免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表火星财经官方立场。 　　

　　

　　边肖：记得要集中注意力。 　　

　　

　　资料来源：CertiK 　　

　　

　　区块链是一片鼓励创新的热土，也因为其安全隐患在某种程度上成为了犯罪的温床。当年众筹超过1.5亿美元的道，被黑客窃取，然后进行了硬叉操作，才有了现在的以太坊。 　　

　　

　　自区块链创建以来，频繁发生黑客针对交易所、钱包和Dapp的货币盗窃事件。那么，2021年的区块链安全领域经历了怎样的波澜，后续的工作又是怎样的呢？ 　　

　　

　　2021区块链黑客盗币事件整理由于2021年市场情绪热烈，黑客盗币金额打破往年历史记录。 　　

　　

　　截至第三季度，共有32起黑客攻击事件导致15亿美元的资产被盗，而去年为1.8亿美元。 　　

　　

　　 DeFi协议 　　

　　

　　铀金融――一个逻辑漏洞 　　

　　

　　2021年4月，流动性开采协议铀被攻击。被攻击的智能合约是MasterChief的修改版(MasterChief是一个智能合约，用于创建质押池，并向用户返回质押奖励)。 　　

　　

　　其中，用于执行“质押奖励”的代码存在逻辑缺陷，使得黑客获得的挖矿奖励比其他人多。黑客们抽干了RAD/srad库，用价值130万美元的BUSD和BNB取而代之。 　　

　　

　　奶油金融——预言机的操作1 　　

　　

　　10月27日，奶油金融预测机被操纵。 　　

　　

　　攻击者借用MakerDAO的DAI创建大量yUSD令牌，同时操纵多资产流动性池(包括yDAI、yUSDC、yUSDT和YTUUSD)操纵Oracle机器对yUSD的报价。 　　

　　

　　在抬高yUSD的价格后，人为抬高了攻击者的yUSD的价格，从而创造了足够的借款额度，可以在以太坊v1借贷市场上借入奶油金融的大部分资金。奶油。金融也在8月30日遭到闪电贷款的攻击。 　　

　　

　　BadgerDao——前端恶意代码注入 　　

　　

　　攻击者在Cloudflare后台获取项目方的API密钥，从而在网站前端代码中注入一系列恶意代码。当用户访问前端网站时，会触发恶意代码，发起交易供用户确认。 　　

　　

　　如果用户确认了恶意交易，他就把通行证的使用权交给了攻击者。攻击者可以通过监护权转移所有的钱。 　　

　　

　　Anyswap――由于背景签名中使用了不适当的值，背景签名出现了问题。攻击者通过两次交易推导出其签名的私钥。 　　

　　

　　钱包-钓鱼信息 　　

　　

　　以比特币钱包Electrum为例。当用户拥有旧版本并连接到攻击者的节点时，攻击者通过该节点向该钱包发送钓鱼消息。 　　

　　

　　当用户看到钓鱼信息，用后门下载钱包时，黑客就能轻易掌握用户的私钥。 　　

　　

　　交换 　　

　　

　　不同于项目方一旦出事，人们可以通过链中公开的交易记录进行分析。只有内部人士知道交易所出事时发生了什么，而这些信息是不会公开的。 　　

　　

　　一般交易所的事故都来自这几个方面：交易所的服务器被黑，攻击者访问了服务器中热钱包的私钥。 　　

　　

　　交易所的工作人员被钓鱼攻击，然后攻击者通过工作人员的账号访问内部系统，触碰热钱包的私钥等等。 　　

　　

　　如何处理被盗资产，可以从三个角度来分析——项目方、交易所、第三方安全机构。 　　

　　

　　一般来说，项目方将采用这些解决方案： 　　

　　

　　1)及时暂停智能合约的转让和交易服务。对于不能暂停的合同，检查合同中可以使用的特权函数，屏蔽合同的一些服务，避免合同再次被攻击。 　　

　　

