在代碼庫的基礎上添加想實現的一些功能，便能實現從零開始寫代碼。https://github.com/OpenZeppelin/openzeppelin-contracts

現在有很多安全工具會對代碼進行檢查；它可以幫助項目方在沒有聯系安全公司的情況下，找到一些潛在的漏洞，從而提高代碼的安全性。隨著越來越多的技術人員加入到這個領域來，區塊鏈行業的安全壁壘會不斷被加固。

從人為因素出發，項目方需要考慮金融模型以及商業邏輯是否值得推敲，并進行不計其數的測試才能消弭潛在的風險。

總而言之，Defi協議乃至整個區塊鏈安全問題是主流資金無法進入行業的主要因素。環顧Defi出事的所有原因，最主要的還是Defi項目還無法完全去中心化，需要借助第三方的外部服務。Defi行業在安全性上達到無懈可擊，是這一賽道項目必需實現的目標，期待行業下一周期跑出擁有全新業務邏輯的Defi產品來！

Tags：區塊鏈DEFEFIDEFI區塊鏈掙錢是真的假的Defina FinanceWEFINnSights DeFi Trader

歐易okex官網