2020鏈上安全報告：DeFi攻擊60逾起 損失超2.5億美元_DEF

2020鏈上安全報告：DeFi攻擊60逾起損失超2.5億美元

區塊律動BlockBeats

剛剛

25

魔幻的2020年在牛市的陪伴下落下了帷幕，然而這一年中鏈上安全事件卻頻頻發生。律動BlockBeats將2020年中發生的鏈上安全事件進行了總結。《2020鏈上安全報告》主要分為四部分：2020影響幣圈行業的大事件、以太坊安全事件、合約保險以及DeFi合約外的其他攻擊。

2020影響幣圈行業的大事件?

2020年新冠疫情對于全球經濟造成了極大的影響，美股一個月內經歷了三次熔斷，與此同時加密資產市場也受到了牽連。3月12日加密資產全體暴跌無一幸免，比特幣日內跌幅達50%，加密資產市場總市值近乎腰斬。隨后各國央行選擇以最簡單粗暴的方式來應對此次重創：瘋狂QE放水。這種刺激手段雖然是貨幣政策中最行之有效的，然而其副作用也是顯而易見的。?

如果說次貸危機所引發的金融海嘯造就了比特幣，那么疫情所導致的大量印鈔讓更多人認識到比特幣是一種稀缺資產且可對沖法幣貶值的風險。合規買入、托管以及各類加密資產基建和衍生品的成熟從各個角度為加密資產需求者提供了完美的解決方案，諸多機構也就順理成章地選擇了比特幣以及其他龍頭加密資產作為資產配置的一部分。

CBO預計美國2022財年預算赤字下降 今年美聯儲只會將利率升至1.9%:5月26日消息，美國國會預算辦公室（CBO）表示，由于稅收收入激增且抗疫紓困項目到期，美國聯邦預算赤字今年將大幅下降至大約1萬億美元的水平。國會預算辦公室周三發布的預測顯示，在10月1日開始的2023財年，預算赤字也將收窄至9840億美元。今明兩財年的赤字明顯低于2021財年的2.8萬億美元。預計2022財年聯邦債務總額將增加1.9萬億美元。同時預測到2022年底，美聯儲只會將基準利率提高到1.9%（市場預期為2.6%），到2023年底提高到2.6%。 （金十）[2022/5/26 3:42:15]

若散戶未能享受到機構牛市所帶來的紅利，那么流動性挖礦的熱潮大家一定都沒缺席。那些曾經只將幣存放在中心化交易所的用戶為了成為DeFi「農民」將資產轉入「狐貍頭」中，將非生產性資產通過去中心化交易所換成了種地的「鋤頭」。瘋狂的挖礦讓以太坊鏈上資產市值飛上云端，但同時，這也成為了黑客嘴邊的肥肉。

紅洞數藏、洞壹元典、靈境藏品等共同簽署2022中國數字藏品?律公約:金色財經現場報道，2022年4?8?，由新一代人工智能產業技術創新戰略聯盟（AITISA）、紅洞數藏、洞壹元典、靈境藏品等發起單位牽頭主辦的《2022中國數字藏品?律公約》發布會在北京昆侖飯店舉?。趣鏈科技首席執行官、紅洞科技董事長李偉表示，數字藏品是基于區塊鏈技術的文化產品，可以保護數字藏品的版權等。當下數字藏品存在一定的炒作等亂象，紅洞科技攜手新一代人工智能產業技術創新戰略聯盟（AITISA）、紅洞數藏、洞壹元典、靈境藏品等共同簽署《2022中國數字藏品?律公約》，以期數字藏品市場更健康、長遠的發展。紫金智能金融研究院院長林華在現場表示，數字藏品有文化的成分也有科技的成分，數字化是其價值模式，具有唯一性，而唯一性是數字藏品的核心。林華表示，區塊鏈可以用“生態、系統、機制、計算”八個字來總結，整體來看是一個復雜的博弈的過程。依托于區塊鏈技術的數字藏品的發展一定要注意合規問題，只有合規才能走得長遠。[2022/4/8 14:12:34]

圖源：OKLink

以太坊的安全事件?

