EFI:2021年區塊鏈安全年度總結_NBS價格

2021 年對于區塊鏈來說是一個巨大的里程碑，無論是對于用戶量還是對于機構接受程度。鏈資產比重都遠超歷史上的任何其他時期。

與此同時，興起了許多多元化的事物如號稱終極未來的元宇宙、邊玩邊賺的 GameFi 以及鏈鏈互信的跨鏈等。而各類傳統 Defi Dapp 也加速了步伐迎來了全新的升級，如 Uniswap V3, Aave V3 等新版協議問世。

種種這些，不僅為區塊鏈生態帶來了活力，同時也帶來了全新的安全挑戰。現在請跟隨 知道創宇區塊鏈安全實驗室 的視角一起回顧2021區塊鏈安全生態以及各月份的典型安全事件。

據 知道創宇區塊鏈實驗室[被黑事件檔案庫]不完全統計數據，截止本文發稿前，2021 年區塊鏈可供查詢的相關安全事件為 312 起，直接損失超 100 億美元。

對比往年數據來說依然是一個令人心悸的走高態勢。蓬勃發展的多鏈系統，鏈鏈互信的跨鏈需求，新鏈上的花式仿盤，都為這一龐大的數字做出了相應的"貢獻"。

在安全事件方面我們使用了6個緯度來進行統計，分別是 交易所、DeFi、跑路、錢包、公鏈、其他。其中以DeFi安全尤為突出達到了 141 起。

該原因主要在于區塊鏈底層技術愈加趨向成熟，但合約實現規范還沒有充分完備化和體系化，審計還沒有被足夠的落實。尤其合約具備著直接擔當著資金載體和運行邏輯的功能，這使得越來越多黑客將目標瞄向該領域。

以太坊預計將在2022年Q2進行合并，合并后首要任務為解鎖Staking合約中鎖定的ETH:11月7日消息，Coinbase加密工程師yuga發推總結11月6日的以太坊社區電話會議，此次會議關鍵信息包括：合并預計將在2022年第二季度左右進行（可能會發生變化）；合并期間預計不會出現停機；這是一個“共識熱交換”；合并將以太坊業務邏輯分為兩層，共識層是驗證節點對區塊、最終性等進行投票，節點客戶端包括Prysmatic Labs和Teku，執行層是節點構建區塊、驗證交易等，客戶端包括Geth和Nethermind；合并后節點運營商除了現有的執行節點外，還必須提出一個共識節點；在Staking合約中鎖定的ETH在合并后將保持鎖定狀態。以太坊社區在合并后的首要任務是解鎖質押的ETH。

此前消息，以太坊開發者會議：基于平均區塊時間進行硬編碼假設的合約將受到合并影響。[2021/11/7 6:36:27]

另一方面，攻擊者利用閃電貸和鏈上監控愈發成熟。使得攻擊面得以被充分暴露，同時各個項目方對于協議的實現也存在著巨大的差異，這些種種，無疑皆助長了該攻擊的廣泛性和頻繁性。

在資金損失方面則是跑路/騙局尤為嚴重，損失總計超 64 億美元。相較于 DeFi 安全事件的多發性來說，跑路/騙局對人們造成的經濟損失更加明顯。

跑路的方式由于 Owner 權限過大、合約可升級、DAO 比例操控等等難以避免。同時由于區塊鏈的不可追溯性導致該行為風險變得非常的低，甚至有項目方直接在群組公開宣告自己跑路的行徑，導致大量用戶失去信心。

2020減半幣種行情播報:金色財經數據顯示，11個減產幣種9漲2跌。漲幅幅前三為：ZEC（41.0608美元，+6.52%）、XZC（3.6545美元，+2.87%）、TRUE（1.9037美元，+2.69%）；下跌幣種為：BSV（194.031美元，-0.41%）、BCD（0.5235美元，-0.68%）。此外，比特幣現報7092.72美元，24h漲幅約為0.25%。[2020/4/18]

