2021 年就要畫下句號(hào)，復(fù)盤這一年區(qū)塊鏈領(lǐng)域發(fā)生的安全事件，涉及金額和影響最大的當(dāng)屬 8 月份跨鏈互操作協(xié)議 Poly Network 遭黑客攻擊，被盜資金超 6.1 億美元，這也是 DeFi 史上涉及金額最高的一次攻擊事件。
而發(fā)生安全事件次數(shù)較多、金額較大的月份為 5 月（多發(fā)生在 BSC 上，損失超 3 億美元）、8 月（影響較大的除 Poly Network 遭黑客攻擊外，總部位于日本的加密貨幣交易所 Liquid 熱錢包遭攻擊，損失 9135 萬美元）和 10 月、11 月、12 月。
Q4 也成為今年安全事件高發(fā)季度。據(jù)不完全統(tǒng)計(jì)，第 4 季度發(fā)生安全事件超 40 起，損失金額超 7 億美元，涉及的領(lǐng)域和類型多樣。Odaily星球日?qǐng)?bào)特整理了 Q4 各月的重要安全事件，并篩出幾起損失金額較大的，進(jìn)一步展開介紹，以向項(xiàng)目方及參與者揭示相應(yīng)風(fēng)險(xiǎn)。
回顧九起損失金額較大的加密領(lǐng)域安全事件
12 月 5 日，BitMart 創(chuàng)始人兼 CEO Sheldon Xia 發(fā)推表示，發(fā)現(xiàn)了兩個(gè)熱錢包相關(guān)的大規(guī)模安全漏洞，黑客提取價(jià)值約 1.5 億美元的資產(chǎn)。6 日，Sheldon Xia 表示這個(gè)安全漏洞主要是由于兩個(gè)熱錢包被盜私鑰造成。 BitMart 的其他資產(chǎn)是安全的，沒有受到損害。BitMart 將使用自己的資金來彌補(bǔ)這一事件并補(bǔ)償受影響的用戶。
10 月 27 日，DeFi 借貸協(xié)議 Cream Finance 再次遭受攻擊，損失超過 1.3 億美元。被盜的資金主要是 Cream LP 代幣和其他 ERC-20 代幣。PeckShield 發(fā)現(xiàn)了一筆用于實(shí)施這一攻擊行為的大額閃電貸。（Cream Finance 2021 年共 5 次遭遇黑客攻擊，總損失金額約 2 億美元。）
10 月 30 日，去中心化交易協(xié)議 BXH 在 BSC 鏈遭到攻擊，被盜超 1.3 億美元。初始黑客獲利地址（BSC: 0x4……d79）將 4000 ETH從 BSC 鏈轉(zhuǎn)移到 ETH 鏈，接著將 300 BTCB 兌換為 renBTC 跨鏈到地址（1Jw……Vow）。
12 月 3 日，去中心化組織 Badger DAO確認(rèn)遭受攻擊，損失達(dá) 1.203 億美元，包括約 2,100 枚 BTC 和 151 枚 ETH。BadgerDAO 表示，12 月 2 日發(fā)生的網(wǎng)絡(luò)釣魚事件是由運(yùn)行在 Badger 云網(wǎng)絡(luò)上的應(yīng)用平臺(tái) Cloudflare 的“惡意注入片段”引起的。黑客使用在 Badger 工程師不知情或未授權(quán)的情況下創(chuàng)建的受損 API 密鑰定期注入影響其部分客戶的惡意代碼。

11 月 26 日，Compound 遭預(yù)言機(jī)攻擊，9000 萬美元資產(chǎn)遭清算。此次 Compound 巨額清算是由于預(yù)言機(jī)信息源 Coinbase Pro 的 DAI 價(jià)格劇烈波動(dòng)導(dǎo)致的，操控預(yù)言機(jī)所依賴的信息源進(jìn)行短時(shí)間的價(jià)格操縱以達(dá)成誤導(dǎo)鏈上價(jià)格是典型的預(yù)言機(jī)攻擊。