調查：61% 的美國人可能在 2022 年購買加密貨幣:金色財經報道，隨著美國人對數字資產的未來表現出興奮，對加密貨幣的興趣繼續增長。公開交易的加密貨幣平臺 Voyager Digital 發布的第一份年度加密信任調查調查了美國人的加密體驗以及他們對加密在 2022 年的表現的展望。

該報告顯示了許多積極的情緒。調查結果顯示，近三分之二的受訪者稱自己是加密貨幣多頭者，而 61% 的受訪者表示他們今年可能會購買加密貨幣。盡管 Voyager 沒有透露確切的受訪者人數，但結果顯示，與之前的調查結果相比大幅增加，之前結果顯示只有 27% 的美國人計劃在 2021 年投資加密貨幣。（thebharatexpressnews）[2022/1/21 9:03:11]

在流動性挖礦的帶領下，沉寂已久的DeFi在2020年下半年成為焦點。用戶將資產存入合約，為協議提供流動性，從而獲得協議的費用分成和治理代幣獎勵。

由于協議內存放著各類有價資產，這讓DeFi協議成為了被攻擊重災區。黑客們通過各種手段向合約發起攻擊，據PeckShield派盾統計2020年DeFi安全事件達到60起，損失逾2.5億美元，占統計的黑客攻擊造成總損失的12.5%，遠超2019年數據。

Opera將于2022年集成區塊鏈域名系統Handshake:12月31日消息，支持Web 3.0應用并提供內置加密錢包的互聯網瀏覽器Opera宣布，與dWeb基金會達成合作，將集成去中心化區塊鏈域名系統Handshake。該集成將于2022年上半年上線。

據此前報道，Opera宣布計劃在2022年集成Solana、Polygon。[2021/12/31 8:17:27]

圖片來源：PeckShield派盾

發生在DeFi合約中最常見的三種攻擊分別為預言機操縱攻擊(閃電貸)、重入攻擊以及代碼漏洞。

?預言機操縱(閃電貸、套利)攻擊?

在現今DeFi大熱的背景下，預言機攻擊極為普遍，因為大多數DeFi協議都需要通過喂價預言機來提供價格信息。一般來說，喂價預言機分為鏈上和鏈下兩種，鏈上預言機通過抓取去中心化交易所價格來獲取信息，而鏈下預言機則從中心化交易所獲得價格。

火幣公益榮獲“2020領航中國年度評選杰出公益慈善項目獎”:12月10日，第五屆智能金融國際論壇暨2020金融界“領航中國”年度盛典正式在北京召開。火幣公益憑借在區塊鏈慈善領域的創新與突出貢獻，榮獲“2020領航中國年度評選杰出公益慈善項目獎”。 同日，火幣公益還獲得《北京商報》頒發的“2020年度企業社會責任公益典范”獎。

據悉，火幣公益是火幣集團旗下公益平臺，旨在建立區塊鏈模式公益事業的新生態，為傳統慈善事業提供新的實現形式，讓信息透明、公開、可追溯。目前，火幣公益已建立國際化團隊，與多個國際NGO建立合作，并在今年一月設立專項公益基金，用于從全球各地采購醫療物資進行捐贈，目前捐贈醫院及組織超過130家，捐贈物資超過20批次。火幣公益卓越成績獲得業界認可，曾入選“中國慈善排行榜”雙榜單，榮獲“年度慈善榜樣”稱號，并獲得《時代周報》“2020年度時代公益先鋒”獎。[2020/12/10 14:50:27]

這兩種喂價預言機方式各有優劣，從鏈上獲取價格可以通過協議完全去信任化，但存在被操縱攻擊風險。鏈下預言機雖不存在被閃電貸攻擊風險，但其價格源需依賴于中心化交易所提供，存在中心化風險，且鏈下數據在鏈上反映較慢。

在鏈上，用戶可以通過閃電貸工具瞬間完成大額借款、兌換和大額存入等一系列操作，這使得攻擊者可以自行創造套利機會，從而操控去中心化交易所價格來擾亂其他使用該價格的DeFi應用，最終完成套利攻擊，典型案例有bZx，CheeseBank，Harvest以及Valley等喂價預言機攻擊事件。

重入攻擊?

重入攻擊是一種危害性極高的攻擊手段，可以輕松榨干合約內所有資產。著名的theDAO被盜事件就是攻擊者運用重入攻擊導致以太坊硬分叉，損失了價值5000萬美元的以太坊。

智能合約不僅可以相互調用，也可以在內部調用。一般情況下，這不會產生任何問題，但當調用使得合約狀態不一致時，例如取款金額大于合約內金額時，或當某合約還未將余額設為零前就發起轉賬，此時攻擊者可濫用提現功能提取合約中所有余額。今年經典的重入攻擊案例有：Akropolis，dForce以及Origin。

合約漏洞?

此類攻擊通常是由于開發者在編寫智能合約時，出現邏輯漏洞或自留后門所導致的。大多合約漏洞出現在未經審計的合約上，較常見的手法是攻擊者通過合約漏洞無限鑄幣隨后榨干流動性池內資產，凍結合約內資產，或是合約開發者取走合約資產后跑路。

合約保險?

