区块链:区块链安全生态2021年大盘点典型安全事件数量超332起_DEF

作者：

时间：1900/1/1 0:00:00

2021年度盘点

随着2021年区块链行业迎来新的发展时期，区块链作为“新基建”的重要组成部分，与实体经济和数字经济加速融合，稳步推进，区块链应用价值得到进一步凸显。与此同时，各类区块链安全风险也伴随着技术的大规模应用不断升级。

在过去的2021年，区块链面对了更严峻的安全挑战，区块链生态领域发生了不少大规模和令人震惊的网络攻击事件。今天，跟着我们一起来回顾2021年区块链安全生态都发生了什么。

2021年区块链安全生态概览

根据成都链安[链必应-区块链安全态势感知平台]监测到的数据不完全统计，截止发稿前，2021年整个区块链生态发生的相关典型安全事件数量超332起，相比于2020年的270起，增幅超22%；2021年，整个区块链生态造成的经济损失超153亿美金，较2020年增幅超26%。

值得注意的是，据成都链安安全团队历年数据统计，2018年区块链生态经济损失超20亿美元，2019年区块链生态经济损失超60亿美元；2020年区块链生态经济损失超121亿美元，加上2021年超153亿美元的经济损失，可见这几年来，区块链生态经济损失越发严峻。

2010年-2021年区块链生态经济损失

自2016年以来，区块链生态经济损失逐年增多，源于近几年来区块链行业进入到一个高速发展的阶段，伴随着区块链底层技术逐步走向成熟，区块链应用价值愈加获得认可，区块链生态所承载的经济效益逐年提升，随之而来的安全风险也愈发严峻。

全球加密资产普及程度提升且总市值不断突破历史新高，黑客与不法分子的犯罪行为随之更加猖獗。

反映问题方面，其一，整个区块链生态当下仍缺乏普适的安全标准和安全规范，行业乱象难以得到有效遏制；其二，区块底层技术在应用层、合约层、网络层、共识层分别仍然存在着各种不容忽视的安全风险；其三，区块链生态的安全监管进程亟待推进，如何实现高效可行的安全监管，是整个行业需要重点攻坚的难题所在。

区块链技术提供商XDC Network获LDA Capital 5000万美元投资承诺:10月4日消息，区块链技术提供商XDC Network宣布已获得另类投资集团LDA Capital Limited总计5000万美元的投资承诺，以加速在XDC生态系统中扩展和开发Layer 2项目并促进网络采用、以及在现实世界中发挥更大的实际效用。

据悉，XDC网络于2019年推出，是一个与EVM（以太坊虚拟机）兼容的碳中和企业级混合区块链，通过使用XDPoS技术满足全球金融机构、零售用户和企业家对快速、安全、去中心化网络产品日益增长的需求。（雅虎财经）[2022/10/4 18:38:53]

除区块链技术架构本身所存在的安全风险之外，其诸如去中心化、难篡改、匿名等“基因特性”也为区块链安全监管层面带来了不容忽视的挑战。具体表现为三个方面。

一是区块链技术无国界限制，区块链网络节点可存在多个国家，链上产生的异常行为追踪，引发管辖权限困境、责任认定困境等问题。

二是区块链的强隐秘性，无疑增加了安全事件和犯罪行为的追踪溯源难度。

三是区块链的防篡改性，为有害信息、犯罪行为等形成天然庇护，向行业安全监管提出挑战。

2021年区块链安全事件全画像

典型安全事件数量

根据成都链安[链必应-区块链安全态势感知平台]监测到的数据不完全统计，截止发稿前，2021年整个区块链生态发生的相关典型安全事件数量超332起，安全事件爆发峰值在8月，6、7月安全形势也较严峻。

典型安全事件类型占比

安全事件主要集中在交易所、DeFi、跑路/加密局、勒索软件/挖矿木马、暗网、其他等方面，其中DeFi安全事件101起、跑路/加密局95起，成为年度主要的安全事件来源。

北京市首台运用区块链等新技术的政务服务终端亮相:近日，北京市首台运用区块链等新技术的政务服务终端亮相海淀区政务服务中心，为办事企业和群众提供自助政务服务。政务服务终端技术维护人员表示，目前，该终端还在测试阶段，可办理的业务有农药经营许可、补办护照、护士执业注册首注、变更注册等，未来将会逐步开通“区块链专区”里的业务，真正让办事企业和群众享受到便民服务。由于技术优势，区块链拉取材料数据的时间颇为迅速。只需短短几秒，便可在线查看拉取过来的资料。（证券日报）[2020/9/3]

2021年典型安全事件分布类型

典型安全事件导致的经济损失金额

据成都链安[链必应-区块链安全态势感知平台]监测数据不完全统计，2021年安全事件造成的经济损失超153亿美金，较2020年的121亿美金趋势依然走高。其中跑路/加密局导致的经济损失形式最为严峻。

