區(qū)塊鏈?zhǔn)且黄膭?lì)創(chuàng)新的熱土，在某種角度上因其安全風(fēng)險(xiǎn)也成為了滋生犯罪的溫床。

[[442666]]

當(dāng)年眾籌超過(guò)1.5億美金的The DAO被黑客盜幣后，進(jìn)行了硬分叉操作，由此產(chǎn)生了如今的以太坊。

自區(qū)塊鏈創(chuàng)世以后，各種針對(duì)交易所、錢(qián)包以及Dapp的黑客盜幣事件頻發(fā)。

那么，2021年區(qū)塊鏈安全領(lǐng)域又經(jīng)歷了何種波瀾，后續(xù)的處理工作又是如何的呢?

2021年區(qū)塊鏈黑客盜幣事件整理

由于2021年市場(chǎng)情緒熱烈，黑客盜幣的金額打破了往年的歷史記錄。

截至三季度，統(tǒng)計(jì)一共有32起黑客入侵事件導(dǎo)致了15億美金的資產(chǎn)被盜，而去年全年這個(gè)數(shù)字是1.8億美金。

DeFi協(xié)議

Uranium Finance——邏輯漏洞

2021年4月份流動(dòng)性挖礦協(xié)議Uranium受到了攻擊，被攻擊的智能合約是MasterChief的修改版本(MasterChief是用于創(chuàng)建質(zhì)押池并向用戶(hù)返還質(zhì)押獎(jiǎng)勵(lì)的智能合約)。

其中，用于執(zhí)行“質(zhì)押獎(jiǎng)勵(lì)”的代碼出現(xiàn)了邏輯漏洞，使得黑客可以獲得比別人多的挖礦獎(jiǎng)勵(lì)。黑客抽干了RAD/sRADS的池子，并將它換成了價(jià)值130萬(wàn)美元的BUSD以及BNB。

Cream Finance——預(yù)言機(jī)操縱

10月27日，Cream Finance預(yù)言機(jī)受到操縱。攻擊者從MakerDAO借用DAI來(lái)創(chuàng)建大量yUSD代幣，同時(shí)通過(guò)操縱多資產(chǎn)流動(dòng)性池(包含yDAI、yUSDC、yUSDT和YTUUSD)來(lái)操縱預(yù)言機(jī)對(duì)yUSD的報(bào)價(jià)。

在提高了yUSD的價(jià)格后，攻擊者的yUSD價(jià)格被人為提高，從而創(chuàng)造了足夠的借款限額以借走Cream Finance在以太坊v1借貸市場(chǎng)的絕大部分資金。而Cream.Finance于8月30日也曾遭到閃電貸攻擊。

Badger DAO——前端惡意代碼注入

攻擊者獲取了項(xiàng)目方在Cloudflare后臺(tái)的API Key，以此在網(wǎng)站的前端代碼里面注入一系列的惡意代碼。

當(dāng)用戶(hù)訪問(wèn)前端網(wǎng)站時(shí)，觸發(fā)惡意代碼后會(huì)發(fā)起交易讓用戶(hù)去確認(rèn)。假如用戶(hù)確認(rèn)了那筆惡意交易，就會(huì)將通證使用權(quán)給到攻擊者。攻擊者就可以通過(guò)托管使用權(quán)將錢(qián)全部轉(zhuǎn)走。

Anyswap——后臺(tái)簽名

出事是因?yàn)楹笈_(tái)簽名時(shí)采用了不恰當(dāng)?shù)闹?，攻擊者通過(guò)兩筆交易來(lái)推導(dǎo)出了它簽名的私鑰。

錢(qián)包——釣魚(yú)信息

舉個(gè)比特幣錢(qián)包Electrum的例子，當(dāng)用戶(hù)舊版本并連接到攻擊者的節(jié)點(diǎn)時(shí)，攻擊者通過(guò)節(jié)點(diǎn)向這個(gè)錢(qián)包發(fā)送釣魚(yú)信息。當(dāng)用戶(hù)看見(jiàn)釣魚(yú)信息并下載帶有后門(mén)的錢(qián)包時(shí)，黑客便輕松掌握了用戶(hù)的私鑰。

