DEFI:區塊鏈安全生態2021年大盤點，典型安全事件數量超332起

隨著2021年區塊鏈行業迎來新的發展時期，區塊鏈作為“新基建”的重要組成部分，與實體經濟和數字經濟加速融合，穩步推進，區塊鏈應用價值得到進一步凸顯。與此同時，各類區塊鏈安全風險也伴隨著技術的大規模應用不斷升級。

在過去的2021年，區塊鏈面對了更嚴峻的安全挑戰，區塊鏈生態領域發生了不少大規模和令人震驚的網絡攻擊事件。今天，跟著我們一起來回顧2021年區塊鏈安全生態都發生了什么。

1.2021年區塊鏈安全生態概覽

根據成都鏈安監測到的數據不完全統計，截止發稿前，2021年整個區塊鏈生態發生的相關典型安全事件數量超332起，相比于2020年的270起，增幅超22%；2021年，整個區塊鏈生態造成的經濟損失超153億美金，較2020年增幅超26%。

值得注意的是，據成都鏈安安全團隊歷年數據統計，2018年區塊鏈生態經濟損失超20億美元，2019年區塊鏈生態經濟損失超60億美元；2020年區塊鏈生態經濟損失超121億美元，加上2021年超153億美元的經濟損失，可見這幾年來，區塊鏈生態經濟損失越發嚴峻。

2010年-2021年區塊鏈生態經濟損失

自2016年以來，區塊鏈生態經濟損失逐年增多，源于近幾年來區塊鏈行業進入到一個高速發展的階段，伴隨著區塊鏈底層技術逐步走向成熟，區塊鏈應用價值愈加獲得認可，區塊鏈生態所承載的經濟效益逐年提升，隨之而來的安全風險也愈發嚴峻。

全球加密資產普及程度提升且總市值不斷突破歷史新高，黑客與不法分子的犯罪行為隨之更加猖獗。

反映問題方面，其一，整個區塊鏈生態當下仍缺乏普適的安全標準和安全規范，行業亂象難以得到有效遏制；其二，區塊底層技術在應用層、合約層、網絡層、共識層分別仍然存在著各種不容忽視的安全風險；其三，區塊鏈生態的安全監管進程亟待推進，如何實現高效可行的安全監管，是整個行業需要重點攻堅的難題所在。

Binance逐倉保證金新增XVG為可借資產:7月6日消息，據官方公告，Binance 已在逐倉保證金上添加 XVG 作為新的可借資產，交易對為 XVG/USDT。[2023/7/6 22:21:07]

除區塊鏈技術架構本身所存在的安全風險之外，其諸如去中心化、難篡改、匿名等“基因特性”也為區塊鏈安全監管層面帶來了不容忽視的挑戰。具體表現為三個方面。

一是區塊鏈技術無國界限制，區塊鏈網絡節點可存在多個國家，鏈上產生的異常行為追蹤，引發管轄權限困境、責任認定困境等問題。

二是區塊鏈的強隱秘性，無疑增加了安全事件和犯罪行為的追蹤溯源難度。

三是區塊鏈的防篡改性，為有害信息、犯罪行為等形成天然庇護，向行業安全監管提出挑戰。

2.2021年區塊鏈安全事件全畫像

典型安全事件數量

根據成都鏈安監測到的數據不完全統計，截止發稿前，2021年整個區塊鏈生態發生的相關典型安全事件數量超332起，安全事件爆發峰值在8月，6、7月安全形勢也較嚴峻。

典型安全事件類型占比

安全事件主要集中在交易所、DeFi、詐騙跑路/加密騙局、勒索軟件/挖礦木馬、暗網、其他等方面，其中DeFi安全事件101起、詐騙跑路/加密騙局95起，成為年度主要的安全事件來源。

典型安全事件導致的經濟損失金額

據成都鏈安監測數據不完全統計，2021年安全事件造成的經濟損失超153億美金，較2020年的121億美金趨勢依然走高。其中詐騙跑路/加密騙局導致的經濟損失形式最為嚴峻。

3.安全風險分析及應對策略

作為多種技術整合的一種全新的數據記錄、存儲和表達的方式，區塊鏈技術能夠在不可信的競爭環境中低成本建立信任機制，同時又具備一系列加密算法和數字簽名等方式以確保交易安全，并形成一種隨時間戳排序的鏈式結構來保證數據不被篡改。可盡管如此，區塊鏈既是堅韌的安全捍衛者，同時也是脆弱的被攻擊對象。

6月6日單日占總量2%的cbETH被銷毀:6月7日消息，21Shares 母公司 21co 鏈上數據分析師 Tom Wan 發推稱，在美國證券交易委員會（SEC）起訴 Coinbase 并指控其提供質押服務的代幣屬于證券后，6 月 6 日當天有 2% 的 cbETH 被銷毀，數量約為 2.73 萬枚。[2023/6/8 21:22:28]

