2020攻擊事件總結：900億人民幣不翼而飛 2021我們如何遠離黑客？_區塊鏈

“如果那東西看上去像鴨子，走起路來也像鴨子，我們就說它是鴨子。”

這句來自某位政客所說的話被許多人奉為圭臬。

如同我們每一個人，很多時候我們對外界釋放出的信息都會再通過外界評價反饋和影響到自身。

這個道理不僅僅應用于某一個特殊領域，相反，它在所有事情上都可以找到痕跡。

區塊鏈發展日久，但對于很多人來說，它依舊是一個暗藏著騙局、跑路、黑客的法外之地。

人們心中的認知很難被其他信息所影響，當然，這也的確需要歸因于目前區塊鏈項目所受的攻擊愈發猛烈。

在鋪天蓋地的黑客事件中，想要扭轉人們對于區塊鏈的不安和抗拒只有依靠提高區塊鏈的安全標準，建立安全健康的區塊鏈生態。

同理，當整個區塊鏈不再受負面新聞所纏身時，這個“鴨子”也會變成有利的那一只。

經統計，2020年傳統領域的網站及軟件安全率達到了97.5%，其中損失最大的一筆資產僅僅是接近5萬人民幣。

而區塊鏈領域內，智能合約及相關節點的安全率只有89%，且損失往往處于600萬至6,000萬人民幣之間，這是需要幾個大卡車都運不下的天價資產。

一次來自于區塊鏈領域的損失資產，也許就是傳統網絡損失資產的千倍以上。

三個Web3垂直加速器項目被納入Brinc 2023年春季加速計劃:11月18日消息，全球風投加速器Brinc宣布啟動2023春季加速計劃，三個Web3垂直加速器項目被納入，分別是：1. ENTERPRISE NEXT，專注于投資基于Web3的增強交互、使用區塊鏈促進高速、安全交易等領域的初創公司，單筆最低投資額度為10萬美元；2. The Sandbox Metaverse Accelerator Program，專注于投資The Sandbox生態的元宇宙初創公司，單筆最低投資額度為15萬美元；3. ZK Advancer，專注于投資推動全球數字化Web3未來發展的區塊鏈初創公司和NFT初創公司，單筆最低投資額度為25萬美元。（acrofan）[2022/11/18 13:18:51]

因此，CertiK安全專家盤點了2020年較為典型的23個區塊鏈項目，分析了其受攻擊的原因和黑客使用的攻擊方式，以作為業內安全事故警示的參考。

在分析的這23個區塊鏈項目中，其中實現邏輯錯誤所導致的攻擊事件8起，價格預言機操縱事件5起，項目方欺詐事件4起，重入攻擊事件3起，閃電貸攻擊事件2起，錢包攻擊事件1起。

這些安全事故項目列表如下：

表1：2020年區塊鏈重大事故項目列表

圖一：2020年區塊鏈重大事故項目損失圖

表一和圖一展示了2020年區塊鏈重大事故項目損失情況。

My Ether Wallet CEO：ETH 2.0的路線圖在2020年12月正式拉開序幕:以太坊在上周四進行了一次升級，給網絡的區塊鏈帶來了一些改變。MyEtherWallet的首席執行官和創始人Kosala Hemchandra指出，倫敦升級為當前的以太坊網絡增加了大約 5 個變化；但是，我相信其中只有 2 個對日常用戶至關重要，自以太坊成立以來，有一個硬編碼的值，基本上負責確保以太坊將按時轉移到PoS或ETH 2.0。這個值負責在一定的區塊數之后使區塊難度呈指數級增長，從而使礦工無法挖掘新的區塊，他們不得不轉移到ETH 2網絡。然而，由于開發延誤，這個定時炸彈不斷被推遲，在倫敦分叉中，它將被最后一次推遲。\"

近年來，以太坊遭遇了可擴展性問題，尤其是在使用去中心化金融，即DeFi解決方案時存在的高額費用方面表現得尤為明顯。醞釀已久的以太坊2.0，即Eth2，希望為以太坊區塊鏈帶來可擴展性，其中包括轉向股權證明，或PoS，共識機制。Eth2的路線圖在2020年12月正式拉開序幕。Hemchandra指出EIP-1559是倫敦硬分叉帶來的第二個重要變化。（cointelegraph）[2021/8/8 1:42:12]

