研報 | 2020區塊鏈安全隱患最大的是它_APP

據區塊鏈安全公司PeckShield數據顯示，2019年全年區塊鏈安全事件共177件，其中重大安全事件63起，總共損失達到了76.79億美元，環比2018年增長了60%左右。

文|Odaily星球日報&?PeckShield派盾

編輯|?Mandy王夢蝶

出品?|?Odaily星球日報

近年來，隨著區塊鏈技術被廣泛應用到各領域中，技術與應用方面的安全挑戰也逐漸凸顯。

據區塊鏈安全公司PeckShield數據顯示，2019年全年區塊鏈安全事件共177件，其中重大安全事件63起，總共損失達到了76.79億美元，環比2018年增長了60%?左右。

從細分賽道來看，2019年，區塊鏈安全事件涉及交易所、智能合約?&DApp、DeFi、理財錢包等多個領域，均是離交易最近的地方。

雖然過去一年開發者安全意識和舉措整體有所提高，DApp、智能合約等原先存在的溢出、重放、隨機數等基礎型攻擊方式整體減少，但這也倒逼了黑客手段的升級，使他們的攻擊方式趨于多樣化。以EOS上的DApp攻擊為例，黑客已經從傳統的溢出攻擊、假轉賬攻擊、隨機數破解轉向交易阻塞和交易memo攻擊等方式，不按“常理”出牌。

同時，安全危機事發背后的原因也愈發“魔幻”：私鑰丟失、代碼預留后門、冷錢包被攻擊、創始人離奇死亡等花式“漏洞”讓我們知道：技術BUG易除，人性BUG難平。

此外，我們發現，2019年最受關注的黑馬——DeFi開始被黑客盯上。DeFi產品大都基于智能合約和交互協議搭建，代碼普遍開源，資產完全在鏈上，目前防范仍不足，行業規模增長潛力大。未來或成為黑客重點攻擊的對象。

所以，哪些新型攻擊應讓從業者鳴響警鐘？哪些安全問題正在成為行業通病？哪些漏洞和安全事件應引起廣泛重視？2020?我們如何繼續守住這條生命線？

本篇報告，Odaily星球日報聯合PeckShield派盾，復盤梳理了2019年最全面安全數據，聚焦五大領域，細數行業正在面對的嚴峻挑戰，建議收藏。

交易所安全危機從未間斷

1、2019?交易所攻擊情況概覽

由于交易所聚集大量資金，加上恢復被盜資產難度極大，及部分交易所安全重視不夠，交易平臺一直是黑客們重點攻擊的對象。

2019年交易所被盜事件不在少數：?01月14日，Cryptopia遭攻擊后損失價值1600萬美元的代幣，隨后宣布破產；03月24日，DragonEx遭入侵損失超600萬美元加密貨幣；03月29日，Bithumb被盜3百萬EOS和2千萬XRP。在此之后，韓國Upbit遭遇黑客攻擊，損失34萬個ETH。

據區塊鏈安全公司PeckShield數據顯示，在2019年內，共計超過20余起交易所安全事件，其中超過7成為交易所數字資產被盜事件，其余包括交易所跑路、交易所信息泄露及其他資產丟失事件，逾8億美元損失。

動態 | 灰度研報：超三分之一的美國投資者會考慮投資比特幣:Grayscale Investments（灰度投資）今天發布了“比特幣：2019年投資者研究報告”，首次對散戶投資者的興趣、觀念和關于投資比特幣的誤解進行調查。該研究由金融市場研究公司Q8完成。報告顯示。超過三分之一（36%）的美國投資者會考慮投資比特幣，這代表了一個擁有超2100萬投資者的潛在市場。（Globe Newswire）[2019/7/25]

2、幣安被盜7074?BTC事件

已公布事件中，影響最大是幣安被盜7074枚BTC。2019年05月08日凌晨01:15，全球最大的交易所幣安發布公告稱遭受黑客攻擊，損失7074個BTC。

據幣安官方公告顯示，這是一次大規模的系統性攻擊，黑客主要使用復合型的攻擊技術，包括網絡釣魚、病等攻擊手段，獲得了大量用戶API密鑰、谷歌驗證2FA碼以及其他相關信息，從而進行提款操作。

