2021年区块链黑客攻击频发的原因是什么？后续的安全工作要如何改进？

原标题：《一文揭秘2021年区块链黑客攻击频发的原因》

区块链以无审查著称，是一片鼓励创新的热土，也是滋生犯罪的温床。当年众筹超过1.5亿美金的TheDao被黑客盗币后，进行了硬分叉操作，由此产生了如今的以太坊。自区块链创世以后，各种针对交易所、钱包以及dapp的黑客盗币事件频发。那么，2021年区块链安全领域又经历了何种波澜，后续的处理工作又是如何的呢？

浙江发布2023数字人民币试点工作要点，亚运试点为重点任务:金色财经报道，浙江省数字人民币试点工作领导小组联合办公室印发《2023年浙江省数字人民币试点工作要点》，主要目标为：杭州亚运会应用试点成功落地，实现赛事侧受理环境全覆盖。受理环境和交易规模显著提升，力争2023年全年应用场景落地数量达到200万个，月均活跃钱包数量达到400万个，全年交易规模突破2500亿元。打造一批标志性创新应用成果。[2023/4/8 13:51:27]

2021年区块链黑客盗币事件整理

由于2021年市场情绪热烈，黑客盗币的金额打破了往年的历史记录。截至三季度，统计一共有32起黑客入侵事件导致了15亿美金的资产被盗，而去年全年这个数字是1.8亿美金。

1）defi协议

Uranium?Finance——逻辑漏洞

2021年4月份流动性挖矿协议Uranium受到了攻击，被攻击的智能合约是MasterChief的修改版本。其中，用于执行“质押奖励”的代码出现了逻辑漏洞，使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子，并将它换成了价值130万美元的BUSD以及BNB。

Meta元宇宙业务2021年亏损达100亿美元:2月3日消息，Meta（前 Facebook）于当地时间周三（2 月 2 日）发布四季度财报，其中首次披露了旗下 Reality Labs 部门的财务状况。Reality Labs 是负责构建 Meta 首席执行官 Mark Zuckerberg 元宇宙愿景的部门。数据显示，Reality Labs 仅在 2021 年的亏损就超过了 100 亿美元，具体而言：

1、2019 年：收入 5.01 亿美元，净亏损 45 亿美元

2、2020 年：收入 11.4 亿美元，净亏损 66.2 亿美元

3、2021 年：净亏损 101.9 亿美元，收入 22.7 亿美元（收入包括硬件，如 Meta Quest 虚拟现实头显）

对此，Meta 首席财务官表示，2022 年 Meta「元宇宙」业务经营亏损仍将增加。元宇宙业务走低也拖累了 Meta 全年盈利能力，排除 Reality Labs 的亏损，该公司去年全年的利润将超过 560 亿美元。[2022/2/3 9:29:57]

CreamFinance——预言机操纵

IOTA 2021年路线图：第四季度计划发布Coordicide:1月31日消息，IOTA基金会联合创始人Dominik Schiener概述了IOTA 2021年的路线图，并指出智能合约和代币化资产的关键作用。从长远来看，该协议的发展将去中心化的，而IOTA基金会将扮演智库的角色，并游说外部机构和政府。此外，基金会应该作为社区的推动者，鼓励他们开发新的商业模式。

IOTA基金会在2021年每个季度都有明确的重点：Q1是Chrysalis，Q2是通证经济（tokenomics），Q3是智能合约，Q4是发布Coordicide。然而，最重要的任务是让IOTA投入生产。

另一个长期目标是建立通往其他社区的桥梁，智能合约在这方面发挥着关键作用。为了促进IOTA生态系统的增长，基金会将在未来几个月内专门聘请新成员。Schiener称，IOTA基金会预计将从目前约120名成员的规模扩大到150-160名成员。（Crypto News Flash）[2021/1/31 18:32:23]

10月27日，CreamFinance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币，同时通过操纵多资产流动性池来操纵预言机对yUSD的报价。在提高了yUSD的价格后，攻击者的yUSD价格被人为提高，从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

韩国加密税将从2021年10月1日起实行:在韩国25日举行的国务会议上，确认了对16项税法的修正案，政府计划在下个月3日将提案提交给国民议会。修正案中提到，从2021年10月1日以后，如果通过加密交易每年赚取250万韩元或以上，则将需要支付20％的资本利得税。此前7月份，韩国财政部公布2020年税改计划，提到将对数字货币交易征收20%的资本利得税。[2020/8/25]

BadgerDAO——前端恶意代码注入

攻击者获取了项目方在Cloudflare后台的APIKey，以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易，就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。

