区块链是鼓励创新的沃土,在某种程度上也因其安全隐患成为犯罪的温床。众筹超过1.5亿美元的TheDAO被黑客盗取后,进行了硬分叉操作,才有了今天的以太坊。自区块链诞生以来,各种针对交易所、钱包、Dapp的黑客攻击事件时有发生。那么,2021年区块链安全领域经历了怎样的波澜?前几年的历史。截至第三季度,共有32起黑客事件导致15亿美元资产被盗,而去年全年这一数字为1.8亿美元。DeFiProtocolUraniumFinance——逻辑漏洞2021年4月,流动性挖矿协议Uranium遭到攻击。被攻击的智能合约是MasterChief的修改版(MasterChief是一种用于创建质押池并将质押奖励返还给用户的智能合约)。其中,用于实现“质押奖励”的代码存在逻辑漏洞,让黑客获得比他人更多的挖矿奖励。黑客抽空了RAD/sRADS池并将其换成价值130万美元的BUSD和BNB。CreamFinance-Oracle操纵10月27日,CreamFinance预言机被操纵。攻击者从MakerDAO借入DAI创建大量yUSD代币,同时通过操纵多资产流动性池(包括yDAI、yUSDC、yUSDT、YTUUSD)操纵预言机对yUSD的报价。在提高yUSD的价格后,攻击者人为地提高了yUSD的价格,从而创造了足够的借贷限额,可以借到以太坊v1借贷市场上CreamFinance的绝大部分资金。Cream.Finance也在8月30日遭到闪电贷攻击BadgerDAO——前端恶意代码注入网站的前端代码。当用户访问前端网站时,恶意代码被触发后,会发起交易供用户确认。如果用户确认了恶意交易,则令牌的使用权将交给攻击者。攻击者可以通过托管权转移所有的钱。Anyswap——因为后台签名使用了不合适的值导致后台签名。攻击者通过两次交易推导出其签名私钥。钱包-钓鱼信息以比特币钱包Electrum为例,当用户使用旧版本连接到攻击者节点时,攻击者通过该节点向钱包发送钓鱼信息。当用户看到钓鱼信息,下载带有后门的钱包后,黑客就可以轻松掌握用户的私钥。交易所不同于项目方。一旦项目方发生意外,人们可以通过链上的公开交易记录进行分析。当交易所发生事故时,只有内部人员知道发生了什么,不会公开信息。一般的交易所事故来自这几个方面:交易所服务器被黑,攻击者获取了服务器中热钱包的私钥。交易所工作人员被钓鱼攻击,然后攻击者通过工作人员的账户访问内部系统,接触到热钱包私钥等。资产被盗如何处理关于资产被盗如何处理,可以从项目方、交易所、第三方安全机构三个角度来分析。项目方一般采用这些方案及时暂停智能合约中的代币转账和交易服务。对于不能暂停的合约,检查合约中可以使用的特权功能,并屏蔽部分合约的服务,避免合约再次被攻击。同时向社会发出警示,防止新投资者将物业置入合同漏洞。联系第三方安全机构,请求帮助分析漏洞原因,配合修复漏洞。对于被盗资金的去向——如果合约中有黑名单功能,会第一时间封锁黑客地址,防止黑客转移资金。配合安全部门和执法部门追回被盗财物,同时提出合理的赔偿方案,减少用户损失。从交易所的角度来看,如果交易所本身被盗,需要立即暂停所有提现和充值功能,将损失降到最低。交易所保留系统中的所有信息(例如日志)以供日后分析,并联系安全机构或执法机构协助进行财产追踪。如果某个项目被黑客攻击,交易所可以监控到与黑客相关的链上地址。如果检测到与最新充值关联的地址,该账户将立即被冻结。事件发生后,安全机构需要做以下工作来分析漏洞产生的原因并修复漏洞。在项目恢复上线前提供安全审计服务,降低项目恢复上线后的安全风险。发布社区警告并检查其他项目是否具有相同的漏洞。如果存在相同漏洞的项目,可以通过保密渠道发出警告。利用链上技术手段追踪资金流向,分析链下信息(如黑客IP地址、设备等),协助执法部门抓捕黑客。那么,为什么安全机构层层筛选漏洞,黑客还是有机可乘呢?事实上,某个项目的审计工作只能持续几周,而黑客的时间和精力是无限的。一旦他们瞄准了某种类型的项目,他们就有比审计公司更多的时间来进行研究和采取行动。今年涌现的跨链桥接项目,由于大量用户资产被锁定在此类项目中,屡遭攻击。其次,跨链桥和其他DeFi项目的区别在于,普通DeFi项目几乎100%的逻辑都是在智能合约上实现的,而跨链桥是web2和web3的结合,是智能合约的结合合同和传统后端。不去中心化且锁仓资金量巨大的赛道给了黑客攻击的可乘之机。简而言之,DeFi协议除了自身的代码外,还需要是扎实的,因为它需要可组合才能与其他协议进行交互,业务逻辑也必须是无缝的。最重要的是,DeFi协议需要依赖第三方服务(如外部预言机、中心化云平台等),而这些第三方服务很可能面临被外部操纵的风险,这也是主要原因为什么产品被黑客攻击。展望区块链安全的未来随着技术的发展,区块链行业会越来越安全吗?理论上,是的。先说底层技术。首先,编写智能合约的Solidity语言正在慢慢走向成熟。在最近的Solidity8.0版本之后,一个叫做整数溢出(integeroverflow)的常见漏洞消失了。其次,区块链行业对安全的重视程度显着提高。最后,安全的开源代码库也提高了安全性。OpenZeppelin代码库是专业人士编写的开源代码库,其代码质量会比较高,也比较安全。项目方只需要在代码库的基础上添加一些自己想要实现的功能,就可以从头开始写代码了。另外,现在有很多安全工具会对代码进行检查——它可以帮助项目方在不联系安全公司的情况下发现一些潜在的漏洞,从而提高代码的安全性。例如CertiK天网扫描系统,作为一个24*7的安全情报引擎,可以为智能合约在链上的部署提供多维度、实时透明的安全监控,以及24小时的运行监控和风险防范。警报提示。此外,例如公开透明展示安全数据的安全排名和项目预警系统,也可以为项目方以外的投资者提供安全洞察。所有投资者都可以通过这个无限的证券洞察数据库查询所需的证券数据信息。随着越来越多的技术人员加入这一领域,区块链行业的安全壁垒将不断加强。总而言之,DeFi协议乃至整个区块链的安全问题是阻碍主流资金进入该行业的主要因素。DeFi行业无可挑剔的安全性是本赛道项目必须实现的目标——尤其是对于高度中心化的跨链赛道。
