作者:鄭冉
2021 年就要畫下句號,复盤這一年區塊鏈領域發生的安全事件,涉及金額和影響最大的當屬8 月份跨鏈互操作協議Poly Network 遭黑客攻擊,被盜資金超6.1 億美元,這也是 DeFi 史上涉及金額最高的一次攻擊事件。
而發生安全事件次數較多、金額較大的月份為5 月(多發生在BSC 上,損失超3 億美元)、8 月(影響較大的除Poly Network 遭黑客攻擊外,總部位於日本的加密貨幣交易所 Liquid 熱錢包遭攻擊,損失9135 萬美元)和10 月、11 月、12 月。
Q4 也成為今年安全事件高發季度。據不完全統計,第4 季度發生安全事件超 40 起,損失金額超 7 億美元,涉及的領域和類型多樣。 Odaily星球日報特整理了Q4 各月的重要安全事件,並篩出幾起損失金額較大的,進一步展開介紹,以向項目方及參與者揭示相應風險。
回顧九起損失金額較大的加密領域安全事件
12 月5 日,BitMart 創始人兼CEO Sheldon Xia 發推表示,發現了兩個熱錢包相關的大規模安全漏洞,黑客提取價值約1.5 億美元的資產。 6 日,Sheldon Xia 表示這個安全漏洞主要是由於兩個熱錢包被盜私鑰造成。 BitMart 的其他資產是安全的,沒有受到損害。 BitMart 將使用自己的資金來彌補這一事件並補償受影響的用戶。
10 月27 日,DeFi 借貸協議 Cream Finance 再次遭受攻擊,損失超過1.3 億美元。被盜的資金主要是Cream LP 代幣和其他ERC-20 代幣。 PeckShield 發現了一筆用於實施這一攻擊行為的大額閃電貸。 (Cream Finance 2021 年共5 次遭遇黑客攻擊,總損失金額約2 億美元。)
10 月30 日,去中心化交易協議BXH 在BSC 鏈遭到攻擊,被盜超1.3 億美元。初始黑客獲利地址(BSC: 0x4……d79)將4000 ETH從BSC 鏈轉移到ETH 鏈,接著將300 BTCB 兌換為renBTC 跨鏈到地址(1Jw……Vow)。
12 月3 日,去中心化組織Badger DAO確認遭受攻擊,損失達1.203 億美元,包括約2,100 枚BTC 和151 枚ETH。 BadgerDAO 表示,12 月2 日發生的網絡釣魚事件是由運行在Badger 云網絡上的應用平台Cloudflare 的“惡意注入片段”引起的。黑客使用在Badger 工程師不知情或未授權的情況下創建的受損API 密鑰定期注入影響其部分客戶的惡意代碼。
11 月26 日,Compound 遭預言機攻擊,9000 萬美元資產遭清算。此次Compound 巨額清算是由於預言機信息源 Coinbase Pro 的DAI 價格劇烈波動導致的,操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊。
12 月12 日,頂峰AscendEX 的內部安全審計報告發現,部分ERC-20、BSC 和 Polygon 代幣被異常轉移出交易所熱錢包,AscendEX 冷錢包不受此次事件影響。安全公司PeckShield Inc.(派盾)發推稱,據估計,頂峰AscendEX 的損失總計達7770 萬美元(其中6000 萬美元位於以太坊上,920 萬美元位於BSC 上,850 萬美元位於Polygon 上)。
11 月30 日,自動做市商協議MonoX 確認遭閃電貸攻擊,攻擊者耗盡Polygon 和Ethereum 上的流動性池,獲利約3100 萬美元。
11 月11 日,USDM 團隊利用Convex 對 Curve 發起治理攻擊,損失或超過3000 萬美元。
10 月15 日,被動收益協議Indexed Finance 遭到攻擊,受影響的資金池包括DEFI5 和CC10 。官方在Discord 中表示,本次攻擊造成的損失約1600 萬美元。
事件复盤後的經驗總結
從遭攻擊的項目所屬賽道來看,多為中心化交易所、DEX 等DeFi 協議,原因主要有錢包漏洞、閃電貸攻擊、網絡釣魚事件等。
作為項目方,除加強安全方面(包括技術層面和金融機制)的預算和投入、接受多方審計外,設置風控或災備方案(如建立保險金池、白帽懸賞計劃等),一定程度上也能起到“增信”的作用。
作為用戶,首先最好大致了解一些市場基本參數(如收益率)的平均水平,對吸引力太過驚人的項目多些警惕和復核。如果不具備代碼能力,建議通篇閱讀由頭部安全公司出具的對應項目審計報告,往往都會提示具體的潛在風險點,並在項目方和其審計機構兩處交叉核驗報告的真實性和時效性,在此也分享一個小工具:DeFiYield 出的DeFi 項目審計數據庫,可按項目名、幣名、地址或審計機構搜索查詢審計報告。
再有就是保持一些互聯網時代也通用的防範意識,謹防假網站釣魚、電信詐騙、跑路風險等。對所參與項目的最新進展多加關注,日常刷刷官方通告渠道(官網、Twitter 等)或社區(Discord、TG 等),一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露,也能第一時間獲悉並行動起來。
最後,一旦所參與的項目不幸中招,不要輕信非官方人員的指導,慌亂操作;當然,如果能在篩選項目的一步建立經驗的話,即便出現安全事故,更靠譜的項目方往往也會快速給出合理的賠償方案。
特別聲明
免責聲明:本文不代表0x财经立場,且不構成投資建議,請謹慎對待,如需報導或加入交流群,請聯繫微信:VOICE-V。
來源:星球日報原創
