DAI:慢霧：盤點2021年典型安全事件，回顧區塊鏈生態安全態勢

2021年，對區塊鏈行業來說，是跌宕起伏的一年，盡管如此，區塊鏈憑借其去中心化、開放透明的特性，在行業內外的努力下，仍取得了良好的成績。同時，繼DeFi之后，全球用戶、媒體對NFT、元宇宙的瘋狂熱潮，將區塊鏈帶到了前所未有的高度。這一年到底發生了什么？本文將從區塊鏈市場發展及典型安全事件切入，帶你一探究竟。

政策、合規、監管

從國內環境看，一方面政府加大對區塊鏈技術的研發和應用的重視程度，工信部指出到2025年區塊鏈等設施服務能力顯著增強；另一方面，政府繼續收緊對加密貨幣的監管。9月，多部門發布了《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》、發改委等部門聯合發布了《關于整治虛擬貨幣“挖礦”活動的通知》。相關材料顯示，2021年國家層面出臺的涉及區塊鏈相關內容的政策文件，內容覆蓋高校科研、人才培育、技術應用標準、知識產權、數字農業、航運交通、疫情防控、網絡安全、社會救助、數字文化產業等方面。

從國外環境看，各國政府仍對加密貨幣持續關注，對加密貨幣的監管逐步完善、政策也逐步放開。全球反洗錢機構金融行動特別工作組發布加密貨幣最新監管指南；韓國首爾將打造公共服務“元宇宙平臺”；美國德州虛擬貨幣法案已正式生效；比特幣正式成為薩爾瓦多法定貨幣；烏克蘭議會通過虛擬資產法案等。

可以看出，全球各政府對區塊鏈的重視程度進一步提升，區塊鏈作為“新基建”的重要組成部分，正在被越來越多的主流機構擁抱。

技術、應用、經濟

我國“區塊鏈產業”同樣穩步發展，各類落地應用項目不斷涌現。全國首個區塊鏈知識產權保護工作站揭牌成立；廣東省發放全國首張公共數據資產憑證。巨頭公司也加入賽道：華為公開“安全芯片及處理方法”專利、騰訊云區塊鏈發布三款產品、百度新增“區塊鏈系統升級方法、裝置、設備及存儲介質”專利；中國移動通信聯合會元宇宙產業委員會正式成立；中國區塊鏈專利申請量全球第一，占比約63%；商務部表示推動區塊鏈等新技術標準化應用等。

2021年，區塊鏈底層技術也實現了關鍵突破。以太坊預計將在2022年Q2合并，V神等人提出EIP-4488旨在降低以太坊二層擴容解決方案的Gas；以太坊Layer2擴容方案Arbitrum?將推出基于?WASM的新版本Nitro；8月5日以太坊完成倫敦升級。

安全事件

區塊鏈技術就是一把雙刃劍，其去中心化、匿名性、不可篡改等特性在促進產業進步的同時，引發的區塊鏈安全問題也顯著增加，加密貨幣犯罪五花八門，洗錢、詐騙、盜竊、販、挖礦犯罪等案件頻發。

慢霧：7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息，慢霧發推稱，自7月3日至7月7日，Web3生態因安全問題遭遇攻擊損失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

據慢霧科技區塊鏈被黑檔案數據不完全統計，截止發文前，2021年區塊鏈生態被公開的區塊鏈安全事件共231起，損失超98億美元。

DApp、DeFi等安全事件170起，交易所安全事件15起，公鏈安全事件8起，錢包安全事件3起，其他類型安全事件35起。

自2018年以來，總體損失走勢還是升高的。

下面帶大家來回顧典型事件，同時對每類事件附上慢霧觀點。雖然本文列舉的僅是冰山一角，但具有很大的代表性。

公鏈

BSV?遭?51%攻擊

8月4日，BSV疑似遭受到51%攻擊，近100個區塊發生重組。

ETC主網遭遇分叉

9月4日，EthereumClassic發推稱，因以太坊客戶端Geth漏洞導致ETC主網遭遇分叉。

Solana的主網Beta版遭拒絕服務攻擊

9月14日，公鏈Solana的主網Beta版自北京時間19:52開始出現不穩定狀況，9月21日，Solana官方發布網絡中斷初步概述：Solana網絡離線17個小時，沒有資金損失，網絡在24小時內恢復了全部功能。網絡停滯的原因是拒絕服務攻擊。UTC時間12:00，GrapeProtocol在Raydium上啟動IDO，機器人生成的交易使網絡擁堵。這些交易造成了內存溢出，導致許多驗證節點崩潰，迫使網絡變慢并最終停止。