消息發酵后，立即引發市場動蕩，幣安平臺幣BNB短時下跌超過10%，也引發了BTC等主流數字貨幣下跌超2%?以上。

不過，幣安方面很快承諾使用“SAFU基金”全額承擔本次攻擊的全部損失。該基金成立于2018年07月，收到的所有交易費的10%將分配到其中，以為潛在的漏洞提供保險。并且，幣安也開始了為期一周的安全審查，暫停用戶充提幣。

中心化交易所作為用戶資產的守衛者，本來就在黑客的重點關注名單之內，更應增加安全投入，加強自身防護能力。如果中心化交易所被盜事件一次次發生，最終用戶會選擇用腳投票。

值得注意的是，在幣安遭受攻擊半年后，幣安CEO趙長鵬告訴Odaily星球日報，其安全性能提升了好幾個檔次。

“現在的幣安已經能做到零信任基礎，任何一個人的電腦都無法突破我們的安全體系。任何一個操作都需要好幾個人配合，才能夠拿到全部的權限，這種設計理念有點類似于“多重簽名”。這樣任何一個人出問題，都不會產生任何損失，需要有多人同時出錯。”趙長鵬表示。

Odaily星球日報附上PeckShield安全人員對被盜鏈上資產進行的全路徑還原。透過以下三張數字資產全路徑轉移圖，我們可以清晰地看到幣安被盜后的24小時內，佛系黑客的淡定”銷贓“全過程。

第一步：20?個主要分散存儲地址

本次黑客攻擊得手之后，首先對資金進行了分散轉移存儲，總計將7,074枚BTC以每個地址100枚-600?枚不等的額度分散于20?個主要(大于1枚?BTC)新地址。

第二步：開始匯聚地址，實施資產轉移

在將所盜取7,074枚BTC分散存儲開后，7個小時后，黑客再一次開始整理資金，先清空了20個地址中的2個地址，并將2個分別存儲有566枚和671枚的BTC匯聚成1,226枚BTC轉入bc1qkwu、bc1q3a5開頭的兩個新地址。最終又將該筆資金中的其中519.9枚BTC匯入另一個地址，剩余的707.1枚BTC停留在原地址。

最終，將資金轉移至bc1q2rd、16SMGih、1MNwMUR、bc1qw7g、bc1qnf2、bc1qx36、bc1q3a5開頭的7地址中。

動態 | 研報：中國中產階級不熱衷于投資加密貨幣:據Cryptovest消息，由大學教授和金融作家吳曉波領導的一項研究發現，中國的中產階級投資者并不熱衷于投資加密貨幣，只有不到10％的人對數字資產感興趣。調查結果導致吳和他的團隊得出結論，中國中產階級投資者基本上不愿承擔風險，只有9.2％的受訪者表示投資組合損失超過15％是可以接受的。同時吳的報告指出，中國在線論壇上討論數字貨幣潛力是一種可行的財富保護手段的趨勢越來越明顯。[2018/9/27]

第三步：通過ChipMixer實施洗錢。

在此后的一段時間內，黑客開始分批次進行洗錢操作，將資金分拆成小額，再通過類似ChipMixer的工具進行混淆，最后再經過場外OTC渠道賣出。

推薦閱讀：《幣安被盜7000個比特幣》

3、交易所如何守住生命線

幣安被盜一事暴露出了交易所安防面臨的挑戰尤為艱巨。幣安除了鞏固自身服務器安全之外，還得提防中間資產托管服務是否遭到木馬入侵，尤其是用戶客戶端遭劫持的情況下。

同時，交易所同樣需要從業務層加強審核機制，比如，自動化提幣額度分級，人工審核提幣等。

一般來說，交易所安全問題主要分為技術和業務兩方面，技術方面的安全問題，主是區塊鏈錢包安全、軟件系統安全、服務器網絡安全這三方面；業務方面的安全問題，則主要是業務過程安全和內部治理安全。

