首發 | 2020攻擊事件總結：900億人民幣不翼而飛 2021我們如何遠離黑客？_ETH

“如果那東西看上去像鴨子，走起路來也像鴨子，我們就說它是鴨子。”

這句來自某位政客所說的話被許多人奉為圭臬。

如同我們每一個人，很多時候我們對外界釋放出的信息都會再通過外界評價反饋和影響到自身。

這個道理不僅僅應用于某一個特殊領域，相反，它在所有事情上都可以找到痕跡。

區塊鏈發展日久，但對于很多人來說，它依舊是一個暗藏著騙局、跑路、黑客的法外之地。

人們心中的認知很難被其他信息所影響，當然，這也的確需要歸因于目前區塊鏈項目所受的攻擊愈發猛烈。

在鋪天蓋地的黑客事件中，想要扭轉人們對于區塊鏈的不安和抗拒只有依靠提高區塊鏈的安全標準，建立安全健康的區塊鏈生態。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

同理，當整個區塊鏈不再受負面新聞所纏身時，這個“鴨子”也會變成有利的那一只。

經統計，2020年傳統領域的網站及軟件安全率達到了97.5%，其中損失最大的一筆資產僅僅是接近5萬人民幣。

而區塊鏈領域內，智能合約及相關節點的安全率只有89%，且損失往往處于600萬至6,000萬人民幣之間，這是需要幾個大卡車都運不下的天價資產。

首發 | 火幣集團全球業務副總裁：監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日，火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示，對區塊鏈和數字貨幣的監管態度，2019年是重要的一年。在美國，到2019年底，針對加密貨幣和區塊鏈政策有21項法案，這些法案包括稅收問題，監管結構，跟蹤功能和ETF批準，哪些聯邦機構監管數字資產等。歐盟（EU）在2020年1月10日實施了一項新法律，要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士，日本，立陶宛，馬耳他和墨西哥通過法律，要求交易所必須根據KYC和AML準則獲得許可。中國，土耳其，泰國等國家正在計劃自己的中央銀行數字貨幣（CBDC）。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

一次來自于區塊鏈領域的損失資產，也許就是傳統網絡損失資產的千倍以上。

在分析的這23個區塊鏈項目中，其中實現邏輯錯誤所導致的攻擊事件8起，價格預言機操縱事件5起，項目方欺詐事件4起，重入攻擊事件3起，閃電貸攻擊事件2起，錢包攻擊事件1起。

首發 | 劉堯：百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日，由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講，他指出：2020年將是區塊鏈企業落地的元年，為了支持中國區塊鏈的產業落地，百度將區塊鏈進行平臺化戰略升級，依托百度智能云推出天鏈平臺，就是要賦能360行的鏈上業務創新落地。[2019/12/20]

表1：2020年區塊鏈重大事故項目列表

圖一：2020年區塊鏈重大事故項目損失圖

首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊，近日，百度超級鏈聯合百度百科，基于區塊鏈技術創建 “文博藝術鏈”，推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”，百度將與博物館共同推動線上藏品版權的確權與維護，同時探索線上藏品版權數字化交易方式，為合作的博物館提供更全面的服務和更多的權益。據介紹，此項目將分階段進行，一期將完成線上藏品的入鏈確權，為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續，百度還將推動AI與區塊鏈技術在文博領域的結合應用，用來保障上鏈數據與藏品相匹配，為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]

攻擊者通過反復對項目智能合約進行質押和取回操作，觸發其中包含鑄造代幣的操作，對Cover代幣進行無限增發，導致Cover代幣價格崩盤。

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報，截止北京時間6月13日15:50，EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬，占比2.96%；EOS佳能的得票總數為877萬，占比2.87%。此前異軍突起的EOSflytomars暫居第17位，得票總數為630萬，占比2.07%。目前躋身前30名的超級節點競選團隊中，有八個團隊來自中國。[2018/6/13]

