2021年區塊鏈安全年度總結_DEFI

2021年對于區塊鏈來說是一個巨大的里程碑，無論是對于用戶量還是對于機構接受程度。鏈資產比重都遠超歷史上的任何其他時期。

與此同時，興起了許多多元化的事物如號稱終極未來的元宇宙、邊玩邊賺的GameFi以及鏈鏈互信的跨鏈等。而各類傳統DefiDapp也加速了步伐迎來了全新的升級，如UniswapV3,AaveV3等新版協議問世。

種種這些，不僅為區塊鏈生態帶來了活力，同時也帶來了全新的安全挑戰。現在請跟隨?知道創宇區塊鏈安全實驗室?的視角一起回顧2021區塊鏈安全生態以及各月份的典型安全事件。

2021區塊鏈安全生態速覽

據知道創宇區塊鏈實驗室不完全統計數據，截止本文發稿前，2021年區塊鏈可供查詢的相關安全事件為312起，直接損失超100億美元。

對比往年數據來說依然是一個令人心悸的走高態勢。蓬勃發展的多鏈系統，鏈鏈互信的跨鏈需求，新鏈上的花式仿盤，都為這一龐大的數字做出了相應的"貢獻"。

在安全事件方面我們使用了6個緯度來進行統計，分別是?交易所、DeFi、跑路、錢包、公鏈、其他。其中以DeFi安全尤為突出達到了?141起。

該原因主要在于區塊鏈底層技術愈加趨向成熟，但合約實現規范還沒有充分完備化和體系化，審計還沒有被足夠的落實。尤其合約具備著直接擔當著資金載體和運行邏輯的功能，這使得越來越多黑客將目標瞄向該領域。

另一方面，攻擊者利用閃電貸和鏈上監控愈發成熟。使得攻擊面得以被充分暴露，同時各個項目方對于協議的實現也存在著巨大的差異，這些種種，無疑皆助長了該攻擊的廣泛性和頻繁性。

NFT內容創作者的支出較2022年峰值下降98%:金色財經報道，據Token Terminal數據，藝術家收入的減少可能會阻礙新作品的推出，從而導致市場僵化，該市場的交易量已從 2022 年 1 月的 170 億美元下降了 95%。研究人員Nansen表示，當月特許權使用費達到2.69億美元的峰值，但今年7月僅為430萬美元，因為每筆交易支付的費率從高達5%降至0.6%。

區塊鏈技術專家Sei Labs的NFT和游戲增長負責人Phillip Kassab表示，這是一種短視的策略，忽視了這一領域的可持續成功建立在賦予交易者和創作者權力的微妙平衡之上的事實。

Nansen數據顯示，隨著創作者支出大幅下降，NFT藝術家版稅較峰值下降98%。[2023/8/12 16:22:14]

在資金損失方面則是跑路/騙局尤為嚴重，損失總計超?64億美元。相較于DeFi安全事件的多發性來說，跑路/騙局對人們造成的經濟損失更加明顯。

跑路的方式由于Owner權限過大、合約可升級、DAO比例操控等等難以避免。同時由于區塊鏈的不可追溯性導致該行為風險變得非常的低，甚至有項目方直接在群組公開宣告自己跑路的行徑，導致大量用戶失去信心。

無論是交易所清退詐騙、鏈上蜜罐、假錢包、轉賬釣魚，花樣眾多的攻擊方式也為鏈安全帶來了新的挑戰。當然，這不僅僅應該完全依賴安全公司，更多的還應該寄希望于群體安全意識提升的落地。

2021各月份典型安全事件回顧

Ⅰ：挑戰伊始

關鍵詞：權限控制，手續費

1月27日，SushiSwap因收取手續費的函數存在權限控制缺陷，被黑客利用操控了DIGG/WETH交易對的滑點，從而套取了WBTC/DIGG交易對的手續費。

以太坊合并后部分GPU價格大幅下跌近40%:金色財經報道，隨著以太坊合并順利完成，GPU 礦機需求似乎已出現縮水，很大一部分挖礦市場也將不再關注 GPU。目前部分 GPU 價格也出現快速下跌，eBay 平臺上RTX 3080 10GB Founder's Edition 型號在 6 月中旬的售價約為 750 美元以上，但現在已跌至 500-600 美元區間，價格下跌達到 39%。（dexerto）[2022/9/16 6:59:51]

