區(qū)塊鏈以無審查著稱，是一片鼓勵(lì)創(chuàng)新的熱土，也是滋生犯罪的溫床。當(dāng)年眾籌超過1.5億美金的The Dao被黑客盜幣后，進(jìn)行了硬分叉操作，由此產(chǎn)生了如今的以太坊。自區(qū)塊鏈創(chuàng)世以后，各種針對(duì)交易所、錢包以及dapp的黑客盜幣事件頻發(fā)。那么，2021年區(qū)塊鏈安全領(lǐng)域又經(jīng)歷了何種波瀾，后續(xù)的處理工作又是如何的呢？
2021年區(qū)塊鏈黑客盜幣事件整理
Uranium Finance——邏輯漏洞
10月27日，Cream Finance預(yù)言機(jī)受到操縱。攻擊者從MakerDAO借用DAI來創(chuàng)建大量yUSD代幣，同時(shí)通過操縱多資產(chǎn)流動(dòng)性池（包含yDAI、yUSDC、yUSDT和YTUUSD）來操縱預(yù)言機(jī)對(duì)yUSD的報(bào)價(jià)。在提高了yUSD的價(jià)格后，攻擊者的yUSD價(jià)格被人為提高，從而創(chuàng)造了足夠的借款限額以借走Cream Finance在以太坊v1借貸市場(chǎng)的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。

Anyswap——后臺(tái)簽名
2）錢包——釣魚信息
不同于項(xiàng)目方一旦出事，人們可以通過鏈上公開的交易記錄進(jìn)行分析；交易所出事只有內(nèi)部人員知道發(fā)生了什么，那些信息也不會(huì)被公開。一般交易所出事來自于這幾個(gè)方面：交易所的服務(wù)器被黑了，攻擊者訪問到了服務(wù)器里面存在熱錢包的私鑰。交易所的工作人員被釣魚攻擊，然后攻擊者通過工作人員的賬號(hào)訪問到內(nèi)部系統(tǒng)，接觸到了熱錢包的私鑰等等。
資產(chǎn)被盜后的處理方式
項(xiàng)目方一般會(huì)采取這幾個(gè)解決方式：
1）即時(shí)暫停智能合約中的通證轉(zhuǎn)移和交易服務(wù)；對(duì)于不能暫停的合約，查看合約里可以使用的特權(quán)函數(shù)并屏蔽掉一部分合約的服務(wù)，避免合約被再次攻擊。
2）同時(shí)向社區(qū)發(fā)出警告，避免新的投資者把財(cái)產(chǎn)放到有漏洞的合約里面。
3）聯(lián)系第三方安全公司，請(qǐng)求幫助分析漏洞產(chǎn)生的原因，并合作共同修復(fù)漏洞。
4）對(duì)于被盜資金的去向，假如合約里面存在黑名單功能；第一時(shí)間屏蔽黑客地址，防止黑客進(jìn)行資金轉(zhuǎn)移。
5）和安全公司和執(zhí)法部門合作追回被盜的財(cái)產(chǎn)，同時(shí)想出合理的補(bǔ)償方案來減少用戶的損失。
那么，為何安全公司對(duì)于漏洞已經(jīng)層層篩查，還會(huì)被黑客有機(jī)可趁？事實(shí)是，對(duì)于某個(gè)項(xiàng)目的審計(jì)工作只能持續(xù)數(shù)個(gè)星期，而黑客的時(shí)間和精力是無限的。他們一旦瞄準(zhǔn)某類項(xiàng)目，便會(huì)有比審計(jì)公司多得多的時(shí)間進(jìn)行研究并展開行動(dòng)。
其次，安全的開源代碼庫也會(huì)提高安全系數(shù)。OpenZeppelin代碼庫是由專業(yè)人員寫的一個(gè)開源的代碼庫，它的代碼質(zhì)量會(huì)相對(duì)比較高、比較安全。項(xiàng)目方只需要在代碼庫的基礎(chǔ)上添加想實(shí)現(xiàn)的一些功能，便能實(shí)現(xiàn)從零開始寫代碼。
從人為因素出發(fā)，項(xiàng)目方需要考慮金融模型以及商業(yè)邏輯是否值得推敲，并進(jìn)行不計(jì)其數(shù)的測(cè)試才能消弭潛在的風(fēng)險(xiǎn)。
總而言之，Defi協(xié)議乃至整個(gè)區(qū)塊鏈安全問題是主流資金無法進(jìn)入行業(yè)的主要因素。環(huán)顧Defi出事的所有原因，最主要的還是Defi項(xiàng)目還無法完全去中心化，需要借助第三方的外部服務(wù)。Defi行業(yè)在安全性上達(dá)到無懈可擊，是這一賽道項(xiàng)目必需實(shí)現(xiàn)的目標(biāo)（尤其對(duì)中心化嚴(yán)重的跨鏈賽道而言），期待行業(yè)下一周期跑出擁有全新業(yè)務(wù)邏輯的Defi產(chǎn)品來！

熱點(diǎn)：以太坊 區(qū)塊鏈 智能合約 金融 代幣 以太 錢包