目前一般中心化交易所保障安全的方式，還是通過完善業務風控系統，通過冷熱分離、三方多簽等技術來實現加密資產的安全保障。

一般中心化交易所發現被攻擊，多數會停止提幣核查損失，并通過損失的規模來制定來應對方式，如果已經發生的資產損失過大導致交易所無法繼續運行業務，一般都會走破產清算程序。

交易所安全還有一個很大的問題，就是當出現安全風險和資產后，交易所無法自證清白，不能證明這些資產是真實被盜還是監守自盜，這對交易所的管理和運營方提出了非常大的挑戰。

目前看來，完全去中心化的交易所，將能有效緩解交易所安全技術和業務方面問題，但是，目前，易用性、成本、技術實力等問題仍然限制著去中心化交易所的獲客和發展。

最后，面對被盜事件已經發生，交易所本身除了積極應對、沉著處理，尋求彌補損失的可行辦法外，更重要的就是對事情后果作明確表態，在可承受的范圍內，盡可能不讓用戶受到牽連或傷害，并吸取教訓總結經驗，進行最嚴格的安全問題自檢，避免重蹈覆轍。珍惜投資者和用戶所給的信任，是交易所應有的底線。

智能合約&DApp生態上的漏洞正逐漸減少

1、2019?DApp?漏洞情況概覽

據PeckShield數據統計，截至2019年12月初，智能合約?&DApp安全事件共101起，大多被黑事件發生于EOSDApp，其次則為TRONDApp，而ETH生態則增加成熟和穩固，只發生了三起被黑事件。截至2019年12月，三大平臺DApp被黑總損失超1000?萬美元。

雖然損失金額數目依舊龐大，但是PeckShield發現，2019年，智能合約?&DApp生態上一些簡單且具有連帶威脅的漏洞正逐漸減少，盡管黑客們仍持續進行撒網式的攻擊嘗試，但項目開發者基礎的安全攻防意識已初步形成，一些較為低級的安全漏洞明顯有所減少。

摩根士丹利研報：比特幣和以太幣交易額都已出現大幅下滑，ICO對投資者造成的損失高達6.3億美元:據華爾街見聞，上周五摩根士丹利發布報告稱，比特幣和以太幣的交易額都已出現大幅下滑。摩根士丹利認為，對于主要持有這兩大幣種的持幣人而言，流動性問題十分重要。由于交易額急劇下降，若有大戶大量拋售任一幣種，市場勢必下跌，引發更多拋售。除開交易量，大摩還指出，40%的比特幣都是經由加密貨幣進行交易，而非法定貨幣。摩根士丹利稱，ICO對投資者造成的損失已經高達6.3億美元。2017年進行的ICO中，有32%均告失敗；但在過去的18個月內，通過這種不受監管的方式籌資仍舊大受歡迎，區塊鏈公司更是對ICO趨之若鶩。[2018/6/6]

EOS公鏈上今年共發生超78起典型攻擊事件，Odaily星球日報統計了損失在1000?個EOS之上的案例發現，1-4月為集中爆發期，占全年攻擊事件的70%。攻擊手法主要有交易阻塞、回滾交易攻擊，假轉賬通知，隨機數破解等，其中9起為交易阻塞攻擊，8起為隨機數問題引起的攻擊，5起交易回滾攻擊。

不同于以往頻發的隨機數或交易回滾攻擊等合約層的攻擊行為，交易阻塞攻擊是一種利用底層公鏈缺陷而發起的攻擊行為，中招應用包括EOS.Win、FarmEOS、剪影游戲、EOSABC、SKReos等熱門DAPP，其中SKReos之前已被多次報道遭受交易阻塞和隨機數攻擊。

深入分析后發現，交易阻塞攻擊是存在于主網層的致命拒絕服務漏洞，攻擊者可發起大量垃圾延遲交易導致EOS全網超級節點無法打包其它正常交易，即通過阻斷打包正常用戶的交易進而癱瘓EOS網絡。

