DEFI:2020链上安全报告：DeFi攻击60逾起 损失超2.5亿美元

魔幻的2020年在牛市的陪伴下落下了帷幕，然而这一年中链上安全事件却频频发生。律动BlockBeats将2020年中发生的链上安全事件进行了总结。《2020链上安全报告》主要分为四部分：2020影响币圈行业的大事件、以太坊安全事件、合约保险以及DeFi合约外的其他攻击。

2020影响币圈行业的大事件?

2020年新冠疫情对于全球经济造成了极大的影响，美股一个月内经历了三次熔断，与此同时加密资产市场也受到了牵连。3月12日加密资产全体暴跌无一幸免，比特币日内跌幅达50%，加密资产市场总市值近乎腰斩。随后各国央行选择以最简单粗暴的方式来应对此次重创：疯狂QE放水。这种刺激手段虽然是货币政策中最行之有效的，然而其副作用也是显而易见的。?

如果说次贷危机所引发的金融海啸造就了比特币，那么疫情所导致的大量印钞让更多人认识到比特币是一种稀缺资产且可对冲法币贬值的风险。合规买入、托管以及各类加密资产基建和衍生品的成熟从各个角度为加密资产需求者提供了完美的解决方案，诸多机构也就顺理成章地选择了比特币以及其他龙头加密资产作为资产配置的一部分。

纽约邮报：2023年超级碗电视广告将禁止加密货币公司:金色财经报道，据纽约邮报（New York Post）报道，超级碗直播平台福克斯体育（Fox Sports）表示，在加密货币交易所 FTX 倒闭后，它已禁止在今年的超级碗比赛中投放加密货币广告。许多加密货币公司，包括 Coinbase、Crypto.com 和 FTX，都在 2022 年最大的体育赛事期间为其公司做广告。但 Fox 表示，今年的广告清单中不会包含加密货币。Fox Sports 广告销售执行副总裁 Mark Evans 表示：“当天代表该类别的广告数量为零”。Evans 表示，两家加密货币公司已经预订了超级碗广告，其他公司则“接近达成交易”，但在有关 FTX 的消息公开后，这些交易就停止了。

据统计，每年全球约有 1 亿观众观看超级碗，这使其成为对公司最具吸引力的商业机会之一。 据 MediaRadar 称，2022 年，加密货币公司在超级碗广告上的总支出为 5400 万美元。[2023/2/8 11:53:53]

若散户未能享受到机构牛市所带来的红利，那么流动性挖矿的热潮大家一定都没缺席。那些曾经只将币存放在中心化交易所的用户为了成为DeFi「农民」将资产转入「狐狸头」中，将非生产性资产通过去中心化交易所换成了种地的「锄头」。疯狂的挖矿让以太坊链上资产市值飞上云端，但同时，这也成为了黑客嘴边的肥肉。

Michael Saylor：BTC从2020年8月至今上涨了83%:7月9日消息，MicroStrategy首席执行官Michael Saylor发推称，MicroStrategy 2020年8月以2.5亿美元购入了21454枚BTC，自那时起，BTC上涨83%，$MSTR上涨79%，标普500指数上涨16%，纳斯达克指数上涨6%，黄金下跌14%，债券下跌16%，白银下跌33%。[2022/7/9 2:02:09]

图源：OKLink

以太坊的安全事件?

在流动性挖矿的带领下，沉寂已久的DeFi在2020年下半年成为焦点。用户将资产存入合约，为协议提供流动性，从而获得协议的费用分成和治理代币奖励。

由于协议内存放着各类有价资产，这让DeFi协议成为了被攻击重灾区。黑客们通过各种手段向合约发起攻击，据PeckShield派盾统计2020年DeFi安全事件达到60起，损失逾2.5亿美元，占统计的黑客攻击造成总损失的12.5%，远超2019年数据。

Meta元宇宙业务2021年亏损达100亿美元:2月3日消息，Meta（前 Facebook）于当地时间周三（2 月 2 日）发布四季度财报，其中首次披露了旗下 Reality Labs 部门的财务状况。Reality Labs 是负责构建 Meta 首席执行官 Mark Zuckerberg 元宇宙愿景的部门。数据显示，Reality Labs 仅在 2021 年的亏损就超过了 100 亿美元，具体而言：

1、2019 年：收入 5.01 亿美元，净亏损 45 亿美元

2、2020 年：收入 11.4 亿美元，净亏损 66.2 亿美元

3、2021 年：净亏损 101.9 亿美元，收入 22.7 亿美元（收入包括硬件，如 Meta Quest 虚拟现实头显）

对此，Meta 首席财务官表示，2022 年 Meta「元宇宙」业务经营亏损仍将增加。元宇宙业务走低也拖累了 Meta 全年盈利能力，排除 Reality Labs 的亏损，该公司去年全年的利润将超过 560 亿美元。[2022/2/3 9:29:57]

图片来源：PeckShield派盾

动态 | 慢雾：2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测：世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘，通过对其三个传播版本的行为分析，其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚，2019-09-01 0.03011781 枚，且 2019 年仅发生一次，另外一个 2020 还在活跃，2020 开始已经勒索收到 8 笔比特币支付，但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12，总收益比特币 54.43334953 枚。虽然收益很少，但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫，其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞，其成功的全球影响力且匿名性为之后的一系列勒索蠕虫（如 GandCrab）带来了巨大促进。[2020/2/23]

发生在DeFi合约中最常见的三种攻击分别为预言机操纵攻击(闪电贷)、重入攻击以及代码漏洞。

2020年，数字货币市场将达到20万亿美元的水平:弗吉尼亚州参议员马克·华纳（Mark Warner）在美国参议院听证会上表示，对数字货币非常看好，数字货币的兴起是一个重大的财富热潮。预估到2020年，数字货币市场将达到20万亿美元的水平。[2018/2/7]

?预言机操纵(闪电贷、套利)攻击?

