DEF:2020链上安全报告：DeFi攻击60逾起 损失超2.5亿美元_比特币SV

2020链上安全报告：DeFi攻击60逾起损失超2.5亿美元

区块律动BlockBeats

刚刚

25

魔幻的2020年在牛市的陪伴下落下了帷幕，然而这一年中链上安全事件却频频发生。律动BlockBeats将2020年中发生的链上安全事件进行了总结。《2020链上安全报告》主要分为四部分：2020影响币圈行业的大事件、以太坊安全事件、合约保险以及DeFi合约外的其他攻击。

2020影响币圈行业的大事件?

2020年新冠疫情对于全球经济造成了极大的影响，美股一个月内经历了三次熔断，与此同时加密资产市场也受到了牵连。3月12日加密资产全体暴跌无一幸免，比特币日内跌幅达50%，加密资产市场总市值近乎腰斩。随后各国央行选择以最简单粗暴的方式来应对此次重创：疯狂QE放水。这种刺激手段虽然是货币政策中最行之有效的，然而其副作用也是显而易见的。?

如果说次贷危机所引发的金融海啸造就了比特币，那么疫情所导致的大量印钞让更多人认识到比特币是一种稀缺资产且可对冲法币贬值的风险。合规买入、托管以及各类加密资产基建和衍生品的成熟从各个角度为加密资产需求者提供了完美的解决方案，诸多机构也就顺理成章地选择了比特币以及其他龙头加密资产作为资产配置的一部分。

美联储主席：如果通胀率在2022年仍保持较高水平 可能达到加息条件:美联储主席鲍威尔表示，在通货膨胀方面已经取得了实质性进展。美联储的通胀预测显示通胀率“非常温和”地超出了2%的目标。通胀预测今年和未来几年有所上升，这反映出瓶颈和短缺尚未以“有意义的方式”缓解。希望通胀预期稳定在2%左右，将通胀预期固定在2%是最终的考验。如果通胀率在2022年仍然保持较高水平，美联储可能就达到了加息的条件。（金十）[2021/9/23 16:59:32]

若散户未能享受到机构牛市所带来的红利，那么流动性挖矿的热潮大家一定都没缺席。那些曾经只将币存放在中心化交易所的用户为了成为DeFi「农民」将资产转入「狐狸头」中，将非生产性资产通过去中心化交易所换成了种地的「锄头」。疯狂的挖矿让以太坊链上资产市值飞上云端，但同时，这也成为了黑客嘴边的肥肉。

图源：OKLink

以太坊的安全事件?

德国预计从2022年第一季度起实施其加密基金份额新规:9月20日消息，德国联邦财政部一名发言人表示，预计其允许投资基金发行加密基金份额的法令草案将从明年第一季度开始生效。该发言人称，有关该条例草案的磋商将持续到10月1日，并补充说，在这一过程结束时，欧盟委员会将收到通知，然后可以在3个月内提交答复，因此，该条例只能从2022年第一季度开始生效。根据这位发言人的说法，加密基金份额的新规定将不包括投资门槛，但有关个人投资者的规定仍将适用。据悉，《基金配置法案》（The Fund Location Act）限制机构投资基金（即Spezialfonds）在加密资产中的配置不超过其资产的20%。（IPE）[2021/9/21 23:39:16]

在流动性挖矿的带领下，沉寂已久的DeFi在2020年下半年成为焦点。用户将资产存入合约，为协议提供流动性，从而获得协议的费用分成和治理代币奖励。

由于协议内存放着各类有价资产，这让DeFi协议成为了被攻击重灾区。黑客们通过各种手段向合约发起攻击，据PeckShield派盾统计2020年DeFi安全事件达到60起，损失逾2.5亿美元，占统计的黑客攻击造成总损失的12.5%，远超2019年数据。

公链IoTeX列入“2021中国AIoT产业全景图谱”:由物联网智库连续第五年推出的“2021中国AIoT产业全景图谱”，将新一代高性能公链IoTeX列为区块链子图谱中的物联网解决方案之一。

《2021年中国AIoT产业全景图谱》分为“端”、“边”、“管”、“云”、“用”、“产业服务”六大板块。通过近距离观察AIoT产业及主要参与者，梳理产业现状，并分析、预测市场发展趋势，帮助用户把握产业发展脉络。

IoTeX作为硅谷开源项目成立于2017年，将链接现实世界和数字世界为发展目标，是与以太坊全兼容的高性能公有区块链。[2021/7/6 0:29:42]

图片来源：PeckShield派盾

发生在DeFi合约中最常见的三种攻击分别为预言机操纵攻击(闪电贷)、重入攻击以及代码漏洞。

?预言机操纵(闪电贷、套利)攻击?