安全月度風險評估：低

月度評價：新年伊始，但不應該是新漏洞的開始

Ⅱ：風雨初現

關鍵詞：閃電貸，無限授權

YearnFinance被攻擊，黑客利用閃電貸操控3pool代幣平衡，并通過yDai保險庫放大差異，獲利280萬美元，而保險庫損失超1100萬美元。

以太坊協議組合工具Furucombo智能合約被爆出存在請求授權權限過高問題，黑客可通過向Furucombo代理添加攻擊合約，從而獲得影響用戶賬戶的權限，該漏洞影響超1400萬美元。

安全月度風險評估：中

月度評價：同類型漏洞相繼爆發，需做好安全預警

Ⅲ：花式危險

關鍵詞：雙花交易，錯誤鑄幣，權限控制

去中心化交易所?DODO?因未對init進行權限控制，導致黑客在進行閃電貸歸還操作時通過init函數將需要歸還的代幣修改為自己提前加入pool的垃圾代幣，從而規避校驗以次充好，損失超200萬美元。

PaidNetwork?鑄幣功能存在漏洞，被利用鑄造超?6000萬枚PAID代幣。

Ronin鏈上NFT月銷售額16個月來首次跌破100萬美元:金色財經報道，Ronin在 8 月份創下了 939,432 美元的銷售額，也是16個月以來首次跌破100萬美元，一些分析師將Ronin鏈上銷售額下降歸咎于市場對Axie Infinity NFT 的需求下降，但不少人認為Ronin跨鏈橋黑客事件是人們失去信心的主要原因。此外，在 2022 年 1 月 27 日達到 4.32 美元的峰值后，Ronin原生代幣RON在隨后的八個月時間里下跌了 90% 以上，整個 8 月份，RON的日交易量均低于200萬美元。（beincrypto）[2022/9/13 13:27:08]

Filecoin由于節點特性出現“雙花交易”漏洞。

安全月度風險評估：高

月度評價：漏洞類型花樣百出，但核心都是資金安全

Ⅳ：經典重現

關鍵詞：重入攻擊，協議兼容性

Uniswap上的imBTC池遭到黑客攻擊，漏洞原因是Uniswap與ERC777協議出現兼容性問題，當交易產生時，ERC777中的迭代調用tokensToSend可以被用來實現重入攻擊，損失超30萬美元。

安全月度風險評估：低

月度評價：經典漏洞以全新方式體現，說明安全理念并不會停滯，需要時刻進步

Ⅴ：八方風雨

關鍵詞：重入攻擊，協議沖突，滑點，閃電貸

合成資產協議SpartanProtocol遭到閃電貸攻擊，由于添加/移除流動性存在滑點修正機制的差別導致套利，損失3050萬美元

完美世界：“三步走”推動元宇宙游戲實現，已完成虛擬偶像及區塊鏈相關的技術儲備:7月31日消息，完美世界（002624.SZ）7月29日在投資者互動平臺表示，公司看好元宇宙的未來前景，立足內容優勢，正在積極探索元宇宙相關布局。公司在元宇宙游戲方向的工作會分階段逐步推進實現：第一步，依托現有游戲，實現元宇宙的早期積累。目前，公司技術中臺已完成虛擬偶像及區塊鏈相關的技術儲備，為公司內部不同游戲推出各自的虛擬偶像或區塊鏈技術的應用提供全方位的技術支持；第二步，借助開發中的新游戲，實現元宇宙更深層次的積累；第三步是元宇宙在游戲上的終極呈現。通過重磅游戲產品，借助數字孿生、智能AI擴展、虛擬數字人等等，在更加宏大的世界，實現游戲體驗的無限延伸。關于公司具體業務的信息，請您以公司的官方新聞為準。[2022/7/31 2:48:55]

