?Q4因加密安全事故損失超7億美元，項目方和用戶該如何防控風險？_DEF

2021年就要畫下句號，復盤這一年區塊鏈領域發生的安全事件，涉及金額和影響最大的當屬8月份跨鏈互操作協議PolyNetwork遭黑客攻擊，被盜資金超6.1億美元，這也是DeFi史上涉及金額最高的一次攻擊事件。而發生安全事件次數較多、金額較大的月份為5月、8月和10月、11月、12月。Q4也成為今年安全事件高發季度。據不完全統計，第4季度發生安全事件超40起，損失金額超7億美元，涉及的領域和類型多樣。Odaily星球日報特整理了Q4各月的重要安全事件，并篩出幾起損失金額較大的，進一步展開介紹，以向項目方及參與者揭示相應風險。

RabbitHole推出V2版，新增Quest Receipts和白名單等功能和新的Quest Protocol:2月17日消息，RabbitHole 推出 RabbitHole V2，新增 Quest Receipts、白名單等新功能和新的 Quest Protocol。其中，Quest Receipts 使得用戶更容易領取任務獎勵，用戶可以使用任務收據領取任務獎勵，如果不想要任務獎勵，可以在二級市場出售任務收據；白名單功能中，每個任務都是一個新新的智能合約。是否有資格獲得新的任務完全取決于項目的需要，用戶只會在符合條件的平臺上看到任務。

此外，RabbitHole V2 從平臺中移除 Skills，并通過向所有人開放任務來讓 RabbitHole 易于訪問。Quest Protocol 允許協議根據預定義條件指定白名單列表和分發獎勵。[2023/2/17 12:12:59]

Web3基金ABCDE在BendDAO社區發布提案稱計劃提供1萬枚以太坊的流動性:8月24日消息，由開發者社區BeWater發起人BMAN與Huobi聯合創始人杜均成立4億美元Web3基金ABCDE在BendDAO社區發布新提案，該提案計劃從BendDAO財庫購買總量20%的Token（20億BEND），與BendDAO達成戰略合作伙伴關系并向其提供1萬枚ETH的流動性。提案中對20億BEND提出的購買價格為2400ETH，鎖倉期為18個月。

ABCDE Capital表示：通過讓ABCDE成為BendDAO社區的成員，該提案將有助于增加BendDAO ETH儲備并鞏固BendDAO作為市場領先的NFT流動性協議的地位。[2022/8/24 12:45:43]

BlockFi：上調所有費率等級的BTC、ETH和Stablecoin利息賬戶利率:6月24日消息，根據BlockFi向SEC提交的一份材料，加密借貸機構BlockFi將從2022年7月1日起上調所有費率等級BTC、ETH和幾種 Stablecoin 利息賬戶的（BlockFi Interest Account，BIA) 利率。BlockFi 表示上調利率是出于三個因素考量：有效的風險管理、減少市場競爭和改變宏觀收益率環境。[2022/6/25 1:30:14]