無論是交易所清退詐騙、鏈上蜜罐、假錢包、轉賬釣魚，花樣眾多的攻擊方式也為鏈安全帶來了新的挑戰。當然，這不僅僅應該完全依賴安全公司，更多的還應該寄希望于群體安全意識提升的落地。

關鍵詞：權限控制，手續費

1月27日，SushiSwap 因收取手續費的函數存在權限控制缺陷，被黑客利用操控了 DIGG/WETH 交易對的滑點，從而套取了 WBTC/DIGG 交易對的手續費。

安全月度風險評估：低

月度評價：新年伊始，但不應該是新漏洞的開始

關鍵詞：閃電貸，無限授權

Yearn Finance 被攻擊，黑客利用閃電貸操控 3pool 代幣平衡，并通過y Dai保險庫放大差異，獲利 280 萬美元，而保險庫損失 超1100 萬美元。

以太坊協議組合工具 Furucombo 智能合約被爆出存在請求授權權限過高問題，黑客可通過向 Furucombo 代理添加攻擊合約，從而獲得影響用戶賬戶的權限，該漏洞影響超 1400 萬美元。

2020減半幣種行情播報:金色財經數據顯示，11個減產幣種全線上漲。漲幅幅前五為，XZC（3.55美元，+11.47%）、ZEC（38.54美元，+10.79%）、BCH（233.39美元，+10.25%）、DASH（9.77美元，+9.77%）、TRUE（0.26美元，+8.74%）[2020/4/17]

安全月度風險評估：中

月度評價：同類型漏洞相繼爆發，需做好安全預警

關鍵詞：雙花交易，錯誤鑄幣，權限控制

去中心化交易所 DODO 因未對init進行權限控制，導致黑客在進行閃電貸歸還操作時通過init函數將需要歸還的代幣修改為自己提前加入pool的垃圾代幣，從而規避校驗以次充好，損失超 200 萬美元。

Paid Network 鑄幣功能存在漏洞，被利用鑄造超 6000 萬枚PAID代幣。

Filecoin 由于節點特性出現“雙花交易”漏洞。

安全月度風險評估：高

月度評價：漏洞類型花樣百出，但核心都是資金安全

關鍵詞：重入攻擊，協議兼容性

Uniswap 上的 imBTC 池遭到黑客攻擊，漏洞原因是 Uniswap 與 ERC777 協議出現兼容性問題，當交易產生時，ERC777 中的迭代調用 tokensToSend 可以被用來實現重入攻擊，損失超 30 萬美元。

月度評價：經典漏洞以全新方式體現，說明安全理念并不會停滯，需要時刻進步

關鍵詞：重入攻擊，協議沖突，滑點，閃電貸

分析 | 2020年，區塊鏈在印度的前景似乎很好:印度國家軟件和服務公司協會（Nasscom）發布的一份報告指出，在印度，超過50%的區塊鏈項目涉及著不同行業的初創企業。盡管在2019年區塊鏈領域的56億美元風險投資中，印度僅占0.2%的份額，但這一趨勢正在升溫。根據同一份報告，印度公共部門正在采取40多項區塊鏈倡議。到2024年，全球區塊鏈市場預計將達到200億美元。盡管在印度的起步階段有所放緩，但2020年，區塊鏈在印度的前景似乎很好。（Analytics India Mag）[2020/2/11]

合成資產協議 Spartan Protocol 遭到閃電貸攻擊，由于添加/移除流動性存在滑點修正機制的差別導致套利，損失 3050萬 美元

機槍池項目 Value DeFi 由于協議組合存在的沖突隱患遭到攻擊，損失 1000 萬美元，2 天后再次遭到攻擊，損失 1100 萬美元；

PancakeBunny 遭到閃電貸攻擊，由于 LP 代幣價格計算問題導致套利，損失約 4500 萬美元；

BurgerSwap 遭到閃電貸攻擊，由于重入漏洞和架構問題導致套利，損失約 330 萬美元；

月度評價：本月是閃電貸攻擊多發月份，造成的損害也及其重大，所以必須不放過任意可能存在漏洞的細節，避免無法挽回的結果。

關鍵詞：薅羊毛，錯誤變量，address(this)，閃電貸

PancakeBunny 項目仿盤 PancakeHunny 項目遭遇黑客攻擊，主要漏洞原因在于mintFor函數錯誤地使用合約余額作為參數，且兌換 HunnyToken 使用的固定參數，導致套利可行。