圖二：攻擊類型損失圖

2020年重大攻擊事件明細

CoverProtocol

2020年12月28日晚，CertiK安全驗證團隊發現CoverProtocol發生代幣無限增發漏洞攻擊。

Findora公布審核代碼庫結果并計劃于2021Q1發布開源代碼:據官方消息，Findora與一家美國上市的軟件行業安全審計公司合作，對方對Findora即將開源代碼庫進行分析檢測。 針對安全性和風險的初步審核結果顯示代碼庫的結構設計和抗攻擊性等方面均表現非常出色，在各個方面均達到或者超出行業內認可的標準。

審核一共掃描和分析了超過9800多個文件，該審計報告指出Findora代碼庫在安全薄弱程度方面的評價結果是“極低”。在完成全面的安全審核后，Findora將在未來公布開源時間表，從2021年第一季度開始逐步發布其開源代碼。

Findora旨在成為金融服務行業的粘合劑-即實現任何性質的資產并應對支持和統一各種加密貨幣和傳統資產的必要挑戰-安全仍然是我們的首要任務，并且是實現廣泛采用并建立全球信任這一目標的基礎。進行端到端的第三方安全審核并取得優異的結果是朝此方向邁出的兩個重要步驟。[2021/1/5 16:27:50]

攻擊者通過反復對項目智能合約進行質押和取回操作，觸發其中包含鑄造代幣的操作，對Cover代幣進行無限增發，導致Cover代幣價格崩盤。

最終損失共計約2850萬人民幣。

WarpFinance

2020年12月17日，攻擊者利用WarpFinance項目使用的oracle計算質押的LP代幣資產價格錯誤的漏洞，從Warpfinance項目中獲利約1462枚ETH代幣，總價值約615萬人民幣。

此外，攻擊者還mint了價值大約3,990萬人民幣的DAI-ETHLPshare，約650萬人民幣的獲利流入了uniswap和sushiswap的LP中。

在本次攻擊中，Warpfinance遭受的損失大約為5,000萬人民幣。

福布斯：從AI到區塊鏈 2020年保險行業發展具有5個技術趨勢:近日，福布斯發布《2020年保險行業發展5個技術趨勢》稱，全球保險市場正在經歷技術變革。數字優先業務模型是傳統保險公司和保險技術公司比以往任何時候都更加看重的方向，他們測試新的業務模型和新技術來推動收入流。而福布斯提到，2020年保險行業發展5個技術趨勢分別為：遠程信息處理設備、社交媒體、機器人過程自動化（RPA）、人工智能（AI）和區塊鏈。[2020/4/12]

Compounder.Finance

2020年12月1日下午3點，CertiK安全技術團隊通過Skynet發現Compounder.Finance項目智能合約發生數筆大量代幣的交易。

經過仔細驗證得知這些交易為內部操作，項目擁有者將大量數額代幣轉移到自己的賬戶中。

經過統計，最終共損失價值約7,610萬人民幣的代幣。

SushiSwap

2020年11月30日，Sushiswap項目被發現遭到惡意流動性提供者的攻擊，攻擊者利用該項目SushiMaker合約中的漏洞進行攻擊，最終獲利約10萬人民幣。

Compound

2020年11月26日，Compound項目發生價格預言機代幣價格錯誤。

其所采用的Coinbase價格預言機對DAI價格出現巨大波動，導致約58,250萬人民幣的資產被清算。

PickleFinance

2020年11月22日凌晨2點37分，CertiK安全驗證團隊通過Skynet發現PickleFinance項目遭到攻擊。

攻擊者利用合約中未檢查外部Jar合約是否合法的漏洞進行攻擊。

動態 | 比特幣可能會在2020年5月前升至6萬美元:加密貨幣研究公司Digital Asset research最近發布了一種新的比特幣價格預測模型。它大膽宣稱，基于稀缺性的前提，比特幣的價格將在2020年5月達到6萬美元，其市值超過一萬億美元。該模型參考之前的價格波動來預測未來的價格波動。它的基礎是BTC區塊獎勵減半，將于2020年5月到期。這通常是牛市的事件，其效果是增加了人們對供應減少的看法，而供應減少反過來又會增加需求，推高價格。[2019/8/21]