由于該漏洞本質上屬于底層主網問題，任何DApp游戲，只要依賴如賬號余額或時間等相關鏈上因素產生隨機數，都存在被攻擊的可能。?這也是為什么在一月份出現大量EOS的DApp被攻擊的原因。

2019年TRON公鏈上共發生近20起典型攻擊事件，主要集中在4、5、7月，以小規模攻擊為主，攻擊手法以交易回滾攻擊為主。

黑客下手的時間與TRX的幣價有一定關聯，根據BitUniverse數據，2019年3—5月為TRON代幣全年漲幅最大的幾個月份，在4月29日曾達到其全年的巔峰值，在這一天，包括TronTu,TronFlush在內的波場多個DApp遭黑客撒網式交易回滾攻擊。

黑客通過部署攻擊合約，持續對多個DApp合約地址進行固定投注，每發起一次投注，如果獲利成功則繼續投注，否則實施回滾，確保每次都能穩贏。?這次回滾攻擊共損失了33933TRX，按照TRX當日價格計算，約為21364元。

ETH生態在2019年未發生較嚴重的DApp攻擊事件，一是因為ETH公鏈上菠菜競猜類合約數量較少，熱度不夠，二是因為整體來說ETH智能合約項目方在安全方面做的較完善。

2019年10月14日，CheezeWizards在以太坊主網上線。不到24小時內，玩家@samczsun向官方反映，游戲合約存在一個嚴重的漏洞，使用該漏洞可以讓玩家處于不敗之地。隨后CheezeWizards決定采用分叉的解決方案來保護用戶的權益。官方之后修復了此漏洞并部署了新的智能合約，同時彌補了用戶遭受的損失。

大摩研報：加密貨幣的興起可能改變央行應對金融危機的方式:摩根士丹利分析師Sheena Shah及其團隊近期發布的研報分析了央行使用加密貨幣的幾個可能的領域，其中最引人注目的潛在應用領域為貨幣政策領域。報告稱，各國央行可以使用加密貨幣，以便在未來一旦發生金融危機時能夠激進地降低利率，減輕危機的影響：“理論上，一個100%數字化的貨幣系統可以允許出現更低的負利率”。[2018/5/15]

這次漏洞事件也導致CheezeWizards成為第一個進行硬分叉的區塊鏈游戲。

2、DApp攻擊：EOS攻擊向TRON攻擊演變

綜上，Odaily星球日報發現，2019年，黑客攻擊DApp呈現出由EOS攻擊向TRON攻擊演變的趨勢。

2018年，EOS引爆了DApp市場，諸多公鏈開始在這一市場上逐鹿。其中，波場通過一系列扶持計劃積極拓展DApp生態。根據DAppTotal的數據，截至12月31日，波場共計600余個活躍DApp，日活總數接近5萬，日交易額超過2億個TRX。這些數據讓波場看起來已經擁有與以太坊和EOS在DApp市場上一爭高下的能力。

波場公鏈DApp市場高度繁榮的同時勢必會引來黑客垂涎，而目前波場還未曾遭到過像EOS那樣高強度的攻擊。

據PeckShield統計數據，2018年全年，EOS上的DApp發生了49起安全事件，12種攻擊手法制造的總損失達到319萬美元。2019年全年，EOS?DApp安全事件共80起，損失279萬個EOS。總體看來，EOS上DApp的攻擊事件是有所下降的。而2018年，TRONDApp安全事件僅1起，損失200?萬個TRX，2019年，TRONDApp安全事件共計22起，損失3,025萬枚TRX。

今年4月，波場上的DAppTronBank遭受攻擊，損失超過1.8億個BTT，這直接將波場的安全生態推向了輿論的風口浪尖。

安全人員認為，黑客采用假幣攻擊方式，通過調用BTTBank智能合約的invest函數，之后調用多次withdraw函數取出BTT真幣。截止目前，BTTBank共計損失1.8億BTT。初步分析認為，這是繼TransferMint漏洞之后，一種新型的具有廣泛性危害的漏洞，會威脅到多個類似DApp合約的安全。