慢霧觀點

公鏈安全漏洞雖造成損失較小，但對整個鏈生態的影響巨大。所以公鏈在上線前一定要經過專業的安全審計。建議公鏈團隊與可信且職業的安全團隊進行深入合作，部署因地制宜的安全建議，將引起安全問題的可能性降到最低，從而保障整個公鏈的安全。

交易所

Cryptopia再次遭黑客入侵

2月20日，新西蘭交易所Cryptopia再次遭黑客入侵，調查顯示，黑客訪問了一個錢包，該錢包自2019年1月黑客入侵以來一直處于休眠狀態。該錢包屬于Stakenet，由Cryptopia的清算人GrantThornton控制。根據調查結果，休眠的錢包持有價值約196萬美元的Xtake，這是Stakenet的原生代幣。

慢霧：正協助Poly Network追查攻擊者，黑客已實現439萬美元主流資產變現:7月2日消息，慢霧首席信息安全官23pds在社交媒體發文表示，慢霧團隊正在與Poly Network官方一起努力追查攻擊者，并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

Liquid?熱錢包遭攻擊

8月19日，日本加密交易平臺Liquid稱其熱錢包遭到攻擊。慢霧AML團隊利用旗下MistTrack反洗錢追蹤系統分析統計，Liquid共計損失約9,135萬美元，被盜幣種涉及BTC、ETH、ERC20代幣、TRX、TRC20代幣、XRP等超70種，幣種之多，數額之高，令人驚嘆。

慢霧觀點

交易所安全問題已經成為交易所和用戶關注的首要問題，甚至成為決定交易所存亡的關鍵。尤其今年第四季度各種交易所接連遭攻擊，損失十分慘重。

交易所頻受攻擊，原因如下：交易所聚集大量資金，一直是黑客覬覦的對象；交易所多數情況下防御脆弱，容易產生安全漏洞，容易被黑客從薄弱點切入用戶缺乏足夠的安全意識；內部作案。

針對交易所，建議各大交易所健全內部管理與技術機制，通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。同時，積極迎接監管。針對用戶，一定要加強安全意識，無論任何時候都不要把私鑰泄露給任何人，同時，認準官方平臺，避免釣魚事件的發生。

錢包

Ledger錢包多次發生泄露事件

6月18日，比特幣硬件錢包提供商Ledger提醒用戶稱，近期發生了一系列利用偽造Ledger硬件錢包騙取用戶資產的新型騙局，部分一年前信息遭到泄露的用戶收到要求用戶更換硬件錢包的包裹，該包裹包括一份偽造的官方信件及一個被篡改過的Ledger硬件錢包。Ledger表示，信中關于「需要更換現有的硬件錢包來保護你的資金」為騙局，附贈的LedgerNano也是假的，如用戶按照信中說明輸入種子單詞，用戶的加密資產將會被盜。

多個Chivo錢包被盜

Chivo錢包是薩爾瓦多政府為推行比特幣法案而在9月7日發布的國家級數字錢包，為此，薩爾瓦多承諾，下載并認證的Chivo錢包用戶將獲得30美元的比特幣獎勵。此舉使這個薩爾瓦多官方錢包在1個月內的用戶量超過200萬人。然而，在10月9日至10月14日期間，薩爾瓦多的人權組織Cristosal收到了755份關于薩爾瓦多人報告Chivo錢包身份被盜的通知。

慢霧：Rubic協議錯將USDC添至Router白名單，導致已授權合約用戶USDC遭竊取:12月25日消息，據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下：1. Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

慢霧觀點

雖然今年與錢包本身相關的事件數量有所下降，但因下載假錢包App被盜的事件數量卻十分龐大。據慢霧?11月份的報告，假錢包App已致上萬人被盜，損失高達十三億美元。樹立安全意識、掌握正確方法才能真正保護你的資產。首先，認準官方網站，不要點擊除官方外的鏈接；其次，做好錢包備份并妥善保管好私鑰助記詞；最后，時刻保持懷疑之心，天下沒有免費的午餐。