DeFi生態方面

由于DeFi熱潮的興起，該領域也自然成為了2021年黑客“大展拳腳”的重點對象。

建議

項目上線前，DeFi項目方應做好前置預防工作，尋求第三方安全公司進行嚴格的安全審計，引入一整套態勢感知、威脅情報、安全響應等全生命周期的安全解決方案，完善安全防護機制。作為用戶，在選擇項目時，應留意該項目是否經過第三方安全公司的安全審計，是否具備權威的安全審計報告，切不可掉以輕心。

詐騙跑路/加密騙局方面

2021年詐騙跑路/加密騙局方面所造成的經濟損失遠超于黑客的攻擊行為和盜竊行為。波及人數多、遍布區域廣、涉案金額高等原因推波助瀾，進而導致該領域安全事件高發，經濟損失嚴重。

建議

作為用戶和投資者，應提高警惕，謹慎甄別投資產品和投資項目，不盲從，不跟風。加強自身安全意識和防騙意識，謹慎分辨網絡上的有關消息，切莫掉進圈套。行業各方從業者應積極配合相關部門，推動整個區塊鏈生態安全監管的進程建設。

勒索軟件/挖礦木馬方面

勒索軟件方面，黑客一般會通過釣魚攻擊、病軟件、漏洞攻擊鎖定受害人的網絡設備或加密重要文件，以此勒索指定加密資產；而挖礦木馬方面，則會利用挖礦木馬和蠕蟲來完成大量計算以獲取加密資產，在計算過程中，計算機大量的CPU、GPU資源被占用，將導致計算機變得異常卡慢，干擾正常系統運行。

建議

STEPN CMO：新服暴露4個問題，將優化經濟系統:6月4日消息，STEPN首席營銷官shiti在社交媒體上發文表示，STEPN項目方對過去一個多月BSCrealm開放后的各種事件進行了深度復盤，總結出了若干經驗和方案，計劃將在未來的realm開放前和開放時，對STEPN的經濟系統進行優化。shiti認為，STEPN若想長久運營下去，真正實現改變用戶生活狀態和身體狀態的愿景，首先需要有越來越多的外部價值輸入，這些價值不止來自于新增用戶，商業手段同樣重要。其次產品本身應越來越有趣，吸引更多用戶在游戲中主動付費提升游戲體驗。

而未來的realm不應再出現如此動蕩的局面，shiti同時提出了該局面面臨的4個問題，包括：1.跨realm橋造成新realm的暴利問題2.Mint工廠背離產品的運動體驗3.動態MintCost的邊界情況考慮不足4.鞋子和寶石越來越多，缺少回收機制[2022/6/4 4:01:48]

應避免使用弱口令密碼，同一個密碼不能重復使用。日常工作中應加強安全防護，不要輕信或下載來源不明的鏈接或文件，謹慎打開來歷不明的郵件或網址。聯合全球力量，嚴厲打擊勒索軟件/挖礦木馬，推動行業安全監管進程建設。

暗網方面

2021年暗網方面依然是網絡犯罪活動頻發的不法之地，犯罪分子為逃避有關部門的監管和追蹤，基于加密資產的匿名特性，多會選擇以比特幣、萊特幣等作為交易媒介。

建議

作為用戶，應正確使用互聯網，規范網絡道德。作為網絡安全公司，需加強暗網治理有關技術，協助相關部門參與到打擊暗網和黑灰產業鏈的專項行動中。加強國際合作，提升全球治理和管理暗網的整體實力。

交易所方面

交易所是距離用戶資產最近的地方，用于海量資產的管理存儲及撮合交易，因此一直以來也是黑客首當其沖的攻擊目標。

建議

從交易所應建立完善的安全風控應急預案，以及時響應并處置各類黑客攻擊事件的發生。交易所應建立全面的安全防護機制，加固平臺自身安全架構，并適時對平臺進行來自第三方安全公司的整體安全測試。加強對內部員工和用戶的安全意識普及，避免出現監守自盜的情況。

公鏈Waves已推出“WavesDeFi復興計劃”:公鏈Waves已于5月27日推出Waves DeFi復興計劃 （Waves DeFi Revival Plan），旨在使所有Waves協議用戶避免損失，并恢復其生態系統中DeFi協議的全部功能。

該計劃內容包括開始購買和鎖定CRV代幣，其中將45%的WAVES抵押至算法穩定幣協議Neutrino（NSBT）獲得資金，并投票激勵USDN 3池，以改善USDN的需求；清算大額賬戶，控制其抵押品；在不違反USDN的情況下出售抵押品，以將流動性返還給Vires Finance并降低利用率，從而滿足更大的用戶提現；通過新的重組代幣改進Neutrino架構，在抵押不足時使用新的Waves代幣對Neutrino進行資本重組。