2021各类型典型安全事件造成的经济损失金额

安全风险分析及应对策略

作为多种技术整合的一种全新的数据记录、存储和表达的方式，区块链技术能够在不可信的竞争环境中低成本建立信任机制，同时又具备一系列加密算法和数字签名等方式以确保交易安全，并形成一种随时间戳排序的链式结构来保证数据不被篡改。可尽管如此，区块链既是坚韧的安全捍卫者，同时也是脆弱的被攻击对象。

DeFi生态方面

由于DeFi热潮的兴起，该领域也自然成为了2021年黑客“大展拳脚”的重点对象。

建议

项目上线前，DeFi项目方应做好前置预防工作，寻求第三方安全公司进行严格的安全审计，引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案，完善安全防护机制。作为用户，在选择项目时，应留意该项目是否经过第三方安全公司的安全审计，是否具备权威的安全审计报告，切不可掉以轻心。

民建中央：建议明确区块链产业规划，加强政策引导:总书记强调，要把区块链作为核心技术自主创新的重要突破口，加快推动区块链技术和产业创新发展。鼓励引导区块链产业健康发展，抢占全球产业发展高地，对于我国推动传统产业转型升级、加快数字经济发展、推进治理体系和治理能力现代化具有重要意义。国家网信办制定了《区块链信息服务管理规定》，各地也出台相关政策，支持区块链产业发展。但我国区块链产业发展还存在目标定位不够清晰、核心技术研发不足、行业标准有待规范、行业监管薄弱等问题，亟需解决。为此，建议：

1.明确产业规划，加强政策引导。

2.加强示范应用，打造区块链“中国品牌”。

3.加强区块链底层技术研究，夯实产业基础。

4.建立区块链产品测试中心，确立产业标准。

5.加强区块链行业自律，不断探索监管模式。（中国统一战线新闻网）[2020/5/18]

跑路/加密局方面

2021年跑路/加密局方面所造成的经济损失远超于黑客的攻击行为和盗窃行为。波及人数多、遍布区域广、涉案金额高等原因推波助澜，进而导致该领域安全事件高发，经济损失严重。

作为用户和投资者，应提高警惕，谨慎甄别投资产品和投资项目，不盲从，不跟风。加强自身安全意识和防意识，谨慎分辨网络上的有关消息，切莫掉进圈套。行业各方从业者应积极配合相关部门，推动整个区块链生态安全监管的进程建设。

勒索软件/挖矿木马方面

勒索软件方面，黑客一般会通过钓鱼攻击、病软件、漏洞攻击锁定受害人的网络设备或加密重要文件，以此勒索指定加密资产；而挖矿木马方面，则会利用挖矿木马和蠕虫来完成大量计算以获取加密资产，在计算过程中，计算机大量的CPU、GPU资源被占用，将导致计算机变得异常卡慢，干扰正常系统运行。

应避免使用弱口令密码，同一个密码不能重复使用。日常工作中应加强安全防护，不要轻信或下载来源不明的链接或文件，谨慎打开来历不明的邮件或网址。联合全球力量，严厉打击勒索软件/挖矿木马，推动行业安全监管进程建设。

暗网方面

现场 | 中国电信2025实验室主任梁伟：解决硬链接问题是推进区块链应用落地的关键步骤:金色财经现场报道，今日，2018中国国际区块链产业融合峰会暨区块链产品与应用展在石家庄举行，中国电信2025实验室主任、博士后梁伟提到，互联网具备开放、共享、去中心化、自下而上、多元价值等特点，区块链则是与互联网匹配的高效可靠的价值传输系统。区块链+行业的过程首先需要行业通过互联网技术数字化，解决硬链接问题是推进区块链应用落地的关键步骤。他认为，与大数据、人工智能技术结合，才能让区块链＋行业获得更广阔的发展，区块链＋最终建立的是生态系统，一张柔性的网络体系，四通八达的价值传输网络，实现跨链融合。运营商可以在身份认证、共享征信等方面引入区块链技术，但区块链目前还处于社会实验阶段。[2018/9/21]

2021年暗网方面依然是网络犯罪活动频发的不法之地，犯罪分子为逃避有关部门的监管和追踪，基于加密资产的匿名特性，多会选择以比特币、莱特币等作为交易媒介。

作为用户，应正确使用互联网，规范网络道德。作为网络安全公司，需加强暗网治理有关技术，协助相关部门参与到打击暗网和黑灰产业链的专项行动中。加强国际合作，提升全球治理和管理暗网的整体实力。