跨鏈

ETH生態

SushiSwap再次遭攻擊

1月27日，SushiSwap再次遭遇攻擊，損失81ETH。本次攻擊和SushiSwap第一次攻擊類似，都是通過操控交易對的兌換價格來產生獲利。這次的攻擊利用了DIGG本身沒有對WETH交易對，而攻擊者創建了這個交易對并操控了初始的交易價格，導致手續費兌換過程中產生了巨大的滑點，攻擊者使用少量的DIGG和WETH提供初始流動性即可獲取巨額利潤。

SIL被盜后追回1215萬美元

3月19日，DeFi聚合理財服務SIL.Finance合約出現高危漏洞。后SIL.Finance發文稱，此次事件是由智能合約權限漏洞引起的，該漏洞繼而觸發了一個通用搶先交易機器人提交一系列交易以獲利。在發現智能合約因存在高危漏洞而無法提現后，經過慢霧等多方36小時的努力，已經成功追回1215萬美元。

慢霧：Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道，慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析，以下將分析結論同步社區：

Hacker#1 攻擊黑客（盜取最大資金黑客），獲利金額：約 2410 萬美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已歸還超 1890 萬美元的被盜資金；12,500 BNB 存款到 Tornado Cash；約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。

Hacker#2 套利機器人-1，獲利金額：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在獲利地址中，未進一步轉移。

Hacker#3 攻擊模仿者-1，獲利金額：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利機器人-2，獲利金額：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利機器人-3，獲利金額：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部轉移至新地址 0x8960...8525，后無進一步轉移。

Hacker#6 攻擊模仿者-2，獲利金額：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利機器人-4，獲利金額：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通過 Uniswap 兌換為 30.17 ETH，其中 0.71 支付給 Flashbots，剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]

BSC生態

Compound?漏洞與提案

9月30日，去中心化借貸協議Compound通過推特確認，在執行62號提案后，該協議的流動性挖礦出現COMP代幣分發異常情況，CompoundLabs和社區成員正在進行調查。Compound表示，存款和借款資金目前未發現存在風險。Compound創始人RobertLeshner表示，出現的問題看起來是根據62號提案進行COMP代幣分發的速率初始設定出錯，導致過多COMP代幣被分發。10月4日，就在Compound試圖修補漏洞時，另外一筆價值6880萬美元的COMP代幣因為drip()函數的調用而被打入了已經存在漏洞的流動性挖礦代幣分發合約。

慢霧：yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式給大家分享細節，供大家參考：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH；

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC；

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CruveDAI/USDC/USDT的大部分流動性；

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)貶值；

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣；

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復；

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例體現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

CreamFinance三遭攻擊

10月27日，DeFi借貸協CreamFinance遭受攻擊，損失約1.3億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。據悉，這是有史以來第三大DeFi黑客攻擊。此外，CreamFinance此前曾多次遭受閃電貸攻擊，2月份損失3750萬美元，8月份又損失1900萬美元。

EOS生態

flash.sx智能合約遭重入攻擊

自5月14日11:28UTC開始，flash.sx閃電貸智能合約遭受到”re-entry”攻擊漏洞，相繼有大約120萬EOS和46.2萬USDT被盜。據官方消息，EOSNation旗下閃電貸被黑客攻擊后，項目方發起提案直接更改了黑客EOS賬號權限轉回資產。

PIZZA遭黑客攻擊

12月8日下午8點，黑客賬戶itsspiderman利用溢出漏洞在eCurve憑空增發tripool做市憑證，在PIZZA質押并借出協議中的絕大部分代幣。事后黑客創建一百三十余萬賬戶并將盜竊資產分散。PIZZA協議在本次攻擊中的損失約折合500萬美元。