回顧九起損失金額較大的加密領域安全事件

12月5日，BitMart創始人兼CEOSheldonXia發推表示，發現了兩個熱錢包相關的大規模安全漏洞，黑客提取價值約1.5億美元的資產。6日，SheldonXia表示這個安全漏洞主要是由于兩個熱錢包被盜私鑰造成。BitMart的其他資產是安全的，沒有受到損害。BitMart將使用自己的資金來彌補這一事件并補償受影響的用戶。10月27日，DeFi借貸協議CreamFinance再次遭受攻擊，損失超過1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。PeckShield發現了一筆用于實施這一攻擊行為的大額閃電貸。10月30日，去中心化交易協議BXH在BSC鏈遭到攻擊，被盜超1.3億美元。初始黑客獲利地址將4000ETH從BSC鏈轉移到ETH鏈，接著將300BTCB兌換為renBTC跨鏈到地址。12月3日，去中心化組織BadgerDAO確認遭受攻擊，損失達1.203億美元，包括約2,100枚BTC和151枚ETH。BadgerDAO表示，12月2日發生的網絡釣魚事件是由運行在Badger云網絡上的應用平臺Cloudflare的“惡意注入片段”引起的。黑客使用在Badger工程師不知情或未授權的情況下創建的受損API密鑰定期注入影響其部分客戶的惡意代碼。11月26日，Compound遭預言機攻擊，9000萬美元資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的，操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊。12月12日，頂峰AscendEX的內部安全審計報告發現，部分ERC-20、BSC和Polygon代幣被異常轉移出交易所熱錢包，AscendEX冷錢包不受此次事件影響。安全公司PeckShieldInc.發推稱，據估計，頂峰AscendEX的損失總計達7770萬美元。11月30日，自動做市商協議MonoX確認遭閃電貸攻擊，攻擊者耗盡Polygon和Ethereum上的流動性池，獲利約3100萬美元。11月11日，USDM團隊利用Convex對Curve發起治理攻擊，損失或超過3000萬美元。10月15日，被動收益協議IndexedFinance遭到攻擊，受影響的資金池包括DEFI5和CC10。官方在Discord中表示，本次攻擊造成的損失約1600萬美元。事件復盤后的經驗總結

德意志銀行：加密貨幣肯定需要監管:金色財經報道，5月27日，德意志銀行研究部的高級分析師兼《金融民主化》一書的作者 Marion Laboure 在接受 CNBC 采訪時，分享了在監管迫在眉睫的情況下，在供不應求的情況下，她對加密貨幣和定價行為的看法。關于最近 Terra（LUNA）生態崩潰后加密貨幣的監管問題，

Laboure 表示，我認為我們肯定需要監管，因為你提到金融知識相當低，即使在發達經濟體我們也需要更多數據，而且顯然缺乏有關加密貨幣的數據。我認為最近發生的事情可能是一個很好的提醒，不是所有的加密貨幣都是一樣的。有些是非常新的，也非常有風險，而且它們非常不同，所以我們不應該將比特幣這個最古老、市值最大的比特幣與最近的加密貨幣進行比較。（Finbold）[2022/5/28 3:46:26]

從遭攻擊的項目所屬賽道來看，多為中心化交易所、DEX等DeFi協議，原因主要有錢包漏洞、閃電貸攻擊、網絡釣魚事件等。作為項目方，除加強安全方面的預算和投入、接受多方審計外，設置風控或災備方案，一定程度上也能起到“增信”的作用。作為用戶，首先最好大致了解一些市場基本參數的平均水平，對吸引力太過驚人的項目多些警惕和復核。如果不具備代碼能力，建議通篇閱讀由頭部安全公司出具的對應項目審計報告，往往都會提示具體的潛在風險點，并在項目方和其審計機構兩處交叉核驗報告的真實性和時效性，在此也分享一個小工具：DeFiYield出的DeFi項目審計數據庫，可按項目名、幣名、地址或審計機構搜索查詢審計報告。再有就是保持一些互聯網時代也通用的防范意識，謹防假網站釣魚、電信詐騙、跑路風險等。對所參與項目的最新進展多加關注，日常刷刷官方通告渠道或社區，一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露，也能第一時間獲悉并行動起來。最后，一旦所參與的項目不幸中招，不要輕信非官方人員的指導，慌亂操作；當然，如果能在篩選項目的一步建立經驗的話，即便出現安全事故，更靠譜的項目方往往也會快速給出合理的賠償方案。推薦閱讀

Chainlink-《項目開發者必讀：十大DeFi安全問題解決方案》成都鏈安-《解析當DeFi淪為黑客的「提款機」，我們如何保證它的安全性？》Odaily星球日報-《對話頭部安全公司，為什么受傷的總是跨鏈橋？》Odaily星球日報-《DeFi之暗面——HackFi》

Tags：ENDDAODEFBENlend幣歸零ElonDoge DAOChargeDeFi ChargeBenjiRolls

幣安幣