2020链上安全报告：DeFi攻击60逾起 损失超2.5亿美元

魔幻的 2020 年在牛市的陪伴下落下了帷幕，然而这一年中链上安全事件却频频发生。律动 BlockBeats 将 2020 年中发生的链上安全事件进行了总结。《2020 链上安全报告》主要分为四部分：2020 影响币圈行业的大事件、以太坊安全事件、合约保险以及 DeFi 合约外的其他攻击。

2020 年新冠疫情对于全球经济造成了极大的影响，美股一个月内经历了三次熔断，与此同时加密资产市场也受到了牵连。3 月 12 日加密资产全体暴跌无一幸免，比特币日内跌幅达 50%，加密资产市场总市值近乎腰斩。随后各国央行选择以最简单粗暴的方式来应对此次重创：疯狂 QE 放水。这种刺激手段虽然是货币政策中最行之有效的，然而其副作用也是显而易见的。?

如果说次贷危机所引发的金融海啸造就了比特币，那么疫情所导致的大量印钞让更多人认识到比特币是一种稀缺资产且可对冲法币贬值的风险。合规买入、托管以及各类加密资产基建和衍生品的成熟从各个角度为加密资产需求者提供了完美的解决方案，诸多机构也就顺理成章地选择了比特币以及其他龙头加密资产作为资产配置的一部分。

美联储点阵图：2023年底联邦基金利率预期维持于5.1%:金色财经报道，美联储点阵图预计2023年年底的联邦基金利率为5.1%，12月份料为5.1%；预计2024年年底的联邦基金利率为4.3%，12月份料为4.1%；预计2025年年底的联邦基金利率为3.1%，12月份料3.1%；预计长期联邦基金利率预期为2.5%，12月份料为2.5%。[2023/3/23 13:20:21]

若散户未能享受到机构牛市所带来的红利，那么流动性挖矿的热潮大家一定都没缺席。那些曾经只将币存放在中心化交易所的用户为了成为 DeFi「农民」将资产转入「狐狸头」中，将非生产性资产通过去中心化交易所换成了种地的「锄头」。疯狂的挖矿让以太坊链上资产市值飞上云端，但同时，这也成为了黑客嘴边的肥肉。

图源：OKLink

美联储褐皮书：2023年初美国整体经济活动略有增加，通胀压力依然普遍:金色财经报道，当地时间3月8日，美联储发布经济状况“褐皮书”。“褐皮书”显示，美国整体的经济活动在2023年初略有增加，劳动力市场状况依然稳健，通货膨胀压力仍然普遍存在。总体而言，供应链紧张的状况继续缓解，消费者支出总体保持稳定，汽车销售情况几乎没有变化，但库存水平继续改善。多个地区表示，高通胀和较高利率继续减少消费者的可支配收入和购买力，旅游业仍然强劲。报告显示，制造业在经历了一段时间的收缩后趋于稳定，住房市场受到库存异常低的限制仍然低迷，但东部沿海一些地区的住房市场活动出现了超出季节性正常水平的意外增长。总体而言，全美贷款需求下降，信贷标准收紧，拖欠率小幅上升，能源活动持平至略有下降，农业状况喜忧参半。在不确定性加剧的情况下，预计美国未来几个月内经济状况不会有太大改善。（央视新闻客户端）[2023/3/9 12:50:24]

在流动性挖矿的带领下，沉寂已久的 DeFi 在 2020 年下半年成为焦点。用户将资产存入合约，为协议提供流动性，从而获得协议的费用分成和治理代币奖励。

埃森哲发布《技术展望2022》报告中文版：首提“多元宇宙”概念:金色财经报道，埃森哲近日发布《技术展望2022》报告中文版，对未来十年间将会影响塑造商业世界的重要技术变革进行前瞻预测，“如何迎接元宇宙”是此次报告讨论的核心话题。针对元宇宙的应用前景，埃森哲在报告中提出了“多元宇宙”的概念，认为应该将元宇宙看作一个融合现实与数字世界，并且不断演变和扩展的动态体系：既涵盖云、扩展现实、区块链、人工智慧、数字孪生以及边缘计算等多种技术；同时也包括能够为用户带来创新体验，为企业的组织营运和业务发展带来革新的商业模式。