交易所

不同于項(xiàng)目方一旦出事，人們可以通過(guò)鏈上公開(kāi)的交易記錄進(jìn)行分析，交易所出事只有內(nèi)部人員知道發(fā)生了什么，那些信息也不會(huì)被公開(kāi)。

一般交易所出事來(lái)自于這幾個(gè)方面：交易所的服務(wù)器被黑了，攻擊者訪問(wèn)到了服務(wù)器里面存在熱錢(qián)包的私鑰。交易所的工作人員被釣魚(yú)攻擊，然后攻擊者通過(guò)工作人員的賬號(hào)訪問(wèn)到內(nèi)部系統(tǒng)，接觸到了熱錢(qián)包的私鑰等等。

資產(chǎn)被盜后的處理方式

關(guān)于資產(chǎn)被盜后的處理方式，可以從三個(gè)角度——項(xiàng)目方、交易所以及第三方安全機(jī)構(gòu)來(lái)分析。

項(xiàng)目方一般會(huì)采取這幾個(gè)解決方式

及時(shí)暫停智能合約中的通證轉(zhuǎn)移和交易服務(wù)，對(duì)于不能暫停的合約，查看合約里可以使用的特權(quán)函數(shù)并屏蔽掉一部分合約的服務(wù)，避免合約被再次攻擊。

同時(shí)向社區(qū)發(fā)出警告，避免新的投資者把財(cái)產(chǎn)放到有漏洞的合約里面。

聯(lián)系第三方安全機(jī)構(gòu)，請(qǐng)求幫助分析漏洞產(chǎn)生的原因，并合作共同修復(fù)漏洞。

對(duì)于被盜資金的去向——假如合約里面存在黑名單功能，第一時(shí)間屏蔽黑客地址，防止黑客進(jìn)行資金轉(zhuǎn)移。

和安全機(jī)構(gòu)和執(zhí)法部門(mén)合作追回被盜的財(cái)產(chǎn)，同時(shí)提出合理的補(bǔ)償方案以減少用戶(hù)的損失。

從交易所的角度來(lái)說(shuō)，有兩種情況

假如交易所本身被盜，需第一時(shí)間暫停所有的提現(xiàn)充值功能，把損失降到最少。交易所保留系統(tǒng)里面的所有信息(比如說(shuō)日志)以便日后做分析使用，聯(lián)系安全機(jī)構(gòu)或者執(zhí)法部門(mén)，協(xié)助進(jìn)行財(cái)產(chǎn)追蹤。

假如某個(gè)項(xiàng)目被黑的話(huà)，交易所可以監(jiān)控黑客相關(guān)鏈上地址，如果監(jiān)測(cè)到最新充值的關(guān)聯(lián)地址，則立即凍結(jié)該賬戶(hù)。

安全機(jī)構(gòu)則需要做到以下幾點(diǎn)

在事件發(fā)生之后分析漏洞產(chǎn)生的原因，并修復(fù)漏洞。

在項(xiàng)目重新上線之前提供安全審計(jì)服務(wù)，以減少項(xiàng)目重新上線之后的安全風(fēng)險(xiǎn)。

發(fā)布社區(qū)警告，同時(shí)查看有沒(méi)有別的項(xiàng)目存在相同的漏洞。如果有項(xiàng)目存在相同漏洞，可以通過(guò)保密渠道發(fā)出警告。

通過(guò)鏈上技術(shù)手段來(lái)追蹤資金流向以及分析鏈下信息(比如說(shuō)黑客的IP地址以及設(shè)備)，協(xié)助執(zhí)法部門(mén)抓到黑客。

那么，為何安全機(jī)構(gòu)對(duì)漏洞已進(jìn)行層層篩查，還會(huì)被黑客有機(jī)可趁?