此外，攻擊者還mint了價值大約3,990萬人民幣的DAI-ETH LP share，約650萬人民幣的獲利流入了uniswap和sushiswap的LP中。

經過仔細驗證得知這些交易為內部操作，項目擁有者將大量數額代幣轉移到自己的賬戶中。

其所采用的Coinbase價格預言機對DAI價格出現巨大波動，導致約58,250萬人民幣的資產被清算。

攻擊者利用合約中未檢查外部Jar合約是否合法的漏洞進行攻擊。

攻擊者利用合約中mintMultiple()函數中的重入漏洞，增加閃電貸貸來的資金作為杠桿，擴大攻擊收益。項目最終損失約4,500萬人民幣。

攻擊者通過操縱流動性池中代幣數目，利用重置預言機來提高Uniswap LP流動性憑證價格進行攻擊。

攻擊者通過項目中使用Curve價格預言機，通過閃電貸操縱預言機代幣價格計算漏洞進行攻擊。

黑客隨后將AXN代幣在Uniswap交易所中兌換以太幣，重復此過程，直到Uniswap中ETH-AXN交易對的以太幣被耗盡，同時AXN代幣價格降至0。

根據官方報告，計算了攻擊者返還給項目的 1300 萬 USDC 和 11 萬 USDT 之后，總損失超過 2 億人民幣。

2020年9月29日，攻擊者使用腳本程序，通過閃電貸借得初始資金， 利用 Eminence 項目中的聯合曲線（Bonding Curve）模型漏洞，反復購買出售 EMN 和 eAAVE 來獲得收益。項目最終損失約9,800萬人民幣。

項目擁有者通過調用后門函數emergencyWithdraw()將所有的流動性證明取出并轉移至自己擁有的賬戶中，最終項目損失約850萬人民幣。

該漏洞允許任意外部調用者通過調用智能合約函數，無視受害用戶債務中的代幣數目，強行結算受害用戶的債務，并將通過結算操作所得的收益轉入到自己的收款地址。

其智能合約在進行部署時，Base官方僅通過調用智能合約中的 renounceOwnership 函數聲明了所有者，而并沒有對智能合約初始化。

2020年8 月 12 日，YAM Finance 官方宣布他們發現了一個智能合約漏洞，并稱該漏洞將生成超出最初設定數量的 YAM 代幣，在計算 totalSupply 時，給出了錯誤的結果，這會導致系統保留的代幣數量過多。最終項目損失約500萬人民幣。

其智能合約中存在安全漏洞，致使其代幣系統出現巨額通脹。

攻擊產生的原因是Opyn在智能合約oToken中的exercise函數出現漏洞。

攻擊者在向智能合約中發送某一數量的ETH時候，智能合約僅僅檢查了該ETH的數量是否與完成該次期貨買賣需要的數量一致，而不是動態的檢查攻擊者發送的ETH數量是否在每一次的交易之后仍舊等于完成該次期貨買賣所需要的數量。

根據Cashaa報告中描述，攻擊者通過控制受害者電腦，操作受害者在Blockchain.info上的比特幣錢包，向攻擊者賬戶轉移BTC。

然后使用最小量的STA（數值為1e-18）不斷回購WETH，并在每次回購后，利用Balancer的合約漏洞重置其內部STA的數量（數值為1e-18），以此穩住STA的高價位。

攻擊者不斷利用漏洞，用高價的STA將某一種代幣完全買空（WETH，WBTC, LINK和SNX），最終用WETH償還閃電貸，并剩余大量STA,WETH，WBTC, LINK和SNX，并通過uniswap將非法所得轉移到自己賬戶中。

繼6月29日凌晨2點CertiK捕獲Balancer攻擊事件后，2020年6月29日20點與23點23分，Balancer項目再次遭到攻擊。

攻擊者從dYdX閃電貸中借到代幣并鑄幣后，通過uniswap閃貸獲得cWBTC和cBAT代幣，然后將借得的代幣在Balancer代幣池中大量交易，從而觸發Compound協議的空投機制，獲得空投的COMP代幣，再使用Balancer有漏洞的gulp()函數更新代幣池數量后，取走所有代幣并歸還閃電貸。

攻擊者相當于利用了Compound協議的金融模型、閃電貸和Balancer代碼漏洞，無中生有了COMP。

2020年4月27日，Hegic項目中由于代碼實現存在錯誤，導致合約中用戶資金被鎖定，無法被任何方法操作。最終項目損失約18萬人民幣。

2020年4月19日，Lendf.me項目遭到基于ERC777標準缺陷問題的重入攻擊。最終項目損失約16,200萬人民幣。

2020年4月18日，DeFi項目Uniswap遭到攻擊。

從上文的數據統計里可以看出，這23次重大攻擊事件，損失總金額高達約18億人民幣。

計算機領域中早有統計，平均每1000行代碼中，會有1-25個bug。

Tags：區塊鏈ETHNCESWAP區塊鏈游戲ETHFINoolongfinanceMjackSwap

抹茶交易所