據DefiLlama數據顯示，Waves生態總鎖倉量達11.1億美元，24小時增長 25.09%。此外，今日WAVES價格突破10美元。[2022/5/31 3:52:37]

其它方面

其他方面，諸如信息泄露、隱私保護、私鑰竊取、非法洗錢等各領域所發生的安全事件依然不容忽視。同時，隨著區塊鏈技術與多個產業領域實現大規模融合及應用，未來各類型的安全事件將呈高發態勢，值得重點關注，需及時搭建起具備針對性的安全防御機制。

建議

行業各方從業者在關注熱點領域安全事件的同時，也需兼顧其他方面的安全風險。在夯實傳統安全、網絡安全的基礎上，積極應對區塊鏈生態各領域的安全挑戰。加強對區塊鏈安全技術的投入與研究，建立覆蓋區塊鏈生態全生命周期的安全解決方案。

4.2021年區塊鏈十大安全事件盤點

根據事件的損失金額大小，一起來回顧2021年十大安全事件。

No1.POLYNETWORK：6.11億美元

時間：2021年8月10日

攻擊手法：合約權限管理邏輯存在問題

扎克伯格：未來3-5年Meta元宇宙項目將會花費巨額資金:5月27日消息，Meta首席執行官馬克·扎克伯格在年度會議上回應一位股東關于投資回報問題時表示，未來 3-5 年 Meta 元宇宙項目將會花費巨額資金。另據 Meta 董事會稱，Meta 許多實體互聯網產品不太可能在 10-15 年內推出，而扎克伯格則希望讓每個人都能購買負擔得起的硬件設備，并確保數字經濟持續增長。（彭博社）[2022/5/27 3:44:17]

8月10日晚，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，跨鏈協議PolyNetwork遭受攻擊，Ethereum、BinanceChain、Polygon3條鏈上近6億美元資金被盜。

經過分析，成都鏈安技術團隊發現攻擊者利用EthCrossChainManager合約中存在的邏輯缺陷，通過該合約調用EthCrossChainData合約中putCurEpochConPubKeyBytes函數更改Keeper為自有地址，然后使用該地址對提取代幣的交易進行簽名，從而將LockProxy合約中的大量代幣套取出來。

相關閱讀：

年度最大DeFi黑客事件！成都鏈安關于PolyNetwork被攻擊事件全解析

獨家|撥開PolyNetwork攻擊事件的迷霧，成都鏈安成為首家提前找到攻擊源頭的安全公司

No2.BITMART：1.96億美元

時間：2021年12月4日

攻擊手法：熱錢包私鑰被盜

10月4日，加密貨幣交易平臺Bitmart遭黑客竊取1.96億美元，該平臺官方聲明了黑客入侵事件，表示這是一次大規模安全攻擊事件。其中約1億美元來自以太坊區塊鏈的各種加密貨幣，9600萬美元來自幣安智能鏈上的貨幣。后來，BitMart創始人兼CEOSheldonXia在社交媒體表示，BitMart已完成初步安全檢查并確定受影響的資產，主要是由于兩個熱錢包被盜私鑰造成的。

No3.Compound：1.47億美元

時間：2021年9月30日

攻擊手法：代幣分發的速率初始設定出錯

9月30日，頭部去中心化借貸協議Compound于官推表示，在通過并執行「治理提案062」后，升級合約內發錯了一個BUG，致使COMP代幣出現了異常分發情況。錯誤分配了大約8000萬美元的超額COMP，加上滴注后已經索賠的2200萬美元以及處于風險中的4500萬美元，那么漏洞總計為1.47億美元。盡管這更像是“銀行錯誤”而不是漏洞利用，但Compound在這個的排行榜上占有一席之地是公平的。

No4.VulcanForged：1.45億美元

時間：2021年12月13日

攻擊手法：錢包造入侵

12月13日消息，據VulcanForged官方推特稱，96個持有PYR的錢包遭到入侵。超過450萬PYR已被盜。隨后官方表示：1.我們無能為力，他們無法從PK被盜且資金未轉移的錢包中取出資金。2.我們正在轉向一個完整的去中心化錢包設置。3.所有被盜的PYR將由我們的國庫代替。12月14日，VulcanForged在此前遭遇黑客攻擊后已向全部受損用戶賠償價值1.45億美元的TokenPYR，所有退款均來自VulcanForged財庫。