12 月 12 日，頂峰 AscendEX 的內(nèi)部安全審計(jì)報(bào)告發(fā)現(xiàn)，部分 ERC-20、BSC 和 Polygon 代幣被異常轉(zhuǎn)移出交易所熱錢包，AscendEX 冷錢包不受此次事件影響。安全公司 PeckShield Inc.（派盾）發(fā)推稱，據(jù)估計(jì)，頂峰 AscendEX 的損失總計(jì)達(dá) 7770 萬美元（其中 6000 萬美元位于以太坊上，920 萬美元位于 BSC 上，850 萬美元位于 Polygon 上）。
11 月 30 日，自動(dòng)做市商協(xié)議 MonoX 確認(rèn)遭閃電貸攻擊，攻擊者耗盡 Polygon 和 Ethereum 上的流動(dòng)性池，獲利約 3100 萬美元。
11 月 11 日，USDM 團(tuán)隊(duì)利用 Convex 對(duì) Curve 發(fā)起治理攻擊，損失或超過 3000 萬美元。
10 月 15 日，被動(dòng)收益協(xié)議 Indexed Finance 遭到攻擊，受影響的資金池包括 DEFI5 和 CC10 。官方在 Discord 中表示，本次攻擊造成的損失約 1600 萬美元。
事件復(fù)盤后的經(jīng)驗(yàn)總結(jié)
從遭攻擊的項(xiàng)目所屬賽道來看，多為中心化交易所、DEX 等 DeFi 協(xié)議，原因主要有錢包漏洞、閃電貸攻擊、網(wǎng)絡(luò)釣魚事件等。
作為項(xiàng)目方，除加強(qiáng)安全方面（包括技術(shù)層面和金融機(jī)制）的預(yù)算和投入、接受多方審計(jì)外，設(shè)置風(fēng)控或?yàn)?zāi)備方案（如建立保險(xiǎn)金池、白帽懸賞計(jì)劃等），一定程度上也能起到“增信”的作用。
作為用戶，首先最好大致了解一些市場(chǎng)基本參數(shù)（如收益率）的平均水平，對(duì)吸引力太過驚人的項(xiàng)目多些警惕和復(fù)核。如果不具備代碼能力，建議通篇閱讀由頭部安全公司出具的對(duì)應(yīng)項(xiàng)目審計(jì)報(bào)告，往往都會(huì)提示具體的潛在風(fēng)險(xiǎn)點(diǎn)，并在項(xiàng)目方和其審計(jì)機(jī)構(gòu)兩處交叉核驗(yàn)報(bào)告的真實(shí)性和時(shí)效性，在此也分享一個(gè)小工具：DeFiYield 出的 DeFi 項(xiàng)目審計(jì)數(shù)據(jù)庫，可按項(xiàng)目名、幣名、地址或?qū)徲?jì)機(jī)構(gòu)搜索查詢審計(jì)報(bào)告。
再有就是保持一些互聯(lián)網(wǎng)時(shí)代也通用的防范意識(shí)，謹(jǐn)防假網(wǎng)站釣魚、電信詐騙、跑路風(fēng)險(xiǎn)等。對(duì)所參與項(xiàng)目的最新進(jìn)展多加關(guān)注，日常刷刷官方通告渠道（官網(wǎng)、Twitter 等）或社區(qū)（Discord、TG 等），一旦有技術(shù)升級(jí)、產(chǎn)品更新、服務(wù)暫停、漏洞預(yù)警或事故披露，也能第一時(shí)間獲悉并行動(dòng)起來。
最后，一旦所參與的項(xiàng)目不幸中招，不要輕信非官方人員的指導(dǎo)，慌亂操作；當(dāng)然，如果能在篩選項(xiàng)目的一步建立經(jīng)驗(yàn)的話，即便出現(xiàn)安全事故，更靠譜的項(xiàng)目方往往也會(huì)快速給出合理的賠償方案。

熱點(diǎn)：BTC ETH 代幣 以太 以太坊 冷錢包 加密貨幣 區(qū)塊鏈