EFI:凡是过去，皆为序章，2021年区块链安全事件年度总结

2021年对于区块链来说是一个巨大的里程碑，无论是对于用户量还是对于机构接受程度。链资产比重都远超历史上的任何其他时期。

与此同时，兴起了许多多元化的事物如号称终极未来的元宇宙、边玩边赚的GameFi以及链链互信的跨链等。而各类传统DefiDapp也加速了步伐迎来了全新的升级，如UniswapV3,AaveV3等新版协议问世。

种种这些，不仅为区块链生态带来了活力，同时也带来了全新的安全挑战。现在请跟随知道创宇区块链安全实验室的视角一起回顾2021区块链安全生态以及各月份的典型安全事件。

2021区块链安全生态速览

据知道创宇区块链实验室不完全统计数据，截止本文发稿前，2021年区块链可供查询的相关安全事件为312起，直接损失超100亿美元。

对比往年数据来说依然是一个令人心悸的走高态势。蓬勃发展的多链系统，链链互信的跨链需求，新链上的花式仿盘，都为这一庞大的数字做出了相应的"贡献"。

在安全事件方面我们使用了6个纬度来进行统计，分别是交易所、DeFi、跑路/局、钱包、公链、其他。其中以DeFi安全尤为突出达到了141起。

该原因主要在于区块链底层技术愈加趋向成熟，但合约实现规范还没有充分完备化和体系化，审计还没有被足够的落实。尤其合约具备着直接担当着资金载体和运行逻辑的功能，这使得越来越多黑客将目标瞄向该领域。

另一方面，攻击者利用闪电贷和链上监控愈发成熟。使得攻击面得以被充分暴露，同时各个项目方对于协议的实现也存在着巨大的差异，这些种种，无疑皆助长了该攻击的广泛性和频繁性。

数字人民币截至2022年底存量达到136.1亿元:金色财经报道，近期，数字人民币试点持续推进，包括江苏、广东深圳、浙江义乌等多个试点地区推出具体方案。目前，数字人民币试点范围已扩大至17个省（市）的26个地区，数字人民币加快融入百姓衣食住行的各个领域。“各地方案呈现3方面特征：一是数字人民币对公领域的应用及对实体经济发挥的价值广受关注；二是内容多涉及数字人民币相关的前沿技术；三是对数字人民币推广提出具体量化指标。”易观分析金融行业高级咨询顾问苏筱芮表示。自试点启动以来，数字人民币应用场景不断丰富，交易金额、存量不断增加，截至2022年底，流通中数字人民币存量达到136.1亿元。[2023/4/8 13:51:32]

在资金损失方面则是跑路/局尤为严重，损失总计超64亿美元。相较于DeFi安全事件的多发性来说，跑路/局对人们造成的经济损失更加明显。

跑路的方式由于Owner权限过大、合约可升级、DAO比例操控等等难以避免。同时由于区块链的不可追溯性导致该行为风险变得非常的低，甚至有项目方直接在群组公开宣告自己跑路的行径，导致大量用户失去信心。

无论是交易所清退、链上蜜罐、假钱包、转账钓鱼，花样众多的攻击方式也为链安全带来了新的挑战。当然，这不仅仅应该完全依赖安全公司，更多的还应该寄希望于群体安全意识提升的落地。

2021各月份典型安全事件回顾

Ⅰ：挑战伊始

关键词：权限控制，手续费

安全月度风险评估：低

月度评价：新年伊始，但不应该是新漏洞的开始

SPACE ID推出.bnb域名总注册量突破30万个:金色财经报道，去中心化多链域名协议SPACE ID自九月正式推出的.bnb 域名服务以来，注册数于上周破30万个。域名持有地址共计约11万。截至目前，SPACE ID的Discord已有近10万成员，而推特粉丝人数也升至20万。已有80多个应用宣布支持整合SPACE ID协议。[2022/11/29 21:10:01]

Ⅱ：风雨初现

关键词：闪电贷，无限授权

安全月度风险评估：中

月度评价：同类型漏洞相继爆发，需做好安全预警

Ⅲ：花式危险

关键词：双花交易，错误铸币，权限控制

安全月度风险评估：高

月度评价：漏洞类型花样百出，但核心都是资金安全

Ⅳ：经典重现

关键词：重入攻击，协议兼容性

安全月度风险评估：低

月度评价：经典漏洞以全新方式体现，说明安全理念并不会停滞，需要时刻进步

1月27日，SushiSwap因收取手续费的函数存在权限控制缺陷，被黑客利用操控了DIGG/WETH交易对的滑点，从而套取了WBTC/DIGG交易对的手续费。

YearnFinance被攻击，黑客利用闪电贷操控3pool代币平衡，并通过yDai保险库放大差异，获利280万美元，而保险库损失超1100万美元。

以太坊协议组合工具Furucombo智能合约被爆出存在请求授权权限过高问题，黑客可通过向Furucombo代理添加攻击合约，从而获得影响用户账户的权限，该漏洞影响超1400万美元。

