2020攻击事件总结：900亿人民币不翼而飞 2021我们如何远离黑客？

“如果那东西看上去像鸭子，走起路来也像鸭子，我们就说它是鸭子。”

这句来自某位政客所说的话被许多人奉为圭臬。

如同我们每一个人，很多时候我们对外界释放出的信息都会再通过外界评价反馈和影响到自身。

这个道理不仅仅应用于某一个特殊领域，相反，它在所有事情上都可以找到痕迹。

区块链发展日久，但对于很多人来说，它依旧是一个暗藏着局、跑路、黑客的法外之地。

人们心中的认知很难被其他信息所影响，当然，这也的确需要归因于目前区块链项目所受的攻击愈发猛烈。

在铺天盖地的黑客事件中，想要扭转人们对于区块链的不安和抗拒只有依靠提高区块链的安全标准，建立安全健康的区块链生态。

同理，当整个区块链不再受负面新闻所缠身时，这个“鸭子”也会变成有利的那一只。

USDT流通市值自2022年5月以来首次突破800亿美元:金色财经报道，数据显示，USDT 流通市值自 2022 年 5 月以来首次突破 800 亿美元，2023 年迄今已上涨 150 亿美元。USDC和BUSD分别下降了约 120 亿美元和 94 亿美元。鉴于对 USDC 和 BUSD 的担忧日益加剧，加密货币交易员选择了 USDT。

此外，根据 Glassnode 的数据，Tether 在交易所的余额年初至今下降了 28% 至 128.8 亿美元。相比之下，各交易所的稳定币总余额年初至今下降了 41% 至 223.1 亿美元。[2023/4/7 13:49:29]

经统计，2020年传统领域的网站及软件安全率达到了97.5%，其中损失最大的一笔资产仅仅是接近5万人民币。

而区块链领域内，智能合约及相关节点的安全率只有89%，且损失往往处于600万至6,000万人民币之间，这是需要几个大卡车都运不下的天价资产。

一次来自于区块链领域的损失资产，也许就是传统网络损失资产的千倍以上。

因此，CertiK安全专家盘点了2020年较为典型的23个区块链项目，分析了其受攻击的原因和黑客使用的攻击方式，以作为业内安全事故警示的参考。

在分析的这23个区块链项目中，其中实现逻辑错误所导致的攻击事件8起，价格预言机操纵事件5起，项目方欺诈事件4起，重入攻击事件3起，闪电贷攻击事件2起，钱包攻击事件1起。

这些安全事故项目列表如下：

表1：2020年区块链重大事故项目列表

Nansen报告：2022年NFT将有超过10亿美元再投资于生态系统:金色财经报道，根据Nansen报告，2022年NFT对生态系统的再投资超过10亿美元。该报告显示，通过NFT mints筹集的大部分资金 \"被转移到了非实体钱包\"。Nansen审查了2022年头六个月内销售量超过20ETH的收藏品。在其分析中，数据表明 \"NFT市场正在成熟，NFT市场的mints部门仍然健康，每个独特的钱包地址的平均铸造量上升。（cryptoslate）[2022/8/3 2:57:03]

图一：2020年区块链重大事故项目损失图

表一和图一展示了2020年区块链重大事故项目损失情况。

图二：攻击类型损失图

研究：到2028年，银行和金融服务市场区块链相关收入预计达258.179亿美元:4月23日消息，Vantage Market Research最近对银行和金融服务市场中的全球区块链的分析发现，加密货币在大多数发达体育项目中的使用增加正在加速市场增长。主要受欺诈案件增加的推动，到2028年，银行和金融服务市场的全球区块链总量预计将达到258.179亿美元。2021年全球市场收入为21.954亿美元，预计复合年增长率（CAGR）为50.80%。

在预测期内，加密货币的使用增加预计将推动区块链在银行和金融服务市场的增长。这归因于通货膨胀的上升，以及更多刺激措施的潜力继续推动人们转向避险资产，以及越来越多的支付应用程序支持加密货币。

与加密货币集成时，区块链有助于记录每笔交易，还可以作为分布式账本，无需任何中央机构来维护这些类型的记录。因此，区块链在银行业的日益普及和加密货币的日益普及将推动区块链在银行和金融服务市场的增长。此外，银行和金融服务中的区块链提供了诸如降低银行运营成本、资本优化、提高透明度等好处，并有助于增加金融解决方案。（Globenewswire）[2022/4/23 14:43:48]

2020年重大攻击事件明细

CoverProtocol

2020年12月28日晚，CertiK安全验证团队发现CoverProtocol发生代币无限增发漏洞攻击。

攻击者通过反复对项目智能合约进行质押和取回操作，触发其中包含铸造代币的操作，对Cover代币进行无限增发，导致Cover代币价格崩盘。

最终损失共计约2850万人民币。

WarpFinance

2020年12月17日，攻击者利用WarpFinance项目使用的oracle计算质押的LP代币资产价格错误的漏洞，从Warpfinance项目中获利约1462枚ETH代币，总价值约615万人民币。