在现今DeFi大热的背景下，预言机攻击极为普遍，因为大多数DeFi协议都需要通过喂价预言机来提供价格信息。一般来说，喂价预言机分为链上和链下两种，链上预言机通过抓取去中心化交易所价格来获取信息，而链下预言机则从中心化交易所获得价格。

现场 | 度小满金融区块链负责人李丰：2020年关注区块链技术发展 鼓励基础技术研究:金色财经现场报道，1月15日上午，由易趣财经、一本区块链、《金融理财》杂志社主办的“破界·融合”区块链与数字金融高峰论坛在北京举办。度小满金融区块链负责人李丰现场表示，目前区块链技术还没有达到冲击效应，但已经对金融业产生了一些刺激，在2020年应该更加关注核心技术。当前应该鼓励区块链技术创新、鼓励基础技术研究。当底层繁荣起来后，商业价值的形成是水到渠成顺理成章的事情。[2020/1/15]

这两种喂价预言机方式各有优劣，从链上获取价格可以通过协议完全去信任化，但存在被操纵攻击风险。链下预言机虽不存在被闪电贷攻击风险，但其价格源需依赖于中心化交易所提供，存在中心化风险，且链下数据在链上反映较慢。

在链上，用户可以通过闪电贷工具瞬间完成大额借款、兑换和大额存入等一系列操作，这使得攻击者可以自行创造套利机会，从而操控去中心化交易所价格来扰乱其他使用该价格的DeFi应用，最终完成套利攻击，典型案例有bZx，CheeseBank，Harvest以及Valley等喂价预言机攻击事件。

动态 | 报告：关于以太坊提案EIP-2025的讨论是重要而健康的:Circle Research发布报告对最近以太坊核心开发者关于EIP-2025讨论的回应。核心开发者和以太坊支持者就建立一种利用区块奖励预定部分的资金模式进行激烈辩论。支持者主要属于将从这笔资金中获益的阵营，反对该计划的比例更大，包括大多数推特用户。报告称，已提出其他筹资方法，包括分配自愿捐款、基于社区的投资和创建GitHub奖金。 虽然以太坊基金会已概述在未来12个月花费3000万美元的计划（900万美元将用于当前的ETH 1.x迭代），但加密货币生态系统需要明确定义的未来融资模式。“我们不确定EIP-2025在技术上是否合理，但它引发一场重要、可以说是健康的讨论，讨论的主题是在社区/网络的基因之外引入这种形式的资金所带来的挑战。”（CryptoGlobe）[2019/8/5]

重入攻击?

重入攻击是一种危害性极高的攻击手段，可以轻松榨干合约内所有资产。著名的theDAO被盗事件就是攻击者运用重入攻击导致以太坊硬分叉，损失了价值5000万美元的以太坊。

智能合约不仅可以相互调用，也可以在内部调用。一般情况下，这不会产生任何问题，但当调用使得合约状态不一致时，例如取款金额大于合约内金额时，或当某合约还未将余额设为零前就发起转账，此时攻击者可滥用提现功能提取合约中所有余额。今年经典的重入攻击案例有：Akropolis，dForce以及Origin。

合约漏洞?

此类攻击通常是由于开发者在编写智能合约时，出现逻辑漏洞或自留后门所导致的。大多合约漏洞出现在未经审计的合约上，较常见的手法是攻击者通过合约漏洞无限铸币随后榨干流动性池内资产，冻结合约内资产，或是合约开发者取走合约资产后跑路。

合约保险?