在“多元宇宙”的理念之下，埃森哲进一步提出了未来网路、编码世界、虚实共生和无限算力四大技术发展趋势。在埃森哲看来，这四个领域的技术发展是奠定“多元宇宙”发展的基石。而推动“多元宇宙”迭代升级的驱动力，不仅来自于算力的解放和体验的提升，同时也来自对现有互联网范式局限性的不断突破，以及对安全、伦理标准的建设与完善。[2022/5/6 2:53:55]

由于协议内存放着各类有价资产，这让 DeFi 协议成为了被攻击重灾区。黑客们通过各种手段向合约发起攻击，据 PeckShield 派盾统计 2020 年 DeFi 安全事件达到 60 起，损失逾 2.5 亿美元，占统计的黑客攻击造成总损失的 12.5%，远超 2019 年数据。

马来亚银行：2022年欧洲央行可能会放缓购债步伐:10月7日消息，新加坡马来亚银行表示2022年欧洲央行可能会放缓购债步伐，速度低于当前两项计划（紧急抗疫购债计划（PEPP）和资产购买计划）的购债速度。马来亚银行高级外汇策略师Christopher Wong表示，任何大变化都可能进一步扩大欧元和美元债券的收益率差异并打压欧元，资产购买计划可能会扮演更重要的角色，并且可能扩大其规模以确保不会对金融状况产生突发影响，预计欧洲央行将在其12月的会议上完成并传达对新债券购买计划的评估。[2021/10/7 20:10:39]

图片来源：PeckShield 派盾

发生在 DeFi 合约中最常见的三种攻击分别为预言机操纵攻击 (闪电贷)、重入攻击以及代码漏洞。

在现今 DeFi 大热的背景下，预言机攻击极为普遍，因为大多数 DeFi 协议都需要通过喂价预言机来提供价格信息。一般来说，喂价预言机分为链上和链下两种，链上预言机通过抓取去中心化交易所价格来获取信息，而链下预言机则从中心化交易所获得价格。

声音 | 节点资本杜均：2020年区块链在底层技术服务领域潜力无限 有三大重点方向:2020年1月12日，火币大学全球区块链领导者课程GBLP东京模块的授课在一桥大学一桥讲堂进行，节点资本杜均向大家深度解读2020年的区块链创业和投资机会。

杜均认为2020年区块链在底层服务领域将潜力无限，重点是三个方向：联盟链、BaaS、金融供应链。目前他已经在海南新成立了区块链底层服务公司，将主要为传统产业提供高标准的区块链的技术解决方案。[2020/1/12]

这两种喂价预言机方式各有优劣，从链上获取价格可以通过协议完全去信任化，但存在被操纵攻击风险。链下预言机虽不存在被闪电贷攻击风险，但其价格源需依赖于中心化交易所提供，存在中心化风险，且链下数据在链上反映较慢。

在链上，用户可以通过闪电贷工具瞬间完成大额借款、兑换和大额存入等一系列操作，这使得攻击者可以自行创造套利机会，从而操控去中心化交易所价格来扰乱其他使用该价格的 DeFi 应用，最终完成套利攻击，典型案例有 bZx，Cheese Bank，Harvest 以及 Valley 等喂价预言机攻击事件。

重入攻击是一种危害性极高的攻击手段，可以轻松榨干合约内所有资产。著名的 the DAO 被盗事件就是攻击者运用重入攻击导致以太坊硬分叉，损失了价值 5000 万美元的以太坊。

智能合约不仅可以相互调用，也可以在内部调用。一般情况下，这不会产生任何问题，但当调用使得合约状态不一致时，例如取款金额大于合约内金额时，或当某合约还未将余额设为零前就发起转账，此时攻击者可滥用提现功能提取合约中所有余额。今年经典的重入攻击案例有：Akropolis，dForce 以及 Origin。