聲音 | Tim Draper：到2022年或2023年，比特幣將達到單枚25萬美元:據Ambcrypto消息，美國風險投資家Tim Draper最近發表分析文章指出，到2022年或2023年，比特幣將達到單枚25萬美元。期間比特幣的價格將經歷一系列波動，但會逐漸接近這個目標。他同時認為，因為高額的手續費用銀行和信用卡機構最終將會倒閉。銀行目前正試圖聯合起來擺脫比特幣，但科技會贏得所有的戰爭。他同時強調比特幣從未遭到黑客攻擊，但銀行一直受到黑客攻擊，比特幣將是最好的安全保障。[2019/7/21]

以太坊 DeFi 項目 Alchemix 的 alETH 合約出現安全問題，由于部署腳本錯誤的創建 vault 值并在調用中使用了錯誤的索引，導致用戶獎勵超發

BSC 鏈上DeFi協議 xWin Finance 遭到閃電貸攻擊，合約未對獎勵推薦人地址做校驗，導致同一地址推薦人獎勵可累計。

高月度評價：本月閃電貸攻擊依然多發，其提醒著控制變量值得反復審計。

關鍵詞：私鑰，雙花攻擊，tx.origin，邏輯漏洞

去中心化跨鏈交易協議 Anyswap 遭到攻擊，漏洞原因在于其 V3 路由器 MPC 帳戶下存在兩個 v3 router 交易，這兩個交易具有相同的 R 值簽名，攻擊者可以反推出 MPC 賬戶的私鑰，損失約800萬美元。

BSV 網絡遭受惡意攻擊，造成多個區塊重組，攻擊者借此進行了雙花攻擊。

去中心化跨鏈交易協議 THORChain 遭受多次攻擊，因其代幣特性 tx.origin 可被用做釣魚，損失約 2500 萬美元。

收益耕作協議 PolyYeld Finance 遭受攻擊，因其轉賬時存在實際到賬少于轉出的缺陷，被黑客利用控制了 MasterChef 合約中代幣，實現超額獎勵。

安全月度風險評估：中高

月度評價：本月存在各類型的邏輯漏洞，涉及私鑰、轉賬已經功能特性等，需做更全面的考慮。

關鍵詞：年度損失之最，重入攻擊，同類型協議攻擊，閃電貸

以太坊上DeFi 協議 Popsicle Finance 遭遇閃電貸襲擊，漏洞原因在于 PLP 池合約對手續費獎勵的計算存在缺陷，損失 2,070 萬 美元；

跨鏈協議 Poly Network 遭到攻擊，由于函數缺陷導致keeper可被修改，這次攻擊被稱為年度最大黑客事件，損失約 6.1 億美元；

BSC 鏈上DeFi 項目 Dot.Finance 遭受閃電貸攻擊，這次攻擊屬于 PancakeBunny 同類型協議攻擊，損失近 43 萬美元，迄今為止，此類攻擊已造成損失超 5,000 萬美元；

以太坊上的 DeFi 協議 Cream Finance 遭遇重入漏洞襲擊，損失超 1800 萬美元；

月度評價：本月各類攻擊損失都十分巨大，還有著堪稱全年損失之最的Poly Network攻擊，該月份攻擊不僅影響到新興的跨鏈項目也對同類型的協議敲響警鐘，這份影響持續著整個區塊鏈安全生態。

關鍵詞：初始化攻擊，恒定乘積校驗，預言機操控，閃電貸

NFT 賽馬項目 DeRac 被攻擊，其漏洞原理是：Vesting 合約 未進行 init 未初始化保護，從而讓黑客初始化了 init 中他想要的參數，最后通過緊急提款函數提取了合約資金，損失約400萬美元。