DAppTronBank遭受攻擊，緊接著，PeckShield監控顯示，黑客向波場競猜類游戲TronWow發起1203次攻擊，共計獲利2167377個TRX。

安全人員初步分析認為，黑客每次投注20TRX，回報1940?個TRX，共計投注23004個TRX，回報超94倍。隨機數攻擊的方式目前普遍存在于EOSDApp生態，目前來看此類攻擊有逐漸向TRON生態蔓延的趨勢，需要開發者警惕。

DeFi借貸平臺未來或成黑客重點攻擊對象

1、黑客開始攻擊DeFi智能合約

2019年被業內人士視為DeFi元年。區塊鏈上的借貸市場已經成為了最流行的去中心化金融應用場景，通過MakerDAO、Compound以及dYdX產生的借貸總額已經超過了6億美金，DeFi市場用戶增長從數千增長至年末近18萬人次。

天風證券最新研報：預計2020年國內供應鏈金融規模達15萬億，區塊鏈能夠更好的進行企業風險刻畫:4月16日，天風證券最新研報顯示，預計到2020年，國內供應鏈金融市場規模將接近15萬億元。研報顯示，供應鏈上的核心企業以及做供應鏈管理的傳統巨頭企業天然具有開展供應鏈金融業務的優勢，而區塊鏈技術能夠更好的進行企業風險刻畫，從而擴大業務覆蓋范圍，因此非常有動力搭建區塊鏈供應鏈金融平臺，但對自身供應鏈之外的企業吸引力較低。但區塊鏈初創公司在與核心企業的談判中，并不具備非常大的話語權，因此目前主要還是以技術服務商的角色來參與，很難做成生態。[2018/4/16]

據DAppTotal數據顯示，截至12月31日，DeFi項目整體鎖倉價值為8.74億美元，其中MakerDAO鎖倉價值為3.1億美元，占比35.35%，EOSREX鎖倉價值為1.95億美元，占比22.33%，Edgeware鎖倉價值為1億美元，占比11.50%，Compound，Synthetix、dYdX、Nuo等其他DeFi類應用共占比30.82%。

除了大家熟知的借貸市場，穩定幣和去中心化交易所也是DeFi廣泛應用的兩大市場，與借貸市場并稱為DeFi三駕馬車。

但是，DeFi產品大都基于智能合約和交互協議搭建，代碼普遍開源，資產完全在鏈上，因此也極容易成為黑客攻擊的重心，據PeckShield數據統計，2019年共發生7起典型的DeFi攻擊事件，黑客以攻擊DeFi智能合約為主要手段。

2、MakerDao、AirSwap在安全公司幫助下及時修復漏洞

北京時間2019年05月?07日，區塊鏈安全公司Zeppelin對以太坊上的DeFi明星項目MakerDAO發出安全預警，宣稱其治理合約存在安全漏洞。

當日，經PeckShield獨立研究發現，確認了該漏洞的存在，具體而言：由于該治理合約實現的投票機制存在某種缺陷，允許投票給尚不存在的slate。等用戶投票后，攻擊者可以惡意調用free()?退出，達到減掉有效提案的合法票數，并同時鎖死投票人的MKR代幣。

簡單來說，就是黑客能透過這種攻擊造成以下可能影響：1，惡意操控投票結果；2，因為黑客預先扣掉部份票數，導致真正的投票者有可能無法解除鎖倉。

PeckShield全程追蹤了MKR代幣的轉移情況，并多次向社區發出預警，呼吁MKR代幣持有者立即轉移舊合約的MKR代幣。

次日，PeckShield和Maker公司同步了漏洞細節，05月10日凌晨，MakerDAO?公開了新版合約。Zeppelin和PeckShield也各自獨立完成了對其新合約的審計，確定新版本修復了該漏洞。因為反應迅速，在這次漏洞中，用戶并無損失。

另外一起智能合約漏洞，發生在2019年09月13日。AirSwap團隊公布了一個AirSwap智能合約中存在致命的漏洞，這一漏洞可以使得用戶的資產在某些情況下被對手惡意吃單『偷盜』。