在去中心化的世界中，由于DeFi应用迭代速度过快，为了追赶热度许多应用的合约在没有通过第三方审计的情况下就进行了发布。由智能合约漏洞而损失的资产也是不计其数。许多用户可能会抱怨项目方不负责任，但有些项目并没有公开项目信息，由于FOMO情绪，用户为了抢先一步参与到项目中，会通过蛛丝马迹寻找尚未公开的项目合约。

例如在9月29日凌晨，YFI创始人在其参与开发的新项目的推特上发布了两张项目相关设计图，随后被黑客找到此项目合约地址并利用闪电贷攻击盗取了1600万枚DAI。?

合约审计对于高速迭代的DeFi产品来说耗费时间过长，保险或许会是更好选择。DeFi要发展，需要保险这样的基础设施。如果只是靠DeFi协议用户自行去购买保险，这是不现实的。一种方案可由协议的交易费用或挖矿收益中抽取一部分，存入项目的金库中，金库中一部分用于购买协议保险。

DeFi合约外的其他攻击?

除了合约攻击外，公链攻击、交易所以及钱包攻击也不占少数。大多数公链攻击的方式为51%攻击，自年初开始，多个区块链项目相继遭受51%双花攻击。1月到2月间，BTG网络多次遭到双花攻击，损失达到5万美元以上。7到8月之间，以太经典遭受了三次51%攻击，损失高达上千万美元，OKEx一度考虑从交易所中下架ETC。11月8日，GrinNetwork受到51％攻击，由于反应及时，故并未造成损失。

发生51%攻击的主要原因在于区块链项目的共识程度不够，矿工转向其他项目，致使维护网络运转的算力下降，给了攻击者可乘之机。例如ETC、BTG、AE，这些都是几年前的老牌区块链项目，项目热度严重下降，币价表现不佳，由于矿工收益与币价有直接关系，矿工们也就顺势投身收益更高的公链中。

当然，一部分新项目也会成为被攻击对象，虽然币价表现一般，但因其尚未凝聚强大的社区，故而没有足够的共识和算力，攻击成本也相对较低，最终也会是黑客下手的目标。从具体实现方式上看，随着被攻击网络算力下降或其本身的算力不足，攻击者可通过租用算力获得足够的算力进行攻击，并且攻击成本较低，收益一般远高于成本。

图片来源：Crypto51.app

Kucoin交易所热钱包被盗事件也引起了圈内人的重点关注。本次入侵影响了该交易所的比特币、以太坊和ERC-20热钱包，平台损失了近2.81亿美元资产。然而KuCoin的攻击者貌似十分着急，试图直接将USDT打散充入币安和抹茶交易所变现，然而，还没来得及操作相关账户就被两家交易所及时冻结。随后Bitfinex、Tether也相继冻结KuCoin攻击地址上约3300万USDT，忙活了大半天，这名黑客似乎什么也没有得到。

总结?

在魔幻的2020年加密市场经历了太多太多，在312过后人们重拾信心，DeFi所点燃的FOMO情绪不亚于当年的IC0，用户的热情无疑让开发者更有动力开发出更有趣、优质、吸引人的链上应用，当然安全性是第一位的。现今传统金融机构已经将目光聚集在加密资产之上，加密金融应用将必定成为关注焦点，若想让加密金融应用完全去中心化，那么首要关注点就必须是安全性。在未来，将必定出现合约保险外的其他衍生品来对冲资产安全风险，日益完善的技术也将从各维度增加攻击成本。相信在加密市场飞速发展的明天，安全事件会越来越少！

安全问题

链上交易

本文来源：

区块律动BlockBeats

文章作者：律动研究院

我要纠错

声明：本文由入驻金色财经的作者撰写，观点仅代表作者本人，绝不代表金色财经赞同其观点或证实其描述。

提示：投资有风险，入市须谨慎。本资讯不作为投资理财建议。

金色财经>区块链>2020链上安全报告：DeFi攻击60逾起损失超2.5亿美元

标签：DEF比特币中心化交易所区块链PINETWORKDEFI价格比特币SV全球最大的去中心化交易所是哪个区块链工程专业学什么女生

ADA热门资讯