　　2)同时警示社区，防止新投资者利用漏洞将财产投入合同。 　　

　　

　　3)联系第三方安全机构，寻求帮助分析漏洞原因，合作修复漏洞。 　　

　　

　　4)被盗资金去向——如果合同中有黑名单功能，第一时间屏蔽黑客地址，防止黑客转移资金。 　　

　　

　　5)配合安全机构和执法部门追回被盗财物，同时提出合理的赔偿方案，减少用户的损失。 　　

　　

　　从交换的角度来看，有两种情况： 　　

　　

　　1)如果兑换本身被盗，需要第一时间暂停所有取现和充值功能，将损失降到最低。交易所将所有信息(如日志)保留在系统中，以供将来分析，并联系安全机构或执法部门，以协助财产追查。2)如果某个物品被黑客攻击，交易所可以监控黑客相关链上的地址，如果检测到新充值的相关地址，会立即冻结账户。安全机构需要做以下工作： 　　

　　

　　1)事件发生后分析漏洞产生的原因，并修复漏洞。 　　

　　

　　2)在项目再次上线前提供安全审计服务，降低项目再次上线后的安全风险。 　　

　　

　　3)发布社区警告，并检查其他项目是否存在相同的漏洞。如果有项目存在同样的漏洞，可以通过保密渠道发出警告。 　　

　　

　　4)利用链上技术追踪资金流向，分析链下信息(如黑客的IP地址、设备等)，辅助执法。 　　

部门抓到黑客。那么，为何安全机构对漏洞已进行层层筛查，还会被黑客有机可趁？

　　

事实是，对于某个项目的审计工作只能持续数个星期，而黑客的时间和精力是无限的。他们一旦瞄准某类项目，便会有比审计公司多得多的时间进行研究并展开行动。

　　

今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。

　　

其次，跨链桥和其他DeFi项目的不同的点是：普通DeFi项目几乎100%的逻辑是在智能合约上实现的，而跨链桥是web2和web3的结合，是智能合约和传统后台的结合。

　　

非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。简而言之，DeFi协议除了自身的代码需固若金汤，因其需与其他协议交互的可组合型，业务逻辑也要严丝合缝。

　　

最重要的是，DeFi协议需借助第三方服务（如外部预言机、中心化的云平台等），而这些第三方服务很有可能面临外部操纵的风险，这也是产品受到黑客攻击的主要原因。

　　

未来区块链安全展望未来随着技术的发展，区块链行业会变得日益安全吗？理论上是的。

　　

先说底层技术，首先编写智能合约的Solidity语言慢慢变成熟。在最近的Solidity版本8.0之后，之前比较常见的一种漏洞叫做integer overflow（整数溢出）便销声匿迹了。

　　

其次，区块链业内对于安全的重视度正在大幅增加。最后，安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库，它的代码质量会相对比较高、比较安全。

　　

项目方只需要在代码库的基础上添加想实现的一些功能，便能实现从零开始写代码。（https://github.com/OpenZeppelin/openzeppelin-contracts）

　　

另外，现在有很多安全工具会对代码进行检查――它可以帮助项目方在没有联系安全公司的情况下，找到一些潜在的漏洞，从而提高代码的安全性。

　　

例如CertiK Skynet天网扫描系统，它作为一个24*7全天候运行的安全情报引擎，可为智能合约的链上部署提供多维度和实时的透明安全监控并24小时运行监控和危险警报提示。

　　

除此之外，例如公开透明展示安全数据的安全排行榜以及项目预警系统也可为除项目方外的投资人提供安全见解。所有投资者都可以通过这个这个不受限制的安全洞察数据库查询所需要的安全数据信息。

　　

随着越来越多的技术人员加入到这个领域来，区块链行业的安全壁垒会不断被加固。

　　

总而言之，DeFi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。DeFi行业在安全性上达到无懈可击，是这一赛道项目必须实现的目标――尤其对中心化严重的跨链赛道而言。