区块链:一文揭秘2021年区块链黑客攻击频发的原因_区块链工程专业学什么女生好就业

区块链是一片鼓励创新的热土，在某种角度上因其安全风险也成为了滋生犯罪的温床。

当年众筹超过1.5亿美金的TheDAO被黑客盗币后，进行了硬分叉操作，由此产生了如今的以太坊。

自区块链创世以后，各种针对交易所、钱包以及Dapp的黑客盗币事件频发。

那么，2021年区块链安全领域又经历了何种波澜，后续的处理工作又是如何的呢？

2021年区块链黑客盗币事件整理

由于2021年市场情绪热烈，黑客盗币的金额打破了往年的历史记录。

截至三季度，统计一共有32起黑客入侵事件导致了15亿美金的资产被盗，而去年全年这个数字是1.8亿美金。

DeFi协议

UraniumFinance——逻辑漏洞

2021年4月份流动性挖矿协议Uranium受到了攻击，被攻击的智能合约是MasterChief的修改版本。

印度财政部长：加密货币监管已成为G20财政部长和央行行长的主要优先事项:金色财经报道，印度联邦财政部长 Nirmala Sitharaman评论说，加密货币监管已成为 G20 国家的几位财政部长和央行行长的主要优先事项。她评论说，在今年的峰会期间，加密监管很可能成为许多人会讨论的热门话题。

Sitharaman 还评论说，加密监管可能需要集体努力。有许多国家（例如美国和英国）正在努力实施他们自己的加密货币监管计划，虽然这一切都很好，并且在她看来可能是向前迈出的积极一步，但她认为加密货币监管要真正有效和安全，每个发达国家都需要介入并参与全球监管倡议。[2023/3/7 12:46:20]

其中，用于执行“质押奖励”的代码出现了逻辑漏洞，使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子，并将它换成了价值130万美元的BUSD以及BNB。

CreamFinance——预言机操纵

体育用品公司REEBOK提交多项元宇宙商标申请:金色财经报道，美国商标律师Mike Kondoudis在社交媒体上称，体育用品公司REEBOK正在加入Nike在元宇宙的行列，该公司已提交了2份商标申请，涵盖NFT支持的媒体、虚拟鞋类、头饰、运动设备、虚拟商品的零售店以及NFT支持商品的在线市场。[2022/11/24 8:02:01]

10月27日，CreamFinance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币，同时通过操纵多资产流动性池来操纵预言机对yUSD的报价。

在提高了yUSD的价格后，攻击者的yUSD价格被人为提高，从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

BadgerDAO——前端恶意代码注入

攻击者获取了项目方在Cloudflare后台的APIKey，以此在网站的前端代码里面注入一系列的恶意代码。

Web3数字初创公司Yoom完成1500万美元融资:10月25日消息，Web3 数字初创公司 Yoom 宣布完成 1500 万美元新一轮融资，Interscope Records 和 Beats Electronics 联合创始人 Jimmy Iovine、格莱美奖获奖制作人、歌手 Finneas O'Connell ；勒布朗·詹姆斯旗下公司 SpringHill 首席执行官 Maverick Carter、以及 Main Street Advisors 创始人兼首席执行官 Paul Wachter 等参投。

Yoom 的技术允许为元宇宙和 Web3 创建逼真的数字内容和体验，前身为 Web3 音乐内容创作初创公司 Tetavi，截止目前 Yoom 融资总额已达 5000 万美元。（Calcalistech）[2022/10/26 16:38:50]

当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易，就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。

Lido社区新提案提议提高Aave上wMATIC储备的资本效率:10月25日消息，流动性质押协议Lido发布社区提案，计划提高Aave上wMATIC储备的资本效率，降低借贷成本，以提高stMATIC的利用率。目前wMATIC储备当前利用率为42.5%，预计将提高至72.5%。目前该提案已获得99.99%的投票支持率，投票将于10月29日结束。[2022/10/25 16:37:58]

Anyswap——后台签名

出事是因为后台签名时采用了不恰当的值，攻击者通过两笔交易来推导出了它签名的私钥。

钱包——钓鱼信息

举个比特币钱包Electrum的例子，当用户旧版本并连接到攻击者的节点时，攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时，黑客便轻松掌握了用户的私钥。

交易所

不同于项目方一旦出事，人们可以通过链上公开的交易记录进行分析，交易所出事只有内部人员知道发生了什么，那些信息也不会被公开。

消息人士：三箭资本持有Deribit股份仅为2500万美元，而非5亿美元:7月20日消息，对于三箭资本（3AC）破产的法院文件可能高估了该公司剩余资产的价值，特别是其对加密期权交易所Deribit的敞口。由清算人RussellCrumpler撰写并提交给英属维尔京群岛法院的1,100页宣誓书中，3AC被描述为“资不抵债”，需要完全“清盘”。这些文件还详细介绍了3AC的剩余资产，其中包括GBTC、BTC、AVAX和NEAR的持有量，以及Deribit的股份。目前索赔总额为28亿美元。根据宣誓书，3AC持有Deribit股票价值5亿美元，或3AC剩余资产的一半。然而，一位知情人士表示，3AC持有的Deribit股票价值接近2,500万美元，而不是5亿美元。3AC并不直接拥有Deribit的股份，而是拥有名为3ACQCPDeribitSPV的新加坡特殊目的公司(SPV)的股份。