在去中心化的世界中，由于DeFi應用迭代速度過快，為了追趕熱度許多應用的合約在沒有通過第三方審計的情況下就進行了發布。由智能合約漏洞而損失的資產也是不計其數。許多用戶可能會抱怨項目方不負責任，但有些項目并沒有公開項目信息，由于FOMO情緒，用戶為了搶先一步參與到項目中，會通過蛛絲馬跡尋找尚未公開的項目合約。

例如在9月29日凌晨，YFI創始人在其參與開發的新項目的推特上發布了兩張項目相關設計圖，隨后被黑客找到此項目合約地址并利用閃電貸攻擊盜取了1600萬枚DAI。?

合約審計對于高速迭代的DeFi產品來說耗費時間過長，保險或許會是更好選擇。DeFi要發展，需要保險這樣的基礎設施。如果只是靠DeFi協議用戶自行去購買保險，這是不現實的。一種方案可由協議的交易費用或挖礦收益中抽取一部分，存入項目的金庫中，金庫中一部分用于購買協議保險。

DeFi合約外的其他攻擊?

除了合約攻擊外，公鏈攻擊、交易所以及錢包攻擊也不占少數。大多數公鏈攻擊的方式為51%攻擊，自年初開始，多個區塊鏈項目相繼遭受51%雙花攻擊。1月到2月間，BTG網絡多次遭到雙花攻擊，損失達到5萬美元以上。7到8月之間，以太經典遭受了三次51%攻擊，損失高達上千萬美元，OKEx一度考慮從交易所中下架ETC。11月8日，GrinNetwork受到51％攻擊，由于反應及時，故并未造成損失。

發生51%攻擊的主要原因在于區塊鏈項目的共識程度不夠，礦工轉向其他項目，致使維護網絡運轉的算力下降，給了攻擊者可乘之機。例如ETC、BTG、AE，這些都是幾年前的老牌區塊鏈項目，項目熱度嚴重下降，幣價表現不佳，由于礦工收益與幣價有直接關系，礦工們也就順勢投身收益更高的公鏈中。

當然，一部分新項目也會成為被攻擊對象，雖然幣價表現一般，但因其尚未凝聚強大的社區，故而沒有足夠的共識和算力，攻擊成本也相對較低，最終也會是黑客下手的目標。從具體實現方式上看，隨著被攻擊網絡算力下降或其本身的算力不足，攻擊者可通過租用算力獲得足夠的算力進行攻擊，并且攻擊成本較低，收益一般遠高于成本。

圖片來源：Crypto51.app

Kucoin交易所熱錢包被盜事件也引起了圈內人的重點關注。本次入侵影響了該交易所的比特幣、以太坊和ERC-20熱錢包，平臺損失了近2.81億美元資產。然而KuCoin的攻擊者貌似十分著急，試圖直接將USDT打散充入幣安和抹茶交易所變現，然而，還沒來得及操作相關賬戶就被兩家交易所及時凍結。隨后Bitfinex、Tether也相繼凍結KuCoin攻擊地址上約3300萬USDT，忙活了大半天，這名黑客似乎什么也沒有得到。

總結?

在魔幻的2020年加密市場經歷了太多太多，在312過后人們重拾信心，DeFi所點燃的FOMO情緒不亞于當年的IC0，用戶的熱情無疑讓開發者更有動力開發出更有趣、優質、吸引人的鏈上應用，當然安全性是第一位的。現今傳統金融機構已經將目光聚集在加密資產之上，加密金融應用將必定成為關注焦點，若想讓加密金融應用完全去中心化，那么首要關注點就必須是安全性。在未來，將必定出現合約保險外的其他衍生品來對沖資產安全風險，日益完善的技術也將從各維度增加攻擊成本。相信在加密市場飛速發展的明天，安全事件會越來越少！

安全問題

鏈上交易

本文來源：

區塊律動BlockBeats

文章作者：律動研究院

我要糾錯

聲明：本文由入駐金色財經的作者撰寫，觀點僅代表作者本人，絕不代表金色財經贊同其觀點或證實其描述。

提示：投資有風險，入市須謹慎。本資訊不作為投資理財建議。

金色財經>區塊鏈>2020鏈上安全報告：DeFi攻擊60逾起損失超2.5億美元

Tags：DEFIEFIDEF區塊鏈DEFI價格ChargeDeFi ChargeDEFLY幣區塊鏈個人怎么買

比特幣價格今日行情