PeckShield安全人員深入分析AirSwap智能合約后發現，這一漏洞只對最近上線的Wrapper有影響。這一漏洞可使用戶的資產被攻擊者惡意偷盜，受此次影響的賬號一共有18個，其中有部分賬號有數萬至數十萬美元的資產。

隨后，PeckShield安全人員獨立分析了漏洞細節，并與AirSwap團隊溝通細節和修復的方案，同時將該漏洞命名為“ItchySwap”。

AirSwap團隊在發現該問題后第一時間下線合約，并將AirSwap?網站回退到之前使用的合約，從合約上線到問題修復整個過程僅持續了24小時，也沒有造成用戶損失。

此外，還有一點值得我們注意：除了傳統中心化交易所，DeFi平臺也正在成為黑客洗錢的新渠道。PeckShield旗下的CoinHolmes在去年10月就曾監測到，2019年1月黑客從Cryptopia交易所盜走的部分資產流入了Uniswap去中心化交易所和“DeFi銀行”Compound，主要目的是利用DeFi借貸平臺進行混淆資金洗錢。

關于兩個智能合約漏洞的技術問題，推薦閱讀：

《AirSwap智能合約漏洞詳解》

https://www.odaily.com/post/5141298

《MakerDAO治理合約升級背后的安全風波》

https://www.odaily.com/post/5137754

雖然行業損失金額不大，但卻透露出一個危險信號，黑客已經盯上DeFi領域了。一旦DeFi平臺的資產抵押規模和受眾群體再上一個量級，這個領域很可能會是繼DApp之后的下一個安全事件多發區。

理財錢包、資金盤、釣魚詐騙成行業瘤

2019年，理財錢包、資金盤和釣魚詐騙事件成為行業瘤。PlusToken、TokenStore、OneCoin等理財錢包被曝跑路，卷走數百億數字資產，令數百萬投資者奔上了漫漫“維權路”。

其中，最受矚目的莫過于被譽為幣圈第一資金盤的PlusToken錢包跑路事件，當天眾多用戶反映PlusToken錢包已經無法提現，Plustoken錢包的項目方疑似跑路，據公開數據，涉案金額或超200?億元，參與PlusToken錢包的用戶已經超過了300萬。

早在2018年便有文章質疑PlusToken是個傳銷騙局。因為，從運作模式來看，PlusToken幾乎完美符合傳銷的所有特點——繳費入會、發展下線、層級收益。

通過將一定數量的數字貨幣轉入PlusToken的官方地址，就可開啟智能狗，獲得“搬磚”收益，即繳費入會；開通智能狗就可獲得發展下線的資格，通過發展更多的下線成員，提升會員等級，獲得不同比例的獎勵金；個人收益與下線數量及收益掛鉤，最高等級會員享受項目分紅，即層級收益。

此外，PlusToken號稱“每月10%-30%?的收益”，再加上交易所提現需要的手續費，這意味著交易所之間的差價需要比這更高才有可能。如果真的有這樣的交易所存在，那么分分鐘就會破產。

公鏈項目一直的隱患—雙花攻擊?

據PeckShield顯示，在01月05日到01月08日之間，ETC鏈上至少有15次疑似雙花交易，共計損失ETC219,500?枚，價值約110萬美元。

所謂雙花攻擊，即一筆Token被花了兩次及以上。簡單說就是，攻擊者將一筆Token轉到另外一個地址，通常是轉到交易所進行套現，然后再利用手中掌握的算力對轉賬交易進行回滾，將轉出的Token再度轉回自己的地址。

雙花攻擊也是幣圈最常見的一種的攻擊手段，黑客通常選擇算力不高的代幣下手。在ETC雙花攻擊之前，BTG、ZenCash等也曾發過此類事件。

當然，雙花攻擊要想成功，首先必須掌握絕大多數算力，業內普遍認為算力應當超過51%才能進行攻擊操作。就拿ETC雙花攻擊來說，此次攻擊的算力很可能來源于算力租賃網站NiceHash。該網站可租借ETC算力一度占到ETC全網算力112%，滿足了雙花攻擊的條件。目前該網站已經停止算力出租。