去中心化交易所 NowSwap 遭到黑客攻擊，由于沒有修改 swap 函數的參數導致閃電貸的恒定乘積校驗邏輯失效，攻擊者返還部分閃電貸金額即被認為是完全歸還，從而實現了攻擊，損失金額超100萬美元。

借貸協議 Vee.Finance ，超3500萬美元資產被盜，據官方調查，極可能是小數點未精確以及權限校驗問題導致預言機價格被操縱。

去中心化借貸協議 Compound 出現變量設置錯誤轉移了更多的 COMP 代幣， 該漏洞損失約 28 萬枚 COMP 代幣。

月度評價：本月各類攻擊損失依然巨大，但相較于新型漏洞，大多數漏洞都屬于可追溯漏洞即已經出現過的漏洞。

關鍵詞：價值描述，修補方案，多次攻擊

以太坊上被動收益協議 Indexed Finance 遭到攻擊，其漏洞產生的原因在于協議通過一種代幣來描述整個礦池價值，損失約1600萬美元。

去中心化借貸協議 Compound 在試圖通過 社區提案修補流動性挖礦代幣分發合約含有的漏洞的同時，因為 drip() 函數的調用而向漏洞合約打入了20萬枚 comp 代幣，由此該協議已面臨 1.58 億美元的潛在損失。

以太坊上 DeFi 借貸協議 Cream Finance 再遭受攻擊，此次攻擊產生的核心代碼原因在于價格因子pricePerShare通過簡單的資產數額占比來動態定價，損失約 1.3 億美元。

月度評價：各種漏洞產生的情況也是各有不同，有礦池功能存在問題、有兌換功能存在問題、甚至有鑄幣功能存在問題等，但是 Cream Finance 該年度已經多次遭受攻擊實屬應該做好防護。

關鍵詞：預言機操控，治理攻擊，私鑰泄露

以太坊上的 DeFi 協議 VesperFi Fianance 遭遇預言機操控攻擊，損失超 300 萬美元。

Curve.Finance 遭 Mochi 穩定幣 USDM 團隊「治理攻擊」，損失超 3000 萬美元。

DeFi 借貸協議 bZx 在 Polygon 和 BSC 鏈上的私鑰泄露事件已導致超 5500 萬美元資產被盜。

月度評價：該月份同樣問題嚴重，有傳統的預言機安全問題、私鑰泄露問題甚至還有著項目方反擼礦工的操作。

關鍵詞：閃電貸，重入

Fantom 鏈上復合收益平臺 GrimFinance 遭遇了閃電貸攻擊，攻擊者利用 depoistFor 函數不存在 token 校驗，通過將 token 地址指向自己的攻擊合約實現重入攻擊，損失超 3000 萬美元。

Definer 遭遇預言機操控攻擊，問題在于 OEC 鏈上對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生。

月度評價：傳統的預言機安全問題與重入安全問題，但是殺傷力依舊巨大。

凡是過去，皆為序章。

2021年，注定是不平凡的一年。對區塊鏈而言，各種新事物不斷出現的同時，也產生了諸多的安全問題，同時帶來了全新的安全挑戰。

在這些種種安全事件中最亮眼的名詞當屬閃電貸，在上述經典攻擊事件中閃電貸工具被使用了數10次。而攻擊難度低，收益高的跑路和詐騙也時有發生。每年對于區塊鏈安全所造成的損失也仍在不斷增加，并且沒有一絲暫緩之勢。

在這些攻擊中，DeFi 仍是區塊鏈安全的重災地，由于各種項目方實現的多樣性和復用代碼造成的理解差異，導致了如此多的經濟損失值得每一個人深思。這不是某一個人或者某一個組織的事，而是需要整體行業大眾普遍安全意識的提升。

最后，希望大家在新的一年中，以此為鑒，砥礪前行。

Tags：區塊鏈ANCEFINBS區塊鏈MOVEZ幣bStable FinanceREFI價格NBS價格

抹茶交易所