一篇文章揭示了2021年区块链黑客攻击频发的原因

区块链是鼓励创新的热土，在某种程度上，由于其安全隐患，也成为了犯罪的温床。在超过 1.5 亿美元的众筹之后，The DAO 在黑客盗取币后经历了一次硬分叉，形成了现在的以太坊。

自区块链诞生以来，各种针对交易所、钱包和Dapps的盗币事件频频发生。那么，2021年区块链安全领域将经历怎样的波澜，后续的处理又会是怎样？

2021年区块链黑客盗窃事件由于2021年市场情绪火热，黑客盗窃金额打破往年历史记录。

截至第三季度，共有 32 起黑客事件导致资产被盗 15 亿美元，而去年全年为 8 亿美元。

■ DeFi 协议

①铀金融——逻辑漏洞

2021 年 4 月，流动性挖矿协议 Uranium 遭到攻击。被攻击的智能合约是 MasterChief 的修改版本（MasterChief 是用于创建质押池并将质押奖励返还给用户的智能合约）。

其中，用于实现“质押奖励”的代码存在逻辑漏洞，让黑客获得比其他人更多的挖矿奖励。黑客耗尽了 RAD/sRADS 池并将其换成了价值 130 万美元的 BUSD 和 BNB。

②Cream Finance - 甲骨文操作1

10 月 27 日区块链合约地址查询，Cream Finance 预言机被操纵。

攻击者从 MakerDAO 借用 DAI 来创建大量 yUSD 代币，同时通过操纵包括 yDAI、yUSDC、yUSDT 和 YTUUSD 在内的多资产流动性池来操纵 yUSD 的预言机报价。

在提高 yUSD 的价格后，攻击者的 yUSD 价格被人为提高，创造了足够的借贷限额来借入 Cream Finance 在以太坊 v1 借贷市场上的绝大部分资金。而Cream.Finance也在8月30日遭遇闪贷攻击。

③Badger DAO——前端恶意代码注入

攻击者在Cloudflare后端获取了项目方的API Key，从而在网站前端代码中注入了一系列恶意代码。当用户访问前端网站时，触发恶意代码后，会发起交易，供用户确认。

如果用户确认恶意交易，则将令牌的使用权授予攻击者。然后攻击者可以通过托管使用权转移所有资金。

④Anyswap - 后台签名发生是因为后台签名中使用了不适当的值。攻击者通过两次交易推导出他签名的私钥。

■ 钱包 - 网络钓鱼信息

以比特币钱包 Electrum 为例，当旧版本的用户连接到攻击者的节点时，攻击者会通过该节点向该钱包发送钓鱼消息。

当用户看到网络钓鱼消息并下载带有后门的钱包时，黑客很容易获得用户私钥的访问权限。

■ 交流

如果与项目方发生事故，人们可以通过链上公开的交易记录进行分析。只有内部人员知道交换发生时发生了什么，信息不会被泄露。

一般交易所事件来自这几个方面：交易所的服务器被黑，攻击者访问了服务器中热钱包的私钥。

交易所工作人员被钓鱼攻击，然后攻击者通过工作人员账号访问内部系统，获取热钱包私钥等。

资产被盗后怎么办处理被盗资产的方式可以从项目方、交易所、第三方安全机构三个角度来分析。

项目方通常采用以下解决方案：

1） 及时暂停智能合约中的代币转账和交易服务。对于不能暂停的合约，检查合约中可以使用的特权功能，并屏蔽部分合约服务，防止合约再次被攻击。

2）还向社区发出警告，防止新投资者将财产放入有漏洞的合同中。

3）联系第三方安全机构寻求帮助，分析漏洞原因并共同修复漏洞。

4）对于被盗资金的去向——如果合约中有黑名单功能，会第一时间封锁黑客地址，防止黑客转移资金。

5）配合安全机构和执法部门追回被盗财物，提出合理的赔偿方案，减少用户损失。

从交流的角度来看，有两种情况：

1）如果交易所本身被盗，应立即暂停所有提存功能，以尽量减少损失。交易所保留系统中的所有信息（例如日志），以供将来分析和使用，联系安全机构或执法机构，并协助进行财产追踪。 2）如果项目被黑，交易所可以监控链上与黑客相关的地址，如果检测到与最近一次充值相关的地址，将立即冻结账户。安全机构需要做到以下几点：

1）事件发生后分析漏洞原因并修复。

2）在项目上线前提供安全审计服务，降低项目上线后的安全风险。

3）发布社区警告，看看其他项目是否有同样的漏洞。如果项目有同样的漏洞，可以通过保密渠道发出警告。

4）利用链上技术手段追踪资金流向，分析链下信息（如黑客的IP地址和设备），协助执法机构抓获黑客。那么，为什么安全机构层层筛选漏洞，仍然有机会被黑客利用呢？

事实上，一个项目的审计只能持续几个星期，而黑客的时间和精力是无限的。一旦他们针对某种类型的项目，他们就有比审计公司更多的时间来研究和行动。

今年出现的跨链桥接项目，由于大量用户资产被锁定在此类项目中，屡遭攻击。

其次，跨链桥与其他 DeFi 项目的区别在于，普通 DeFi 项目几乎 100% 的逻辑都是在智能合约上实现的，而跨链桥是 web2 和 web3 的结合，一个智能合约与传统后台集成的结合。

非去中心化的轨道，大量锁定资金，为黑客提供了攻击的机会。简而言之，除了自己的代码，DeFi 协议还需要坚不可摧，因为它们需要可组合以与其他协议交互，并且它们的业务逻辑也必须紧密对齐。

最重要的是，DeFi 协议需要依赖第三方服务（如外部预言机、中心化云平台等），而这些第三方服务很可能面临外部操纵的风险，从而也是产品被黑的原因。主要原因。

未来区块链安全展望 随着技术的发展，区块链行业会变得越来越安全吗？理论上是的。

先说底层技术，编写智能合约的Solidity语言会逐渐成熟。在最近的 Solidity 版本 8.0 之后，一个称为整数溢出的常见漏洞消失了。

其次，区块链行业对安全性的重视程度大大提高。最后，安全的开源代码库也增加了安全系数。 OpenZeppelin代码库是由专业人士编写的开源代码库，其代码质量会比较高且安全。

项目方只需要在代码库的基础上添加一些需要实现的功能，就可以从头开始编写代码了。 ()

另外，现在有很多安全工具会检查代码——它可以帮助项目方在不联系安全公司的情况下发现一些潜在的漏洞，从而提高代码的安全性。

例如CertiK天网天网扫描系统，作为24*7的安全智能引擎，为链上智能合约的部署提供多维度、实时透明的安全监控，24小时运行监控和危险警报。

此外，例如公开透明展示证券数据的证券排名和项目预警系统，也可以为项目方以外的投资者提供安全洞察。所有投资者都可以通过这个不受限制的证券洞察数据库查询所需的证券数据信息。

随着越来越多的技术人员加入该领域，区块链行业的安全壁垒将不断加强。

总而言之，DeFi 协议乃至整个区块链的安全问题是阻碍主流资金进入行业的主要因素。 DeFi 行业的安全性是无可挑剔的区块链合约地址查询，这是这个赛道项目必须达到的目标——尤其是对于高度中心化的跨链赛道。