据悉，SPV的最大股东是3AC和QCP Soteria Node，后者是一家控股公司，其投资组合包括Algorand和PundiX。SPV的董事包括QCP Soteria Node创始人SherwinLee、QCPCapital联合创始人DariusSit和三箭资本联合创始人SuZhu。（Cointelegraph）[2022/7/20 2:25:06]

一般交易所出事来自于这几个方面：交易所的服务器被黑了，攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击，然后攻击者通过工作人员的账号访问到内部系统，接触到了热钱包的私钥等等。

资产被盗后的处理方式

关于资产被盗后的处理方式，可以从三个角度——项目方、交易所以及第三方安全机构来分析。

项目方一般会采取这几个解决方式

及时暂停智能合约中的通证转移和交易服务，对于不能暂停的合约，查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务，避免合约被再次攻击。

同时向社区发出警告，避免新的投资者把财产放到有漏洞的合约里面。

联系第三方安全机构，请求帮助分析漏洞产生的原因，并合作共同修复漏洞。

对于被盗资金的去向——假如合约里面存在黑名单功能，第一时间屏蔽黑客地址，防止黑客进行资金转移。

和安全机构和执法部门合作追回被盗的财产，同时提出合理的补偿方案以减少用户的损失。

从交易所的角度来说，有两种情况

假如交易所本身被盗，需第一时间暂停所有的提现充值功能，把损失降到最少。交易所保留系统里面的所有信息以便日后做分析使用，联系安全机构或者执法部门，协助进行财产追踪。

假如某个项目被黑的话，交易所可以监控黑客相关链上地址，如果监测到最新充值的关联地址，则立即冻结该账户。

安全机构则需要做到以下几点

在事件发生之后分析漏洞产生的原因，并修复漏洞。

在项目重新上线之前提供安全审计服务，以减少项目重新上线之后的安全风险。

发布社区警告，同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞，可以通过保密渠道发出警告。

通过链上技术手段来追踪资金流向以及分析链下信息，协助执法部门抓到黑客。

那么，为何安全机构对漏洞已进行层层筛查，还会被黑客有机可趁？

事实是，对于某个项目的审计工作只能持续数个星期，而黑客的时间和精力是无限的。他们一旦瞄准某类项目，便会有比审计公司多得多的时间进行研究并展开行动。

今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。

其次，跨链桥和其他DeFi项目的不同的点是：普通DeFi项目几乎100%的逻辑是在智能合约上实现的，而跨链桥是web2和web3的结合，是智能合约和传统后台的结合。

非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。

简而言之，DeFi协议除了自身的代码需固若金汤，因其需与其他协议交互的可组合型，业务逻辑也要严丝合缝。

最重要的是，DeFi协议需借助第三方服务，而这些第三方服务很有可能面临外部操纵的风险，这也是产品受到黑客攻击的主要原因。

未来区块链安全展望

未来随着技术的发展，区块链行业会变得日益安全吗？

理论上是的。

先说底层技术，首先编写智能合约的Solidity语言慢慢变成熟。

在最近的Solidity版本8.0之后，之前比较常见的一种漏洞叫做integeroverflow便销声匿迹了。

其次，区块链业内对于安全的重视度正在大幅增加。

最后，安全的开源代码库也会提高安全系数。

OpenZeppelin代码库是由专业人员写的一个开源的代码库，它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能，便能实现从零开始写代码。

另外，现在有很多安全工具会对代码进行检查——它可以帮助项目方在没有联系安全公司的情况下，找到一些潜在的漏洞，从而提高代码的安全性。

例如CertiKSkynet天网扫描系统，它作为一个24*7全天候运行的安全情报引擎，可为智能合约的链上部署提供多维度和实时的透明安全监控并24小时运行监控和危险警报提示。

除此之外，例如公开透明展示安全数据的安全排行榜以及项目预警系统也可为除项目方外的投资人提供安全见解。所有投资者都可以通过这个这个不受限制的安全洞察数据库查询所需要的安全数据信息。

随着越来越多的技术人员加入到这个领域来，区块链行业的安全壁垒会不断被加固。

总而言之，DeFi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。DeFi行业在安全性上达到无懈可击，是这一赛道项目必须实现的目标——尤其对中心化严重的跨链赛道而言。

来源：金色财经

标签：区块链DEFIDERIBIT区块链工程专业学什么女生好就业DefiCliqDark Horse Derivativesbitvenus交易所

以太坊价格今日行情热门资讯