最終項目共損失約1975萬枚Dai代幣，價值約12,800萬人民幣。

OriginProtocol

2020年11月17日，OriginalProtocol項目OUSD遭到閃電貸與重入攻擊的組合攻擊。

攻擊者利用合約中mintMultiple()函數中的重入漏洞，增加閃電貸貸來的資金作為杠桿，擴大攻擊收益。項目最終損失約4,500萬人民幣。

CheeseBank

2020年11月16日，DeFi項目CheeseBank遭到閃電貸攻擊。

攻擊者通過操縱流動性池中代幣數目，利用重置預言機來提高UniswapLP流動性憑證價格進行攻擊。

最終項目損失約2,100萬人民幣，其中包括價值1,300萬人民幣的USDC。

ValueDeFi

2020年11月15日，DeFi項目ValueDefi遭到閃電貸攻擊。

攻擊者通過項目中使用Curve價格預言機，通過閃電貸操縱預言機代幣價格計算漏洞進行攻擊。

最終攻擊者獲利約4,800萬人民幣價值的DAI。

AxionNetwork

2020年11月2日晚上，黑客利用AxionStaking合約的unstake函數設法鑄造了約800億個AXN代幣。

黑客隨后將AXN代幣在Uniswap交易所中兌換以太幣，重復此過程，直到Uniswap中ETH-AXN交易對的以太幣被耗盡，同時AXN代幣價格降至0。

該攻擊是內部操作造成的，該內部操作通過在部署代碼時，對項目依賴的OpenZeppelin依賴項注入惡意代碼，最終損失約330萬人民幣。

HarvestFinance

2020年10月26日Harvest.Finance項目發生套利攻擊事件，損失超3380萬美元。

根據官方報告，計算了攻擊者返還給項目的1300萬USDC和11萬USDT之后，總損失超過2億人民幣。

在Harvest.Finance這次的套利攻擊事件中，攻擊者通過影響USDC、USDT代幣的價格來進行套利。

Eminence

2020年9月29日，攻擊者使用腳本程序，通過閃電貸借得初始資金，利用Eminence項目中的聯合曲線模型漏洞，反復購買出售EMN和eAAVE來獲得收益。項目最終損失約9,800萬人民幣。

GemSwap

2020/09/26日，DeFi項目GemSwap遭到項目擁有者的后門攻擊。

項目擁有者通過調用后門函數emergencyWithdraw()將所有的流動性證明取出并轉移至自己擁有的賬戶中，最終項目損失約850萬人民幣。

SodaFinance

2020年9月21日，CertiK安全研究團隊發現soda區塊鏈項目中存在智能合約安全漏洞。

該漏洞允許任意外部調用者通過調用智能合約函數，無視受害用戶債務中的代幣數目，強行結算受害用戶的債務，并將通過結算操作所得的收益轉入到自己的收款地址。

最終項目損失約105萬人民幣。

BASED

2020年8月14日，流動性挖礦項目Based出現初始化失誤造成的漏洞。

其智能合約在進行部署時，Base官方僅通過調用智能合約中的renounceOwnership函數聲明了所有者，而并沒有對智能合約初始化。

而一名外部攻擊者在Based官方之前，搶先調用initialize函數對智能合約進行了初始化。

YAM

2020年8月12日，YAMFinance官方宣布他們發現了一個智能合約漏洞，并稱該漏洞將生成超出最初設定數量的YAM代幣，在計算totalSupply時，給出了錯誤的結果，這會導致系統保留的代幣數量過多。最終項目損失約500萬人民幣。