機槍池項目ValueDeFi由于協議組合存在的沖突隱患遭到攻擊，損失1000萬美元，2天后再次遭到攻擊，損失1100萬美元；

PancakeBunny遭到閃電貸攻擊，由于LP代幣價格計算問題導致套利，損失約4500萬美元；

BurgerSwap遭到閃電貸攻擊，由于重入漏洞和架構問題導致套利，損失約330萬美元；

安全月度風險評估：高

月度評價：本月是閃電貸攻擊多發月份，造成的損害也及其重大，所以必須不放過任意可能存在漏洞的細節，避免無法挽回的結果。

Ⅵ：風雨依舊

關鍵詞：薅羊毛，錯誤變量，address(this)，閃電貸

PancakeBunny項目仿盤PancakeHunny項目遭遇黑客攻擊，主要漏洞原因在于mintFor函數錯誤地使用合約余額作為參數，且兌換HunnyToken使用的固定參數，導致套利可行。

加密貨幣交易公司Wintermute發布新的DEX聚合器Bebop:金色財經消息，全球加密貨幣交易公司Wintermute周四發布了一個新的DEX聚合器。Wintermute表示，Bebop將為用戶提供交換代幣的能力，而不需要處理滑點問題。（theblockcrypto）[2022/6/9 4:14:44]

以太坊DeFi項目Alchemix的alETH合約出現安全問題，由于部署腳本錯誤的創建vault值并在調用中使用了錯誤的索引，導致用戶獎勵超發

BSC鏈上DeFi協議xWinFinance遭到閃電貸攻擊，合約未對獎勵推薦人地址做校驗，導致同一地址推薦人獎勵可累計。

安全月度風險評估：中

高月度評價：本月閃電貸攻擊依然多發，其提醒著控制變量值得反復審計。

Ⅶ：邏輯理性

關鍵詞：私鑰，雙花攻擊，tx.origin，邏輯漏洞

去中心化跨鏈交易協議Anyswap遭到攻擊，漏洞原因在于其V3路由器MPC帳戶下存在兩個v3router交易，這兩個交易具有相同的R值簽名，攻擊者可以反推出MPC賬戶的私鑰，損失約800萬美元。

BSV網絡遭受惡意攻擊，造成多個區塊重組，攻擊者借此進行了雙花攻擊。

去中心化跨鏈交易協議THORChain遭受多次攻擊，因其代幣特性tx.origin可被用做釣魚，損失約?2500萬美元。

收益耕作協議PolyYeldFinance遭受攻擊，因其轉賬時存在實際到賬少于轉出的缺陷，被黑客利用控制了MasterChef合約中代幣，實現超額獎勵。

安全月度風險評估：中高

月度評價：本月存在各類型的邏輯漏洞，涉及私鑰、轉賬已經功能特性等，需做更全面的考慮。

Ⅷ：危險之最

關鍵詞：年度損失之最，重入攻擊，同類型協議攻擊，閃電貸

以太坊上DeFi協議PopsicleFinance遭遇閃電貸襲擊，漏洞原因在于PLP池合約對手續費獎勵的計算存在缺陷，損失2,070萬美元；

跨鏈協議PolyNetwork遭到攻擊，由于函數缺陷導致keeper可被修改，這次攻擊被稱為年度最大黑客事件，損失約6.1億美元；

BSC鏈上DeFi項目Dot.Finance遭受閃電貸攻擊，這次攻擊屬于PancakeBunny同類型協議攻擊，損失近43萬美元，迄今為止，此類攻擊已造成損失超5,000萬美元；

以太坊上的DeFi協議CreamFinance遭遇重入漏洞襲擊，損失超1800萬美元；

安全月度風險評估：高

月度評價：本月各類攻擊損失都十分巨大，還有著堪稱全年損失之最的PolyNetwork攻擊，該月份攻擊不僅影響到新興的跨鏈項目也對同類型的協議敲響警鐘，這份影響持續著整個區塊鏈安全生態。

Ⅸ：問題依舊

關鍵詞：初始化攻擊，恒定乘積校驗，預言機操控，閃電貸

NFT賽馬項目DeRac被攻擊，其漏洞原理是：Vesting合約未進行init未初始化保護，從而讓黑客初始化了init中他想要的參數，最后通過緊急提款函數提取了合約資金，損失約400萬美元。

