USD:一文揭秘2021年区块链黑客攻击频发的原因

区块链以无审查著称，是一片鼓励创新的热土，也是滋生犯罪的温床。当年众筹超过1.5亿美金的The Dao被黑客盗币后，进行了硬分叉操作，由此产生了如今的以太坊。自区块链创世以后，各种针对交易所、钱包以及dapp的黑客盗币事件频发。那么，2021年区块链安全领域又经历了何种波澜，后续的处理工作又是如何的呢？

（本文由分布式资本原创，顾问CertiK高级安全工程师王沛宇，撰文有匪。）

2021年区块链黑客盗币事件整理

Uranium?Finance——逻辑漏洞

Web3任务平台Zealy完成350万美元pre-seed轮融资:金色财经报道，基于社区参与的Web3任务平台Zealy宣布完成350万美元pre-seed轮融资，Redalpine领投，Connect Ventures、Aglaé Ventures、Kima Ventures、Purple、STATION F、Founders Future、Pareto Holdings、以及一批来自 The Sandbox、POAP、DFNS、Starton和Pianity公司的商业天使投资人参投。

据悉，Zealy允许成员进行数字资产、实体和虚拟活动和任务发布，帮助Web3公司参与、分析和扩展社区。[2023/4/6 13:47:52]

10月27日，Cream Finance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币，同时通过操纵多资产流动性池（包含yDAI、yUSDC、yUSDT和YTUUSD）来操纵预言机对yUSD的报价。在提高了yUSD的价格后，攻击者的yUSD价格被人为提高，从而创造了足够的借款限额以借走Cream Finance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

印尼监管机构：已要求所有交易平台停止交易FTT:11月17日消息，印度尼西亚商品期货交易监管机构周四在一份声明中表示，由于FTX已在美国申请破产，该机构已下令印度尼西亚国内的加密货币交易平台停止交易FTX Token，据悉该命令是从11月14日开始下达的。（路透社）[2022/11/17 13:15:57]

Anyswap——后台签名

2）钱包——钓鱼信息

不同于项目方一旦出事，人们可以通过链上公开的交易记录进行分析；交易所出事只有内部人员知道发生了什么，那些信息也不会被公开。一般交易所出事来自于这几个方面：交易所的服务器被黑了，攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击，然后攻击者通过工作人员的账号访问到内部系统，接触到了热钱包的私钥等等。

币安将通过巴西支付系统Pix恢复巴西本地货币存款功能:7月6日消息，加密交易所币安称很快将通过政府的支付系统Pix恢复巴西货币巴西雷亚尔（Brazilianreal，BRL）的存款。该公司于6月17日终止了与当地支付网关Capitual的合作伙伴关系后，暂停了通过Pix的存款和取款，该支付网关自2020年以来一直通过Pix运营Binance的存款和取款。

币安于6月18日宣布将更换巴西的支付合作伙伴Capitual并选择新的支付提供商，当地媒体报道称此举与巴西央行的新政策有关，6月25日币安选择与巴西支付提供商Latam Gateway合作。（CoinDesk）[2022/7/6 1:53:33]

资产被盗后的处理方式

项目方一般会采取这几个解决方式：

1）即时暂停智能合约中的通证转移和交易服务；对于不能暂停的合约，查看合约里可以使用的特权函数并屏蔽掉一部分合约的服务，避免合约被再次攻击。

2）同时向社区发出警告，避免新的投资者把财产放到有漏洞的合约里面。

3）联系第三方安全公司，请求帮助分析漏洞产生的原因，并合作共同修复漏洞。

4）对于被盗资金的去向，假如合约里面存在黑名单功能；第一时间屏蔽黑客地址，防止黑客进行资金转移。

5）和安全公司和执法部门合作追回被盗的财产，同时想出合理的补偿方案来减少用户的损失。

那么，为何安全公司对于漏洞已经层层筛查，还会被黑客有机可趁？事实是，对于某个项目的审计工作只能持续数个星期，而黑客的时间和精力是无限的。他们一旦瞄准某类项目，便会有比审计公司多得多的时间进行研究并展开行动。

其次，安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库，它的代码质量会相对比较高、比较安全。项目方只需要在代码库的基础上添加想实现的一些功能，便能实现从零开始写代码。

从人为因素出发，项目方需要考虑金融模型以及商业逻辑是否值得推敲，并进行不计其数的测试才能消弭潜在的风险。

总而言之，Defi协议乃至整个区块链安全问题是主流资金无法进入行业的主要因素。环顾Defi出事的所有原因，最主要的还是Defi项目还无法完全去中心化，需要借助第三方的外部服务。Defi行业在安全性上达到无懈可击，是这一赛道项目必需实现的目标（尤其对中心化严重的跨链赛道而言），期待行业下一周期跑出拥有全新业务逻辑的Defi产品来！

标签：USDANCNANDEFUSDX CoinMalgo FinanceNewv FinanceDeFine

BTC热门资讯