NUGS

2020年8月11日，CertiK安全研究團隊發現基于以太坊的代幣項目NUGS出現安全問題。

其智能合約中存在安全漏洞，致使其代幣系統出現巨額通脹。

由于該智能合約的安全漏洞無法被修復，因此最終NUGS項目官方發布公告決定放棄該項目，存入其中的代幣也無法被取出。此次攻擊損失巨大，直接造成該項目失敗。

Opyn

2020年8月4日，DeFi項目Oypn發生攻擊事件。

攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。

攻擊者在向智能合約中發送某一數量的ETH時候，智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致，而不是動態的檢查攻擊者發送的ETH數量是否在每一次的交易之后仍舊等于完成該次期貨買賣所需要的數量。

也就是說，攻擊者可以用一筆ETH進行抵押，并在贖回兩次交易，最終獲得自身發送數量兩倍的ETH最終項目損失約240萬人民幣。

Cashaa

第一次攻擊發生于7月10日北京時間晚6點57分，Cashaa的比特幣錢包之一被盜用并向攻擊者賬戶轉移了1.05977049個BTC。

根據Cashaa報告中描述，攻擊者通過控制受害者電腦，操作受害者在Blockchain.info上的比特幣錢包，向攻擊者賬戶轉移BTC。

第二次攻擊發生于7月11日北京時間凌晨8點10分，Cashaa的總計8個比特幣錢包，共計335.91312085個比特幣被攻擊者通過同樣的手段轉移到同一個地址中。

最終項目損失約2,000萬人民幣。

Balancer

2020年6月29日凌晨2點03分，攻擊者利用從dYdX閃電貸中借到的WETH，大量買進STA代幣，使得STA與其他代幣的兌換價格急劇上升。

然后使用最小量的STA不斷回購WETH，并在每次回購后，利用Balancer的合約漏洞重置其內部STA的數量，以此穩住STA的高價位。

攻擊者不斷利用漏洞，用高價的STA將某一種代幣完全買空，最終用WETH償還閃電貸，并剩余大量STA,WETH，WBTC,LINK和SNX，并通過uniswap將非法所得轉移到自己賬戶中。

繼6月29日凌晨2點CertiK捕獲Balancer攻擊事件后，2020年6月29日20點與23點23分，Balancer項目再次遭到攻擊。

攻擊者從dYdX閃電貸中借到代幣并鑄幣后，通過uniswap閃貸獲得cWBTC和cBAT代幣，然后將借得的代幣在Balancer代幣池中大量交易，從而觸發Compound協議的空投機制，獲得空投的COMP代幣，再使用Balancer有漏洞的gulp()函數更新代幣池數量后，取走所有代幣并歸還閃電貸。

攻擊者相當于利用了Compound協議的金融模型、閃電貸和Balancer代碼漏洞，無中生有了COMP。

兩次攻擊直接導致Balancer損失了約300萬人民幣。

Hegic

2020年4月27日，Hegic項目中由于代碼實現存在錯誤，導致合約中用戶資金被鎖定，無法被任何方法操作。最終項目損失約18萬人民幣。

Lendf.Me

2020年4月19日，Lendf.me項目遭到基于ERC777標準缺陷問題的重入攻擊。最終項目損失約16,200萬人民幣。

Uniswap

2020年4月18日，DeFi項目Uniswap遭到攻擊。

攻擊者利用ERC777可以在同一筆交易中完成代幣兌換的特性，通過其tokensToSend()函數對Uniswap進行重入攻擊。最終Uniswap項目損失共計約150萬人民幣。

總結

從上文的數據統計里可以看出，這23次重大攻擊事件，損失總金額高達約18億人民幣。

這18億人民幣被包括價格預言機操縱、重入攻擊、實現邏輯錯誤、閃電貸攻擊、項目方欺詐、錢包攻擊在內的各種攻擊方式所盜取，讓人防不勝防。

計算機領域中早有統計，平均每1000行代碼中，會有1-25個bug。

也就是說，這個概率的區間是千分之一至百分之二點五。

Tags：NCEANC區塊鏈FINInfluencer DogeYearn2.Finance玩區塊鏈的都是什么人DeFinity

Polygon