此外，攻击者还mint了价值大约3,990万人民币的DAI-ETHLPshare，约650万人民币的获利流入了uniswap和sushiswap的LP中。

毕马威：2021年金融科技投资达到2100亿美元，加密领域增长最大:2 月 7 日消息，毕马威发布的一份强调全球金融科技投资趋势的半年度报告显示，2021 年，并购、私募股权和风险投资领域的全球金融科技融资总额达到 2100 亿美元，交易量达到创纪录的 5684 笔。其中，加密和区块链领域在 2021 年出现最大增长。

据悉，全球对加密货币和区块链领域的投资从 2020 年的 54 亿美元急剧上升到 2021 年创纪录的 300 亿美元，而同期交易数量从 627 笔增加到 1332 笔。该行业还出现了许多大宗交易，包括总部位于巴哈马的FTX融资 10 亿美元、总部位于美国的NYDIG融资 7.67 亿美元以及Celsius Network融资 7.5 亿美元。激增的投资和交易活动反映了人们越来越认识到加密货币及其基础技术在现代金融系统中的潜在作用。（ The Fintech Times ）[2022/2/7 9:35:39]

在本次攻击中，Warpfinance遭受的损失大约为5,000万人民币。

Compounder.Finance

2020年12月1日下午3点，CertiK安全技术团队通过Skynet发现Compounder.Finance项目智能合约发生数笔大量代币的交易。

经过仔细验证得知这些交易为内部操作，项目拥有者将大量数额代币转移到自己的账户中。

经过统计，最终共损失价值约7,610万人民币的代币。

SushiSwap

2020年11月30日，Sushiswap项目被发现遭到恶意流动性提供者的攻击，攻击者利用该项目SushiMaker合约中的漏洞进行攻击，最终获利约10万人民币。

Compound

2020年11月26日，Compound项目发生价格预言机代币价格错误。

其所采用的Coinbase价格预言机对DAI价格出现巨大波动，导致约58,250万人民币的资产被清算。

动态 | 预计到2023年零售业区块链市场的年复合增长率将接近81%:据PR Newswire消息，一份由Research and Markets发布的零售业区块链市场主题报告显示，预计到2023年，零售业区块链市场的年复合增长率将接近81%。网络安全需求的增长将导致零售行业的区块链市场在未来几年实现可观的增长。区块链在身份管理方面的应用有助于减少线下和现实场景中的身份及事务欺诈，从而提供便捷记录和身份证明。这将进一步推动零售业区块链市场在预测期内继续增长。[2019/5/3]

PickleFinance

2020年11月22日凌晨2点37分，CertiK安全验证团队通过Skynet发现PickleFinance项目遭到攻击。

攻击者利用合约中未检查外部Jar合约是否合法的漏洞进行攻击。

最终项目共损失约1975万枚Dai代币，价值约12,800万人民币。

OriginProtocol

2020年11月17日，OriginalProtocol项目OUSD遭到闪电贷与重入攻击的组合攻击。

攻击者利用合约中mintMultiple()函数中的重入漏洞，增加闪电贷贷来的资金作为杠杆，扩大攻击收益。项目最终损失约4,500万人民币。

CheeseBank

2020年11月16日，DeFi项目CheeseBank遭到闪电贷攻击。

攻击者通过操纵流动性池中代币数目，利用重置预言机来提高UniswapLP流动性凭证价格进行攻击。

最终项目损失约2,100万人民币，其中包括价值1,300万人民币的USDC。

ValueDeFi

2020年11月15日，DeFi项目ValueDefi遭到闪电贷攻击。

攻击者通过项目中使用Curve价格预言机，通过闪电贷操纵预言机代币价格计算漏洞进行攻击。

最终攻击者获利约4,800万人民币价值的DAI。

AxionNetwork

2020年11月2日晚上，黑客利用AxionStaking合约的unstake函数设法铸造了约800亿个AXN代币。

黑客随后将AXN代币在Uniswap交易所中兑换以太币，重复此过程，直到Uniswap中ETH-AXN交易对的以太币被耗尽，同时AXN代币价格降至0。

该攻击是内部操作造成的，该内部操作通过在部署代码时，对项目依赖的OpenZeppelin依赖项注入恶意代码，最终损失约330万人民币。

HarvestFinance

2020年10月26日Harvest.Finance项目发生套利攻击事件，损失超3380万美元。

根据官方报告，计算了攻击者返还给项目的1300万USDC和11万USDT之后，总损失超过2亿人民币。

在Harvest.Finance这次的套利攻击事件中，攻击者通过影响USDC、USDT代币的价格来进行套利。

Eminence

2020年9月29日，攻击者使用脚本程序，通过闪电贷借得初始资金，利用Eminence项目中的联合曲线模型漏洞，反复购买出售EMN和eAAVE来获得收益。项目最终损失约9,800万人民币。