上市矿企Bit Digital 6月份产出67.6枚比特币:7月14日消息，上市加密矿企 Bit Digital 发布 6 月份生产数据更新，公司在 6 月份共产出 67.6 枚比特币和 0 枚以太坊，截至 2022 年 6 月 30 日，公司比特币和以太坊持有量分别为 860.7 枚和 313.6 枚，公司拥有 38,135 台比特币矿机和 731 台以太坊矿机，预估的最大总算力分别为 2.7 EH/s 和 0.3 TH/s。[2022/7/14 2:13:13]

去中心化交易所DODO因未对init进行权限控制，导致黑客在进行闪电贷归还操作时通过init函数将需要归还的代币修改为自己提前加入pool的垃圾代币，从而规避校验以次充好，损失超200万美元。

PaidNetwork铸币功能存在漏洞，被利用铸造超6000万枚PAID代币。

Filecoin由于节点特性出现“双花交易”漏洞。

Uniswap上的imBTC池遭到黑客攻击，漏洞原因是Uniswap与ERC777协议出现兼容性问题，当交易产生时，ERC777中的迭代调用tokensToSend可以被用来实现重入攻击，损失超30万美元。

Ⅴ：八方风雨

关键词：重入攻击，协议冲突，滑点，闪电贷

安全月度风险评估：高

月度评价：本月是闪电贷攻击多发月份，造成的损害也及其重大，所以必须不放过任意可能存在漏洞的细节，避免无法挽回的结果。

Ⅵ：风雨依旧

关键词：薅羊毛，错误变量，address(this)，闪电贷

IMF：加密货币和CBDC是传统金融的替代品:金色财经消息，国际货币基金组织（IMF）发文指出，数字资产可以成为传统金融产品的更有效替代品。IMF博客报告说，一些加密货币和中央银行数字货币（CBDC）可能是比信用卡和借记卡更有效的支付解决方案。此外，IMF报告称，一些中央银行正在考虑在实体卡上提供 CDBC，这将有助于大规模采用。

据该组织称，能源消耗对于决定货币的未来至关重要，尤其是对于使用分布式注册技术的支付系统。（bitnovosti）[2022/7/4 1:49:40]

安全月度风险评估：中高

月度评价：本月闪电贷攻击依然多发，其提醒着控制变量值得反复审计。

Ⅶ：逻辑理性

关键词：私钥，双花攻击，tx.origin，逻辑漏洞

安全月度风险评估：中高

月度评价：本月存在各类型的逻辑漏洞，涉及私钥、转账已经功能特性等，需做更全面的考虑。

Ⅷ：危险之最

关键词：年度损失之最，重入攻击，同类型协议攻击，闪电贷

安全月度风险评估：高

月度评价：本月各类攻击损失都十分巨大，还有着堪称全年损失之最的PolyNetwork攻击，该月份攻击不仅影响到新兴的跨链项目也对同类型的协议敲响警钟，这份影响持续着整个区块链安全生态。

Ⅸ：问题依旧

关键词：初始化攻击，恒定乘积校验，预言机操控，闪电贷

安全月度风险评估：高

月度评价：本月各类攻击损失依然巨大，但相较于新型漏洞，大多数漏洞都属于可追溯漏洞即已经出现过的漏洞。

比特币闪电网络节点数量为17,650个:金色财经报道，1ML网站数据显示，比特币闪电网络（LightningNetwork）的节点数量为17,650个，同比增长1.48%；通道数量为85,398个，同比增长1.7%；网络容量为3,967.13BTC，同比增长6%。[2022/6/7 4:06:45]

Ⅹ：漏洞多样化

关键词：价值描述，修补方案，多次攻击

安全月度风险评估：高

月度评价：各种漏洞产生的情况也是各有不同，有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等，但是CreamFinance该年度已经多次遭受攻击实属应该做好防护。

Ⅺ：问题多元化

关键词：预言机操控，治理攻击，私钥泄露

安全月度风险评估：高

月度评价：该月份同样问题严重，有传统的预言机安全问题、私钥泄露问题甚至还有着项目方反撸矿工的操作。

Ⅻ：经典再现

关键词：闪电贷，重入

安全月度风险评估：中

月度评价：传统的预言机安全问题与重入安全问题，但是杀伤力依旧巨大。

合成资产协议SpartanProtocol遭到闪电贷攻击，由于添加/移除流动性存在滑点修正机制的差别导致套利，损失3050万美元

机池项目ValueDeFi由于协议组合存在的冲突隐患遭到攻击，损失1000万美元，2天后再次遭到攻击，损失1100万美元；

PancakeBunny遭到闪电贷攻击，由于LP代币价格计算问题导致套利，损失约4500万美元；

BurgerSwap遭到闪电贷攻击，由于重入漏洞和架构问题导致套利，损失约330万美元；

PancakeBunny项目仿盘PancakeHunny项目遭遇黑客攻击，主要漏洞原因在于mintFor函数错误地使用合约余额作为参数，且兑换HunnyToken使用的固定参数，导致套利可行。