此次“雙花攻擊”造成的損失，最終也由交易所買單了。Gate.io曾在發布的聲明中表示：盡管此次51%攻擊是因為ETC網絡算力不足造成，并不是交易平臺責任，但Gate.io將仍然承擔所有的ETC損失。

回顧一年前的這起安全事件，也給我們一些啟示。作為加密貨幣生態的參與者，防范雙花攻擊可能并不僅僅是公鏈的責任，交易所、錢包、投資人都有必要提高警惕。

對于交易所、錢包而言，可以將提現確認要求提高，從而降低雙花風險。例如，一些交易所在ETC雙花攻擊后，將充幣確認數提高至100次，提現確認數提高至400次。

對于項目方而言，可以升級挖礦算法。另外，項目方需要密切監視算力變化，防止攻擊者借助限制算力實施攻擊。

對于用戶而言，為了防止交易被雙花，請務必到正規交易所進行交易。在遭受損失后，第一時間聯系交易所或者項目方，及時對交易回滾。另外，在交易一些市值較小的代幣時，需要格外關注，防止其算力被人為操縱。

雙花攻擊對于項目而言，也是一場成年禮。經歷了雙花攻擊考驗的項目，才能在區塊鏈的世界中走得更遠。

推薦閱讀：

《卷走百萬美元后，攻擊者仍未放過ETC》

https://www.odaily.com/post/5135528

區塊鏈安全未來發展態勢展望

細數2019年各類安全事件，我們也發現一些趨勢，值得整個區塊鏈從業者重視。

一是交易所仍是安全隱患最大的領域。

交易所是距離資產最近的地方，一直以來也是黑客攻擊的重要目標，安全能力自然是重中之重的核心要素。

目前，一些交易所選擇自建安全防護，高薪聘請專業的安全防護人才，筑起自己的防火墻。但即便如此，像幣安這樣的一線交易所仍然遭遇了安全事故，也給從業者敲響警鐘。

另有一些小型交易所，選擇從第三方技術商手中購買成套的交易技術以及安全防護。雖然看起來問題不大，但某種程度上而言，這也相當于將自己的后院向別人敞開了，安全質量令人堪憂。

此外，交易所的安全也與終端用戶密不可分。在眾多的報道中，我們也發現多起被盜事件，受害者僅為少量個體，交易所安全系統未被攻破。這主要由于終端用戶防護意識薄弱，遭遇了黑客的釣魚攻擊，泄漏了自身隱私信息，最終發生安全事故。

因此，交易所的安全，不僅需要交易所提高自身防護能力，更需要終端用戶提升自我防護意識。

二是安全事件向DeFi等離資產近的方向轉移。

2019年，眾多DeFi產品受到追捧，尤其是去中心化借貸。

但DeFi產品大都基于智能合約和交互協議搭建，代碼普遍開源，資產完全在鏈上，因此也極容易成為黑客攻擊的重心。

從MakerDAO治理合約漏洞，到?0x協議校驗訂單簽名缺陷，每一個漏洞都影響著成千上萬的加密資產的安全。雖然最終有驚無險，沒有發生意外，但對待安全問題，不能心存一絲僥幸心理。

對于DeFi產品的開發者而言，在產品最終推向市場前，理應尋找專業的安全機構對其代碼進行審核，查漏補缺，保護用戶資產。

對于用戶而言，針對一些沒有經過安全審核的DeFi產品，也應提高警惕，防止釣魚攻擊發生資產被盜事件。

此外，我們也要時刻警惕打著區塊鏈旗號、行資金盤、詐騙之實的不法分子。

只有從源頭到終端，建立起一套嚴格的安全審核標準及流程，為用戶保駕護航，才能促成產業蓬勃發展。

安全是一場持久戰，每個從業者都有責任和義務參與進來。

參考資料：

《2018年度區塊鏈安全報告》

《2019年度DeFi行業報告》

工具網站：

https://www.dapptotal.cn/analytics

Tags：APPDAPDAPPDEFI幣圈24小時快訊APPDAPPX價格dapp幣怎么從錢包提到交易所deFIRE

以太坊交易所