交易所方面

交易所是距离用户资产最近的地方，用于海量资产的管理存储及撮合交易，因此一直以来也是黑客首当其冲的攻击目标。

从交易所应建立完善的安全风控应急预案，以及时响应并处置各类黑客攻击事件的发生。交易所应建立全面的安全防护机制，加固平台自身安全架构，并适时对平台进行来自第三方安全公司的整体安全测试。加强对内部员工和用户的安全意识普及，避免出现监守自盗的情况。

其它方面

其他方面，诸如信息泄露、隐私保护、私钥窃取、非法等各领域所发生的安全事件依然不容忽视。同时，随着区块链技术与多个产业领域实现大规模融合及应用，未来各类型的安全事件将呈高发态势，值得重点关注，需及时搭建起具备针对性的安全防御机制。

建议

众安科技CFO邓锐民：众安正在搭建区块链平台:6月4日，在线保险公司众安科技CFO邓锐民接受采访时表示，众安在搭建区块链、大数据和云系统，并希望将他们销售给其他保险公司。据悉，众安科技是由蚂蚁金服、腾讯、中国平安等发起设立的众安保险旗下的全资科技子公司,专注于区块链、人工智能、大数据、云计算等前沿技术研究。[2018/6/8]

行业各方从业者在关注热点领域安全事件的同时，也需兼顾其他方面的安全风险。在夯实传统安全、网络安全的基础上，积极应对区块链生态各领域的安全挑战。加强对区块链安全技术的投入与研究，建立覆盖区块链生态全生命周期的安全解决方案。

2021年区块链十大安全事件盘点

根据事件的损失金额大小，一起来回顾2021年十大安全事件。

?No1.?

POLY NETWORK：6.11亿美元?

时间：2021 年 8 月 10日

攻击手法：合约权限管理逻辑存在问题

8月10日晚，链必安-区块链安全态势感知平台（Beosin-Eagle Eye）舆情监测显示，跨链协议Poly Network 遭受攻击，Ethereum、BinanceChain、Polygon3条链上近6亿美元资金被盗。

经过分析，成都链安技术团队发现攻击者利用EthCrossChainManager合约中存在的逻辑缺陷，通过该合约调用EthCrossChainData合约中putCurEpochConPubKeyBytes函数更改Keeper为自有地址，然后使用该地址对提取代币的交易进行签名，从而将LockProxy合约中的大量代币套取出来。

?No2.?

BITMART：1.96亿美元?

时间：2021?年?12月4日

攻击手法：热钱包私钥被盗

10月4日，加密货币交易平台Bitmart遭黑客窃取1.96亿美元，该平台官方声明了黑客入侵事件，表示这是一次大规模安全攻击事件。其中约1亿美元来自以太坊区块链的各种加密货币，9600万美元来自币安智能链上的货币。后来，BitMart创始人兼CEO Sheldon Xia在社交媒体表示，BitMart已完成初步安全检查并确定受影响的资产，主要是由于两个热钱包被盗私钥造成的。

?No3.?

?Compound：1.47亿美元??

时间：2021?年9月30日

攻击手法：代币分发的速率初始设定出错

9 月 30 日，头部去中心化借贷协议Compound于官推表示，在通过并执行「治理提案 062」后，升级合约内发错了一个 BUG，致使 COMP 代币出现了异常分发情况。错误分配了大约 8000 万美元的超额 COMP，加上滴注后已经索赔的 2200 万美元以及处于风险中的 4500 万美元，那么漏洞总计为 1.47 亿美元。尽管这更像是“银行错误”而不是漏洞利用，但 Compound 在这个的排行榜上占有一席之地是公平的。

?No4.?

?Vulcan Forged：1.45亿美元?

时间：2021年12月13日

攻击手法：钱包造入侵

12月13日消息，据Vulcan Forged官方推特称，96 个持有 PYR 的钱包遭到入侵。超过 450 万 PYR 已被盗。随后官方表示：1. 我们无能为力，他们无法从 PK 被盗且资金未转移的钱包中取出资金。2. 我们正在转向一个完整的去中心化钱包设置。3.所有被盗的PYR将由我们的国库代替。12月14日，Vulcan Forged在此前遭遇黑客攻击后已向全部受损用户赔偿价值1.45亿美元的Token PYR，所有退款均来自Vulcan Forged财库。

?No5.?

?Cream Finance：1.3亿美元?

时间：10月27日

攻击手法：闪电贷攻击

DeFi借贷协议Cream Finance再次遭受攻击，损失达1.3亿美元。被盗的资金主要是CreamLP代币和其他ERC-20代币。关于本次攻击，成都链安技术团队第一时间进行了事件分析发现，本次攻击是典型的闪电贷进行价格操作，通过闪电贷获取大量资金后，利用合约设计缺陷，大幅改变价格导致获利。Cream的预言机价格计算使用与yUSD的totalAsset有关。向yUSD合约直接转账时，不会更新Debt，从而使totalAsset增大，从而使得yUSD价格变高，可以从Cream中借出更多的资金。