事實(shí)是，對(duì)于某個(gè)項(xiàng)目的審計(jì)工作只能持續(xù)數(shù)個(gè)星期，而黑客的時(shí)間和精力是無(wú)限的。他們一旦瞄準(zhǔn)某類(lèi)項(xiàng)目，便會(huì)有比審計(jì)公司多得多的時(shí)間進(jìn)行研究并展開(kāi)行動(dòng)。

今年出現(xiàn)的跨鏈橋項(xiàng)目屢次受到攻擊便是因?yàn)榇祟?lèi)項(xiàng)目中鎖著大量的用戶(hù)資產(chǎn)。

其次，跨鏈橋和其他DeFi項(xiàng)目的不同的點(diǎn)是：普通DeFi項(xiàng)目幾乎100%的邏輯是在智能合約上實(shí)現(xiàn)的，而跨鏈橋是web2和web3的結(jié)合，是智能合約和傳統(tǒng)后臺(tái)的結(jié)合。

非去中心化且存有巨額鎖倉(cāng)資金的賽道給到了黑客攻擊的機(jī)會(huì)。

簡(jiǎn)而言之，DeFi協(xié)議除了自身的代碼需固若金湯，因其需與其他協(xié)議交互的可組合型，業(yè)務(wù)邏輯也要嚴(yán)絲合縫。

最重要的是，DeFi協(xié)議需借助第三方服務(wù)(如外部預(yù)言機(jī)、中心化的云平臺(tái)等)，而這些第三方服務(wù)很有可能面臨外部操縱的風(fēng)險(xiǎn)，這也是產(chǎn)品受到黑客攻擊的主要原因。

未來(lái)區(qū)塊鏈安全展望

未來(lái)隨著技術(shù)的發(fā)展，區(qū)塊鏈行業(yè)會(huì)變得日益安全嗎?

理論上是的。

先說(shuō)底層技術(shù)，首先編寫(xiě)智能合約的Solidity語(yǔ)言慢慢變成熟。

在最近的Solidity版本8.0之后，之前比較常見(jiàn)的一種漏洞叫做integer overflow(整數(shù)溢出)便銷(xiāo)聲匿跡了。

其次，區(qū)塊鏈業(yè)內(nèi)對(duì)于安全的重視度正在大幅增加。

最后，安全的開(kāi)源代碼庫(kù)也會(huì)提高安全系數(shù)。

OpenZeppelin代碼庫(kù)是由專(zhuān)業(yè)人員寫(xiě)的一個(gè)開(kāi)源的代碼庫(kù)，它的代碼質(zhì)量會(huì)相對(duì)比較高、比較安全。項(xiàng)目方只需要在代碼庫(kù)的基礎(chǔ)上添加想實(shí)現(xiàn)的一些功能，便能實(shí)現(xiàn)從零開(kāi)始寫(xiě)代碼。

另外，現(xiàn)在有很多安全工具會(huì)對(duì)代碼進(jìn)行檢查——它可以幫助項(xiàng)目方在沒(méi)有聯(lián)系安全公司的情況下，找到一些潛在的漏洞，從而提高代碼的安全性。

例如CertiK Skynet天網(wǎng)掃描系統(tǒng)，它作為一個(gè)24*7全天候運(yùn)行的安全情報(bào)引擎，可為智能合約的鏈上部署提供多維度和實(shí)時(shí)的透明安全監(jiān)控并24小時(shí)運(yùn)行監(jiān)控和危險(xiǎn)警報(bào)提示。

除此之外，例如公開(kāi)透明展示安全數(shù)據(jù)的安全排行榜以及項(xiàng)目預(yù)警系統(tǒng)也可為除項(xiàng)目方外的投資人提供安全見(jiàn)解。所有投資者都可以通過(guò)這個(gè)這個(gè)不受限制的安全洞察數(shù)據(jù)庫(kù)查詢(xún)所需要的安全數(shù)據(jù)信息。

隨著越來(lái)越多的技術(shù)人員加入到這個(gè)領(lǐng)域來(lái)，區(qū)塊鏈行業(yè)的安全壁壘會(huì)不斷被加固。

總而言之，DeFi協(xié)議乃至整個(gè)區(qū)塊鏈安全問(wèn)題是主流資金無(wú)法進(jìn)入行業(yè)的主要因素。DeFi行業(yè)在安全性上達(dá)到無(wú)懈可擊，是這一賽道項(xiàng)目必須實(shí)現(xiàn)的目標(biāo)——尤其對(duì)中心化嚴(yán)重的跨鏈賽道而言。