No5.CreamFinance：1.3億美元

時間：10月27日

攻擊手法：閃電貸攻擊

DeFi借貸協議CreamFinance再次遭受攻擊，損失達1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。關于本次攻擊，成都鏈安技術團隊第一時間進行了事件分析發現，本次攻擊是典型的閃電貸進行價格操作，通過閃電貸獲取大量資金后，利用合約設計缺陷，大幅改變價格導致獲利。Cream的預言機價格計算使用與yUSD的totalAsset有關。向yUSD合約直接轉賬時，不會更新Debt，從而使totalAsset增大，從而使得yUSD價格變高，可以從Cream中借出更多的資金。

相關閱讀：被盜1.3億美元！吸引“渣男”體質？CreamFinance今年第五次遭黑客攻擊全解析

No6.BadgerDAO：1.2億美元

時間：12月2日

攻擊手法：前端惡意代碼注入

12月2日，一名攻擊者利用“前端惡意代碼注入”的攻擊方式，從BadgerDAO收益金庫協議的數十名用戶的錢包中抽走了資金，總損失約為2100BTC和151ETH，合1.2億美元。據悉。早在11月28日，Discord用戶就開始報告來自Badger平臺的異常支出請求問題，并在社交媒體和Discord上提醒管理員，不過，相關提醒卻沒有得到官方的重視。

No7.AscendEX：7770萬美元

時間：12月12日

攻擊手法：熱錢包私鑰被盜

12月12日，熱錢包事故致AscendEX損失近8000萬美元。12月12日，AscendEX公告了其在前一天遇到的熱錢包異常，「12月11日大約22:00UTC，我們在一個熱錢包中發現了一些未經授權的轉賬。」該交易所未在公告中說明「未經授權的轉賬」出現的原因。從這起安全事件看，保管大量用戶資產的中心化交易所在熱錢包管理上仍存在疏漏。

No8.EasyFi：5900萬美元

時間：4月19日

攻擊手法：熱錢包私鑰被盜

Easyfi.network創始人兼CEOAnkittGaur在推特上稱，4月19日，黑客將大量EASY代幣從EasyFi官方錢包轉移到以太坊網絡和Polygon網絡上未知錢包；而管理這些代幣的計算機有超一周處于離線狀態并未使用。4月19日，借貸協議EasyFi創始人兼CEOAnkittGaur稱，有大量EASY代幣從EasyFi官方錢包大量轉移到以太坊網絡和Polygon網絡上的幾個未知錢包。EasyFi調查后稱，本次事件為助記詞破解安全事件，EasyFi智能合約未被黑客利用，只是MetaMask的助記詞短語或管理員密鑰遭到遠程攻擊，僅消耗了協議的流動性。

No9.UraniumFinance：5720萬美元

時間：4月28日

攻擊手法：精度處理錯誤

北京時間2021年4月28日，幣安智能鏈上區塊鏈項目UraniumFinance發推提醒用戶稱：Uranium在流動性遷移過程中被攻擊，提醒用戶停止交易。由于從Uniswapv2代碼分叉的UraniumPair合約中引入了一個簡單的數學錯誤，導致本次攻擊至少損失了57,000,000美元。

No10.bZx：5500萬美元

時間：11月5日

攻擊手法：私鑰泄露

11月5日，去中心化金融平臺bZx發生攻擊事故，一名黑客借助魚叉式網絡釣魚攻擊獲得了bZx平臺上用于與Polygon和Binance智能鏈區塊鏈集成的兩把私鑰，通過私鑰發起無限制消費操作，成功盜取bZx平臺價值約5500萬美元的加密貨幣資產。去中心化金融(DeFi)平臺允許用戶借貸和推測加密貨幣的價格變化。

5.最后總結

盡管2021年區塊鏈技術正在加速演進和趨于完善，但層出不窮的區塊鏈安全事件的高發對區塊鏈生態安全形勢發起了更為嚴峻的挑戰。

從2021年的各項統計數據來看，整個區塊鏈生態依然DeFi、詐騙跑路/加密騙局方面更容易成為黑客攻擊和詐騙犯罪滋生的溫床，無論是安全事件數量還是造成的經濟損失數量都非常巨大。多個DeFi項目遭到黑客攻擊，所造成的巨額經濟損失嚴重影響著區塊鏈生態的安全和穩定；虛擬貨幣的普及程度和財富效益逐步攀升，詐騙跑路/加密騙局方面的相關事件風起云涌。

對此成都鏈安建議：

廣大項目方一定要確保項目安全審計，對存在異常的操作進行實時監控，即刻發現，即刻解決；

廣大用戶也應提升相關知識儲備、增強自身的安全意識，避免造成嚴重經濟損失。

Tags：區塊鏈DEFIDEFEFI區塊鏈中的代幣是什么DeFi Coin BonusPieDAO DEFI Small CapWeFilmChain

幣贏