此类攻击通常是由于开发者在编写智能合约时，出现逻辑漏洞或自留后门所导致的。大多合约漏洞出现在未经审计的合约上，较常见的手法是攻击者通过合约漏洞无限铸币随后榨干流动性池内资产，冻结合约内资产，或是合约开发者取走合约资产后跑路。

在去中心化的世界中，由于 DeFi 应用迭代速度过快，为了追赶热度许多应用的合约在没有通过第三方审计的情况下就进行了发布。由智能合约漏洞而损失的资产也是不计其数。许多用户可能会抱怨项目方不负责任，但有些项目并没有公开项目信息，由于 FOMO 情绪，用户为了抢先一步参与到项目中，会通过蛛丝马迹寻找尚未公开的项目合约。

例如在 9 月 29 日凌晨，YFI 创始人在其参与开发的新项目的推特上发布了两张项目相关设计图，随后被黑客找到此项目合约地址并利用闪电贷攻击盗取了 1600 万枚 DAI。?

合约审计对于高速迭代的 DeFi 产品来说耗费时间过长，保险或许会是更好选择。DeFi 要发展，需要保险这样的基础设施。如果只是靠 DeFi 协议用户自行去购买保险，这是不现实的。一种方案可由协议的交易费用或挖矿收益中抽取一部分，存入项目的金库中，金库中一部分用于购买协议保险。

除了合约攻击外，公链攻击、交易所以及钱包攻击也不占少数。大多数公链攻击的方式为 51% 攻击，自年初开始，多个区块链项目相继遭受 51 % 双花攻击。1 月到 2 月间，BTG 网络多次遭到双花攻击，损失达到 5 万美元以上。7 到 8 月之间，以太经典（Ethereum Classic，ETC）遭受了三次 51% 攻击，损失高达上千万美元，OKEx 一度考虑从交易所中下架 ETC。11 月 8 日，Grin Network 受到 51％ 攻击，由于反应及时，故并未造成损失。

发生 51% 攻击的主要原因在于区块链项目的共识程度不够，矿工转向其他项目，致使维护网络运转的算力下降，给了攻击者可乘之机。例如 ETC、BTG、AE，这些都是几年前的老牌区块链项目，项目热度严重下降，币价表现不佳，由于矿工收益与币价有直接关系，矿工们也就顺势投身收益更高的公链中。

当然，一部分新项目也会成为被攻击对象，虽然币价表现一般，但因其尚未凝聚强大的社区，故而没有足够的共识和算力，攻击成本也相对较低，最终也会是黑客下手的目标。从具体实现方式上看，随着被攻击网络算力下降或其本身的算力不足，攻击者可通过租用算力获得足够的算力进行攻击，并且攻击成本较低，收益一般远高于成本。

图片来源：Crypto51.app

Kucoin 交易所热钱包被盗事件也引起了圈内人的重点关注。本次入侵影响了该交易所的比特币、以太坊和 ERC-20 热钱包，平台损失了近 2.81 亿美元资产。然而 KuCoin 的攻击者貌似十分着急，试图直接将 USDT 打散充入币安和抹茶交易所变现，然而，还没来得及操作相关账户就被两家交易所及时冻结。随后 Bitfinex、Tether 也相继冻结 KuCoin 攻击地址上约 3300 万 USDT，忙活了大半天，这名黑客似乎什么也没有得到。

在魔幻的 2020 年加密市场经历了太多太多，在 312 过后人们重拾信心，DeFi 所点燃的 FOMO 情绪不亚于当年的 IC0，用户的热情无疑让开发者更有动力开发出更有趣、优质、吸引人的链上应用，当然安全性是第一位的。现今传统金融机构已经将目光聚集在加密资产之上，加密金融应用将必定成为关注焦点，若想让加密金融应用完全去中心化，那么首要关注点就必须是安全性。在未来，将必定出现合约保险外的其他衍生品来对冲资产安全风险，日益完善的技术也将从各维度增加攻击成本。相信在加密市场飞速发展的明天，安全事件会越来越少！

标签：EFIDEFDEFI区块链RefinableTower Defense TitansDeFine区块链是什么多选题

DAI热门资讯