GemSwap

2020/09/26日，DeFi项目GemSwap遭到项目拥有者的后门攻击。

项目拥有者通过调用后门函数emergencyWithdraw()将所有的流动性证明取出并转移至自己拥有的账户中，最终项目损失约850万人民币。

SodaFinance

2020年9月21日，CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞。

该漏洞允许任意外部调用者通过调用智能合约函数，无视受害用户债务中的代币数目，强行结算受害用户的债务，并将通过结算操作所得的收益转入到自己的收款地址。

最终项目损失约105万人民币。

BASED

2020年8月14日，流动性挖矿项目Based出现初始化失误造成的漏洞。

其智能合约在进行部署时，Base官方仅通过调用智能合约中的renounceOwnership函数声明了所有者，而并没有对智能合约初始化。

而一名外部攻击者在Based官方之前，抢先调用initialize函数对智能合约进行了初始化。

YAM

2020年8月12日，YAMFinance官方宣布他们发现了一个智能合约漏洞，并称该漏洞将生成超出最初设定数量的YAM代币，在计算totalSupply时，给出了错误的结果，这会导致系统保留的代币数量过多。最终项目损失约500万人民币。

NUGS

2020年8月11日，CertiK安全研究团队发现基于以太坊的代币项目NUGS出现安全问题。

其智能合约中存在安全漏洞，致使其代币系统出现巨额通胀。

由于该智能合约的安全漏洞无法被修复，因此最终NUGS项目官方发布公告决定放弃该项目，存入其中的代币也无法被取出。此次攻击损失巨大，直接造成该项目失败。

Opyn

2020年8月4日，DeFi项目Oypn发生攻击事件。

攻击产生的原因是Opyn在智能合约oToken中的exercise函数出现漏洞。

攻击者在向智能合约中发送某一数量的ETH时候，智能合约仅仅检查了该ETH的数量是否与完成该次期货买卖需要的数量一致，而不是动态的检查攻击者发送的ETH数量是否在每一次的交易之后仍旧等于完成该次期货买卖所需要的数量。

也就是说，攻击者可以用一笔ETH进行抵押，并在赎回两次交易，最终获得自身发送数量两倍的ETH最终项目损失约240万人民币。

Cashaa

第一次攻击发生于7月10日北京时间晚6点57分，Cashaa的比特币钱包之一被盗用并向攻击者账户转移了1.05977049个BTC。

根据Cashaa报告中描述，攻击者通过控制受害者电脑，操作受害者在Blockchain.info上的比特币钱包，向攻击者账户转移BTC。

第二次攻击发生于7月11日北京时间凌晨8点10分，Cashaa的总计8个比特币钱包，共计335.91312085个比特币被攻击者通过同样的手段转移到同一个地址中。

最终项目损失约2,000万人民币。

Balancer

2020年6月29日凌晨2点03分，攻击者利用从dYdX闪电贷中借到的WETH，大量买进STA代币，使得STA与其他代币的兑换价格急剧上升。

然后使用最小量的STA不断回购WETH，并在每次回购后，利用Balancer的合约漏洞重置其内部STA的数量，以此稳住STA的高价位。

攻击者不断利用漏洞，用高价的STA将某一种代币完全买空，最终用WETH偿还闪电贷，并剩余大量STA,WETH，WBTC,LINK和SNX，并通过uniswap将非法所得转移到自己账户中。

继6月29日凌晨2点CertiK捕获Balancer攻击事件后，2020年6月29日20点与23点23分，Balancer项目再次遭到攻击。

攻击者从dYdX闪电贷中借到代币并铸币后，通过uniswap闪贷获得cWBTC和cBAT代币，然后将借得的代币在Balancer代币池中大量交易，从而触发Compound协议的空投机制，获得空投的COMP代币，再使用Balancer有漏洞的gulp()函数更新代币池数量后，取走所有代币并归还闪电贷。

攻击者相当于利用了Compound协议的金融模型、闪电贷和Balancer代码漏洞，无中生有了COMP。

两次攻击直接导致Balancer损失了约300万人民币。

Hegic

2020年4月27日，Hegic项目中由于代码实现存在错误，导致合约中用户资金被锁定，无法被任何方法操作。最终项目损失约18万人民币。

Lendf.Me

2020年4月19日，Lendf.me项目遭到基于ERC777标准缺陷问题的重入攻击。最终项目损失约16,200万人民币。

Uniswap

2020年4月18日，DeFi项目Uniswap遭到攻击。

攻击者利用ERC777可以在同一笔交易中完成代币兑换的特性，通过其tokensToSend()函数对Uniswap进行重入攻击。最终Uniswap项目损失共计约150万人民币。

总结

从上文的数据统计里可以看出，这23次重大攻击事件，损失总金额高达约18亿人民币。

这18亿人民币被包括价格预言机操纵、重入攻击、实现逻辑错误、闪电贷攻击、项目方欺诈、钱包攻击在内的各种攻击方式所盗取，让人防不胜防。

计算机领域中早有统计，平均每1000行代码中，会有1-25个bug。

也就是说，这个概率的区间是千分之一至百分之二点五。

标签：区块链NCEANCNAN区块链技术通俗讲解无中介TRUSTY FinanceMalgo FinanceREALNANCE

火币下载热门资讯