2021年区块链黑客盗币事件

区块链是鼓励创新的热土，在某种程度上，由于其安全隐患，也成为了犯罪的温床。

当年众筹超过 1.5 亿美元的 DAO 在被黑客窃取后经历了一次硬分叉，产生了今天的以太坊。

自区块链诞生以来，各种针对交易所、钱包、Dapps的盗币事件频频发生。

那么，2021年区块链安全领域经历了怎样的动荡最近的黑客攻击比特币，后续工作又将如何？

2021年区块链黑客盗币事件

由于2021年市场情绪火热，黑客窃取的资金数额打破了往年的历史记录。

截至第三季度，共有 32 起黑客事件导致资产被盗 15 亿美元，而去年全年为 8 亿美元。

DeFi 协议 Uranium Finance - 逻辑漏洞

2021 年 4 月，流动性挖矿协议 Uranium 遭到攻击，被攻击的智能合约是 MasterChief 的修改版本（MasterChief 使用智能合约创建质押池并将质押奖励返还给用户）。

其中，用于执行“质押奖励”的代码存在逻辑漏洞，使得黑客可以比其他人获得更多的挖矿奖励。黑客耗尽了 RAD/sRADS 池并将其换成了价值 130 万美元的 BUSD 和 BNB。

Cream Finance - Oracle 操作

10 月 27 日，Cream Finance 预言机被操纵。攻击者从 MakerDAO 借用 DAI 制造大量 yUSD 代币，同时通过操纵 yDAI、yUSDC、yUSDT 和 YTUUSD 等多资产流动性池来操纵 yUSD 的预言机报价。

在提高 yUSD 的价格后，攻击者的 yUSD 价格被人为提高，创造了足够的借贷限额来借入 Cream Finance 在以太坊 v1 借贷市场上的绝大部分资金。而Cream.Finance也在8月30日遭遇闪贷攻击。

Badger DAO - 前端恶意代码注入

攻击者在Cloudflare的后端获取了项目方的API Key，从而将一系列恶意代码注入到网站的前端代码中。

当用户访问前端网站时，触发恶意代码后，会发起一笔交易，供用户确认。如果用户确认恶意交易，则将令牌的使用权授予攻击者。然后攻击者可以通过托管使用权转移所有资金。

Anyswap - 背景签名

事件发生是因为后台签名中使用了不适当的值。攻击者通过两次交易推导出了他签名的私钥。

钱包 - 钓鱼邮件

以比特币钱包 Electrum 为例，当用户使用旧版本连接到攻击者的节点时，攻击者会通过节点信息向该钱包发送钓鱼消息。当用户看到网络钓鱼消息并下载带有后门的钱包时，黑客很容易掌握用户的私钥。

交流

与项目方一旦发生事故不同，人们可以通过链上公开的交易记录进行分析。只有内部人员知道交换发生时发生了什么，而这些信息不知道。将被公开。

一般交易所事件来自这几个方面：交易所的服务器被黑，攻击者访问了服务器中热钱包的私钥。交易所工作人员被钓鱼攻击，攻击者通过工作人员账号访问内部系统，获取热钱包私钥等。

资产被盗后怎么办

处理被盗资产的方式可以从项目方、交易所、第三方安全机构三个角度来分析。

项目方一般会采取这些方案

及时暂停智能合约中的代币转账和交易服务。对于不能暂停的合约，在合约功能中检查可以使用的权限，并屏蔽部分合约的服务，防止合约再次被攻击。

还向社区发出警告，防止新投资者将资产放入存在漏洞的合约中。

联系第三方安全机构，寻求帮助分析漏洞原因，共同修复漏洞。

至于被盗资金的去向——如果合约中有黑名单功能，会第一时间封锁黑客地址，防止黑客转移资金。

与安全机构和执法部门合作，追回被盗财物并提出合理赔偿，减少用户损失。

从交易所的角度来看，有两种情况

如果交易所本身被盗，需要尽快暂停所有提存功能，将损失降到最低。交易所保留系统中的所有信息（如日志），以供日后分析和使用、联系安全机构或执法机构，以及协助进行财产追踪。

如果项目被黑，交易所可以监控链上与黑客相关的地址，如果检测到与最近一次充值相关的地址，将立即冻结账户。

安全机构需要做到以下几点

分析漏洞的原因并在事件发生后修复它们。

在项目上线前提供安全审计服务，降低项目上线后的安全风险。

发布社区警告，看看其他项目是否有相同的漏洞。如果项目有同样的漏洞，可以通过保密渠道发出警告。

利用链上技术手段追踪资金流向，分析链下信息（如黑客的IP地址和设备），协助执法部门抓捕黑客。

那为什么安全机构已经把漏洞层层筛选了，还被黑客利用呢？

事实上，某个项目的审计工作只能持续几天。周，而黑客有无限的时间和精力。一旦他们针对某种类型的项目，他们就有比审计公司更多的时间来研究和行动。

今年出现的跨链桥接项目，由于大量用户资产被锁定在此类项目中，屡遭攻击。

其次，跨链桥与其他 DeFi 项目的区别在于，普通 DeFi 项目几乎 100% 的逻辑都是在智能合约上实现的，而跨链桥是 web2 和 web3 的结合。智能合约和传统后端的结合。

非去中心化的轨道，大量锁定资金，为黑客提供了攻击的机会。

简而言之，除了自己的代码，DeFi 协议还需要坚不可摧，因为它们需要可组合以与其他协议交互，并且它们的业务逻辑也必须紧密对齐。

最重要的是，DeFi 协议需要依赖第三方服务（如外部预言机、中心化云平台等），而这些第三方服务很可能面临外部操纵的风险，从而也是产品被黑的主要原因。

未来区块链安全展望

未来随着科技的发展，区块链行业会不会越来越安全？

理论上是的。

先说底层技术，编写智能合约的Solidity语言逐渐成熟。

在最近的 Solidity 版本 8.0 之后，一个称为整数溢出的常见漏洞消失了。

其次，区块链行业的安全性重要性大大提高。

最后最近的黑客攻击比特币，安全的开源代码库也增加了安全系数。

OpenZeppelin 代码库是由专业人员编写的开源代码库，其代码质量会比较高且安全。项目方只需要在代码库的基础上添加一些自己想实现的功能，就可以从头开始编写代码了。

另外，现在有很多安全工具可以检查代码——它可以帮助项目方在不联系安全公司的情况下发现一些潜在的漏洞，从而提高代码的安全性。

例如CertiK天网扫描系统，作为24*7的安全智能引擎，可以为链上智能合约的部署提供多维度、实时透明的安全监控，24小时不间断运行监控，危险警报。

此外，例如公开透明展示证券数据的证券排名和项目预警系统，也可以为项目方以外的投资者提供安全洞察。所有投资者都可以通过这个不受限制的证券洞察数据库查询所需的证券数据信息。

随着越来越多的技术人员加入该领域，区块链行业的安全壁垒将不断加强。

总而言之，DeFi 协议乃至整个区块链的安全问题是阻碍主流资金进入行业的主要因素。 DeFi 行业的安全性是无可挑剔的，这是这个赛道项目必须达到的目标——尤其是对于高度中心化的跨链赛道。