在现今DeFi大热的背景下，预言机攻击极为普遍，因为大多数DeFi协议都需要通过喂价预言机来提供价格信息。一般来说，喂价预言机分为链上和链下两种，链上预言机通过抓取去中心化交易所价格来获取信息，而链下预言机则从中心化交易所获得价格。

这两种喂价预言机方式各有优劣，从链上获取价格可以通过协议完全去信任化，但存在被操纵攻击风险。链下预言机虽不存在被闪电贷攻击风险，但其价格源需依赖于中心化交易所提供，存在中心化风险，且链下数据在链上反映较慢。

在链上，用户可以通过闪电贷工具瞬间完成大额借款、兑换和大额存入等一系列操作，这使得攻击者可以自行创造套利机会，从而操控去中心化交易所价格来扰乱其他使用该价格的DeFi应用，最终完成套利攻击，典型案例有bZx，CheeseBank，Harvest以及Valley等喂价预言机攻击事件。

重入攻击?

重入攻击是一种危害性极高的攻击手段，可以轻松榨干合约内所有资产。著名的theDAO被盗事件就是攻击者运用重入攻击导致以太坊硬分叉，损失了价值5000万美元的以太坊。

智能合约不仅可以相互调用，也可以在内部调用。一般情况下，这不会产生任何问题，但当调用使得合约状态不一致时，例如取款金额大于合约内金额时，或当某合约还未将余额设为零前就发起转账，此时攻击者可滥用提现功能提取合约中所有余额。今年经典的重入攻击案例有：Akropolis，dForce以及Origin。

合约漏洞?

此类攻击通常是由于开发者在编写智能合约时，出现逻辑漏洞或自留后门所导致的。大多合约漏洞出现在未经审计的合约上，较常见的手法是攻击者通过合约漏洞无限铸币随后榨干流动性池内资产，冻结合约内资产，或是合约开发者取走合约资产后跑路。

合约保险?

在去中心化的世界中，由于DeFi应用迭代速度过快，为了追赶热度许多应用的合约在没有通过第三方审计的情况下就进行了发布。由智能合约漏洞而损失的资产也是不计其数。许多用户可能会抱怨项目方不负责任，但有些项目并没有公开项目信息，由于FOMO情绪，用户为了抢先一步参与到项目中，会通过蛛丝马迹寻找尚未公开的项目合约。

例如在9月29日凌晨，YFI创始人在其参与开发的新项目的推特上发布了两张项目相关设计图，随后被黑客找到此项目合约地址并利用闪电贷攻击盗取了1600万枚DAI。?

合约审计对于高速迭代的DeFi产品来说耗费时间过长，保险或许会是更好选择。DeFi要发展，需要保险这样的基础设施。如果只是靠DeFi协议用户自行去购买保险，这是不现实的。一种方案可由协议的交易费用或挖矿收益中抽取一部分，存入项目的金库中，金库中一部分用于购买协议保险。

DeFi合约外的其他攻击?

除了合约攻击外，公链攻击、交易所以及钱包攻击也不占少数。大多数公链攻击的方式为51%攻击，自年初开始，多个区块链项目相继遭受51%双花攻击。1月到2月间，BTG网络多次遭到双花攻击，损失达到5万美元以上。7到8月之间，以太经典遭受了三次51%攻击，损失高达上千万美元，OKEx一度考虑从交易所中下架ETC。11月8日，GrinNetwork受到51％攻击，由于反应及时，故并未造成损失。

发生51%攻击的主要原因在于区块链项目的共识程度不够，矿工转向其他项目，致使维护网络运转的算力下降，给了攻击者可乘之机。例如ETC、BTG、AE，这些都是几年前的老牌区块链项目，项目热度严重下降，币价表现不佳，由于矿工收益与币价有直接关系，矿工们也就顺势投身收益更高的公链中。

当然，一部分新项目也会成为被攻击对象，虽然币价表现一般，但因其尚未凝聚强大的社区，故而没有足够的共识和算力，攻击成本也相对较低，最终也会是黑客下手的目标。从具体实现方式上看，随着被攻击网络算力下降或其本身的算力不足，攻击者可通过租用算力获得足够的算力进行攻击，并且攻击成本较低，收益一般远高于成本。

图片来源：Crypto51.app

Kucoin交易所热钱包被盗事件也引起了圈内人的重点关注。本次入侵影响了该交易所的比特币、以太坊和ERC-20热钱包，平台损失了近2.81亿美元资产。然而KuCoin的攻击者貌似十分着急，试图直接将USDT打散充入币安和抹茶交易所变现，然而，还没来得及操作相关账户就被两家交易所及时冻结。随后Bitfinex、Tether也相继冻结KuCoin攻击地址上约3300万USDT，忙活了大半天，这名黑客似乎什么也没有得到。

总结?

在魔幻的2020年加密市场经历了太多太多，在312过后人们重拾信心，DeFi所点燃的FOMO情绪不亚于当年的IC0，用户的热情无疑让开发者更有动力开发出更有趣、优质、吸引人的链上应用，当然安全性是第一位的。现今传统金融机构已经将目光聚集在加密资产之上，加密金融应用将必定成为关注焦点，若想让加密金融应用完全去中心化，那么首要关注点就必须是安全性。在未来，将必定出现合约保险外的其他衍生品来对冲资产安全风险，日益完善的技术也将从各维度增加攻击成本。相信在加密市场飞速发展的明天，安全事件会越来越少！

标签：DEFIDEFEFI比特币DeFi Bidsdefi communityDefiDollar DAO比特币钻石今日最新价格

USDT热门资讯