以太坊DeFi项目Alchemix的alETH合约出现安全问题，由于部署脚本错误的创建vault值并在调用中使用了错误的索引，导致用户奖励超发

BSC链上DeFi协议xWinFinance遭到闪电贷攻击，合约未对奖励推荐人地址做校验，导致同一地址推荐人奖励可累计。

去中心化跨链交易协议Anyswap遭到攻击，漏洞原因在于其V3路由器MPC帐户下存在两个v3router交易，这两个交易具有相同的R值签名，攻击者可以反推出MPC账户的私钥，损失约800万美元。

BSV网络遭受恶意攻击，造成多个区块重组，攻击者借此进行了双花攻击。

去中心化跨链交易协议THORChain遭受多次攻击，因其代币特性tx.origin可被用做钓鱼，损失约2500万美元。

收益耕作协议PolyYeldFinance遭受攻击，因其转账时存在实际到账少于转出的缺陷，被黑客利用控制了MasterChef合约中代币，实现超额奖励。

以太坊上DeFi协议PopsicleFinance遭遇闪电贷袭击，漏洞原因在于PLP池合约对手续费奖励的计算存在缺陷，损失2,070万美元；

跨链协议PolyNetwork遭到攻击，由于函数缺陷导致keeper可被修改，这次攻击被称为年度最大黑客事件，损失约6.1亿美元；

BSC链上DeFi项目Dot.Finance遭受闪电贷攻击，这次攻击属于PancakeBunny同类型协议攻击，损失近43万美元，迄今为止，此类攻击已造成损失超5,000万美元；

以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击，损失超1800万美元；

NFT赛马项目DeRac被攻击，其漏洞原理是：Vesting合约未进行init未初始化保护，从而让黑客初始化了init中他想要的参数，最后通过紧急提款函数提取了合约资金，损失约400万美元。

去中心化交易所NowSwap遭到黑客攻击，由于没有修改swap函数的参数导致闪电贷的恒定乘积校验逻辑失效，攻击者返还部分闪电贷金额即被认为是完全归还，从而实现了攻击，损失金额超100万美元。

借贷协议Vee.Finance，超3500万美元资产被盗，据官方调查，极可能是小数点未精确以及权限校验问题导致预言机价格被操纵。

去中心化借贷协议Compound出现变量设置错误转移了更多的COMP代币，该漏洞损失约28万枚COMP代币。

以太坊上被动收益协议IndexedFinance遭到攻击，其漏洞产生的原因在于协议通过一种代币来描述整个矿池价值，损失约1600万美元。

去中心化借贷协议Compound在试图通过社区提案修补流动性挖矿代币分发合约含有的漏洞的同时，因为drip()函数的调用而向漏洞合约打入了20万枚comp代币，由此该协议已面临1.58亿美元的潜在损失。

以太坊上DeFi借贷协议CreamFinance再遭受攻击，此次攻击产生的核心代码原因在于价格因子pricePerShare通过简单的资产数额占比来动态定价，损失约1.3亿美元。

以太坊上的DeFi协议VesperFiFianance遭遇预言机操控攻击，损失超300万美元。

Curve.Finance遭Mochi稳定币USDM团队「治理攻击」，损失超3000万美元。

DeFi借贷协议bZx在Polygon和BSC链上的私钥泄露事件已导致超5500万美元资产被盗。

Fantom链上复合收益平台GrimFinance遭遇了闪电贷攻击，攻击者利用depoistFor函数不存在token校验，通过将token地址指向自己的攻击合约实现重入攻击，损失超3000万美元。

Definer遭遇预言机操控攻击，问题在于OEC链上对于预言机的实现存在问题，使用了单一流动池在一个时间点的池内代币余额作为价格源从而导致了事故的发生。

总结

凡是过去，皆为序章。

2021年，注定是不平凡的一年。对区块链而言，各种新事物不断出现的同时，也产生了诸多的安全问题，同时带来了全新的安全挑战。

在这些种种安全事件中最亮眼的名词当属闪电贷，在上述经典攻击事件中闪电贷工具被使用了数10次。而攻击难度低，收益高的跑路和也时有发生。每年对于区块链安全所造成的损失也仍在不断增加，并且没有一丝暂缓之势。

在这些攻击中，DeFi仍是区块链安全的重灾地，由于各种项目方实现的多样性和复用代码造成的理解差异，导致了如此多的经济损失值得每一个人深思。这不是某一个人或者某一个组织的事，而是需要整体行业大众普遍安全意识的提升。

最后，希望大家在新的一年中，以史为鉴，砥砺前行。

标签：EFIANCDEFDEFIBearn Defi ProtocolPeach FinanceXDEFI WalletKingDeFi

火必交易所热门资讯