Anyswap——后台签名

出事是因为后台签名时采用了不恰当的值，攻击者通过两笔交易来推导出了它签名的私钥。

声音 | Tim Draper：到2022年或2023年，比特币将拥有5%的货币市场份额:据ambcrypto消息，风险投资家和比特币唱多者Tim Draper最近声称，比特币有潜力在很大程度上改变世界的运作方式，而不仅仅局限于金融生态系统。Tim Draper坚持他早些时候的预测，即到2022年或2023年，比特币的估格将达到25万美元。他说道：“在我看来，毫无疑问，比特币将拥有5%的货币市场份额，这是达到25万美元所需的全部条件。世界上货币的价值达90万亿美元的，这个数字可能会因为加密货币而增加。[2019/4/19]

简而言之，defi协议除了自身的代码需固若金汤，因其需与其他协议交互的可组合型，业务逻辑也要严丝合缝。最重要的是，Defi协议需借助第三方服务，而这些第三方服务很有可能面临外部操纵的风险，这也是产品受到黑客攻击的主要原因。

2）钱包——钓鱼信息

举个比特币钱包Electrum的例子，当用户旧版本并连接到攻击者的节点是，攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时，黑客便轻松掌握了用户的私钥。

3）交易所

不同于项目方一旦出事，人们可以通过链上公开的交易记录进行分析；交易所出事只有内部人员知道发生了什么，那些信息也不会被公开。一般交易所出事来自于这几个方面：交易所的服务器被黑了，攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击，然后攻击者通过工作人员的账号访问到内部系统，接触到了热钱包的私钥等等。

资产被盗后的处理方式

关于资产被盗后的处理方式，可以从三个角度来分析。

项目方一般会采取这几个解决方式：

1）即时暂停智能合约中的通证转移和交易服务；对于不能暂停的合约，查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务，避免合约被再次攻击。

2）同时向社区发出警告，避免新的投资者把财产放到有漏洞的合约里面。

3）联系第三方安全公司，请求帮助分析漏洞产生的原因，并合作共同修复漏洞。

4）对于被盗资金的去向，假如合约里面存在黑名单功能；第一时间屏蔽黑客地址，防止黑客进行资金转移。

5）和安全公司和执法部门合作追回被盗的财产，同时想出合理的补偿方案来减少用户的损失。

从交易所的角度来说，有两种情况：

1）假如交易所本身被盗，需第一时间暂停所有的提现充值功能，把损失降到最少。交易所保留系统里面的所有信息以便日后做分析使用，联系安全公司或者执法部门，帮忙做财产追踪。

2）假如某个项目被黑的话，交易所可以监控黑客相关链上地址，如果监测到最新充值的关联地址，冻结该账户。

安全公司需要做到以下几点：

1）在事件发生之后分析漏洞产生的原因，并修复漏洞。

2）在项目重新上线之前提供安全审计服务，以减少项目重新上线之后的安全风险。

3）发布社区警告，同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞，可以通过保密渠道发出警告。

4）通过链上技术手段来追踪资金流向以及分析链下信息，帮助执法部门抓到黑客。

那么，为何安全公司对于漏洞已经层层筛查，还会被黑客有机可趁？事实是，对于某个项目的审计工作只能持续数个星期，而黑客的时间和精力是无限的。他们一旦瞄准某类项目，便会有比审计公司多得多的时间进行研究并展开行动。

今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。其次，跨链桥和其他Defi项目的不同的点是：普通Defi项目几乎100%的逻辑是在智能合约上实现的，而跨链桥是web2和web3的结合，是智能合约和传统后台的结合。非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。

未来区块链安全展望

未来随着技术的发展，区块链行业会变得日益安全吗？理论上是的。先说底层技术，首先编写智能合约的solidity语言是在慢慢变得成熟的。在最近的solidity版本8.0之后，之前比较常见的一种漏洞叫做integeroverflow便销声匿迹了。

其次，安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库，它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能，便能实现从零开始写代码。https://github.com/OpenZeppelin/openzeppelin-contracts

现在有很多安全工具会对代码进行检查；它可以帮助项目方在没有联系安全公司的情况下，找到一些潜在的漏洞，从而提高代码的安全性。随着越来越多的技术人员加入到这个领域来，区块链行业的安全壁垒会不断被加固。

从人为因素出发，项目方需要考虑金融模型以及商业逻辑是否值得推敲，并进行不计其数的测试才能消弭潜在的风险。

总而言之，Defi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。环顾Defi出事的所有原因，最主要的还是Defi项目还无法完全去中心化，需要借助第三方的外部服务。Defi行业在安全性上达到无懈可击，是这一赛道项目必需实现的目标，期待行业下一周期跑出拥有全新业务逻辑的Defi产品来！

标签：DEFEFIDEFI区块链PlutusDeFiCOREFI币definer币币币情区块链害了多少人

TUSD热门资讯