去中心化交易所NowSwap遭到黑客攻擊，由于沒有修改swap函數的參數導致閃電貸的恒定乘積校驗邏輯失效，攻擊者返還部分閃電貸金額即被認為是完全歸還，從而實現了攻擊，損失金額超100萬美元。

借貸協議Vee.Finance，超3500萬美元資產被盜，據官方調查，極可能是小數點未精確以及權限校驗問題導致預言機價格被操縱。

去中心化借貸協議?Compound?出現變量設置錯誤轉移了更多的COMP代幣，該漏洞損失約28萬枚COMP代幣。

安全月度風險評估：高

月度評價：本月各類攻擊損失依然巨大，但相較于新型漏洞，大多數漏洞都屬于可追溯漏洞即已經出現過的漏洞。

Ⅹ：漏洞多樣化

關鍵詞：價值描述，修補方案，多次攻擊

以太坊上被動收益協議IndexedFinance遭到攻擊，其漏洞產生的原因在于協議通過一種代幣來描述整個礦池價值，損失約1600萬美元。

去中心化借貸協議Compound在試圖通過社區提案修補流動性挖礦代幣分發合約含有的漏洞的同時，因為?drip()函數的調用而向漏洞合約打入了20萬枚comp代幣，由此該協議已面臨?1.58億美元的潛在損失。

以太坊上DeFi借貸協議CreamFinance再遭受攻擊，此次攻擊產生的核心代碼原因在于價格因子pricePerShare通過簡單的資產數額占比來動態定價，損失約1.3億美元。

安全月度風險評估：高

月度評價：各種漏洞產生的情況也是各有不同，有礦池功能存在問題、有兌換功能存在問題、甚至有鑄幣功能存在問題等，但是CreamFinance該年度已經多次遭受攻擊實屬應該做好防護。

Ⅺ：問題多元化

關鍵詞：預言機操控，治理攻擊，私鑰泄露

以太坊上的DeFi協議VesperFiFianance遭遇預言機操控攻擊，損失超?300萬美元。

Curve.Finance遭Mochi穩定幣USDM團隊「治理攻擊」，損失超3000萬美元。

DeFi借貸協議bZx在Polygon和BSC鏈上的私鑰泄露事件已導致超5500萬美元資產被盜。

安全月度風險評估：高

月度評價：該月份同樣問題嚴重，有傳統的預言機安全問題、私鑰泄露問題甚至還有著項目方反擼礦工的操作。

Ⅻ：經典再現

關鍵詞：閃電貸，重入

Fantom鏈上復合收益平臺GrimFinance遭遇了閃電貸攻擊，攻擊者利用depoistFor函數不存在token校驗，通過將token地址指向自己的攻擊合約實現重入攻擊，損失超3000萬美元。

Definer遭遇預言機操控攻擊，問題在于OEC鏈上對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生。

安全月度風險評估：中

月度評價：傳統的預言機安全問題與重入安全問題，但是殺傷力依舊巨大。

總結

凡是過去，皆為序章。

2021年，注定是不平凡的一年。對區塊鏈而言，各種新事物不斷出現的同時，也產生了諸多的安全問題，同時帶來了全新的安全挑戰。

在這些種種安全事件中最亮眼的名詞當屬閃電貸，在上述經典攻擊事件中閃電貸工具被使用了數10次。而攻擊難度低，收益高的跑路和詐騙也時有發生。每年對于區塊鏈安全所造成的損失也仍在不斷增加，并且沒有一絲暫緩之勢。

在這些攻擊中，DeFi仍是區塊鏈安全的重災地，由于各種項目方實現的多樣性和復用代碼造成的理解差異，導致了如此多的經濟損失值得每一個人深思。這不是某一個人或者某一個組織的事，而是需要整體行業大眾普遍安全意識的提升。

最后，希望大家在新的一年中，以此為鑒，砥礪前行。

來源：金色財經

Tags：區塊鏈ANCEFIDEFI區塊鏈的未來發展前景怎么樣UrbanCashDefi BombnSights DeFi Trader

ADA