Polygon生態

算法穩定幣項目SafeDollar遭攻擊

6月28日，Polygon上算法穩定幣項目SafeDollar疑似遭到黑客攻擊，一份未經證實的合約似乎抽走了25萬美元的USDC和USDT。

PolyYeldFinance合約遭利用

收益耕作協議PolyYeldFinance遭到攻擊，項目合約被利用鑄造了4.9萬億個YELD代幣并在二級市場進行傾銷。

HECO生態

HSO卷走3萬HT跑路

3月10日，火幣生態鏈HECO上的預言機項目HSO進行IDO后卷走3萬HT跑路，網站、Telegram均無法打開。后在HECO核心代碼貢獻團隊星辰實驗室、HECO技術社區與HECO白帽安全聯盟等有關各方的全力推動下，已追回24823枚HT。

XDXSwap遭攻擊

7月2日，Heco鏈上跨鏈去中心化交易所DDEX上XDXSwap遭到攻擊，攻擊者獲利85.17ETH并將其全部跨鏈至以太坊。DDEX代碼疑似存在后門。在DDEX及星辰實驗室、HECO白帽安全聯盟等方面的支持和配合下，XDXSwap陸續追回涉及此次攻擊事件中的大部分資金，總價值超過500萬美元。

其他生態

NEAR生態Ref.Finance因合約錯誤被利用

8月15日，NEAR生態Ref.Finance團隊發推稱，UTC時間8月14日下午2點左右，Ref團隊注意到REF-NEAR交易對的異常行為，隨即發現最近所部署合約的修補程序中的一個錯誤，且該錯誤已被多個用戶利用，致使約100萬枚REF和58萬枚NEAR受到影響。

Solana生態Solend遭到黑客攻擊

8月19日，Solana生態借貸協議Solend發推稱，協議于北京時間8月19日20:40遭到黑客攻擊，攻擊者破解了UpdateReserveConfig函數中對不安全身份的檢查，使得其可以清算所有賬戶。此外，黑客還將借入資金的APY設置為了250%。此期間，有5名用戶的資金被誤清算。Solend表示，本次攻擊沒有造成資金被盜的情況，之后將提高漏洞賞金的規模并建立更好的監控和報警系統。

波卡生態IDO平臺Polkatrain被套利

4月5日，波卡生態IDO平臺Polkatrain發生事故，據慢霧分析，本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。

Avalanche鏈上借貸協議Vee.Finance被盜

9月20日，Avalanche鏈上借貸協議Vee.Finance團隊注意到多次異常轉賬，經過進一步監控，共有8804.7ETH和213.93BTC被盜。穩定幣部分不受此次攻擊影響。

Fantom鏈上GrimFinance遭閃電貸攻擊

12月19日，Fantom鏈上復合收益平臺GrimFinance遭遇閃電貸攻擊，損失已超3000萬美元。攻擊者使用GrimFinance的保險庫策略中名為「beforeDeposit()」的函數進行攻擊，輸入惡意Token合約。

跨鏈系統

跨鏈交易協議THORChain三遭攻擊

6月29日，THORChain遭“假充值”攻擊，損失近35萬美元；7月16日，THORChain二次遭“假充值”攻擊，損失近800萬美元；7月23日，THORChain再三遭攻擊，損失近800萬美元。

跨鏈橋Chainswap被盜影響多個平臺

7月11日，跨鏈橋項目Chainswap再次遭到黑客攻擊，在該橋梁部署智能合約的超20個項目代幣都遭遇黑客盜取，預計總損失為400萬美元，幾乎釀成DeFi史上影響范圍最大的一次安全事故。根據?Chainswap調查，由于代幣跨鏈配額代碼中的錯誤，鏈上交換橋配額由簽名節點自動增加，其目的是在無需人工控制的情況下更加去中心化。但是，由于代碼中的邏輯缺陷，這導致了通過允許未列入白名單的無效地址自動增加數量的漏洞。此前在7月2日，Chainswap也曾遭遇黑客攻擊，部分用戶代幣被主動從與ChainSwap交互的錢包中取出，預計總損失為80萬美元。

PolyNetwork6.1億美元被盜后被歸還

發生在8月10日的PolyNetwork攻擊事件可能是史上涉及金額最大的一起網絡安全事件，超過6.1億美元的加密資產在15天內被盜并被歸還。整個區塊鏈行業及所有相關方，和PolyNetwork一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶，系統功能已經基本恢復至事件前水平。

NFT

NFT欺詐蔓延

8月2日，一個名為「cryptopunksbot」的騙子在CryptoPunk的Discord服務器上發布，為NFT投資者提供贏得10個NFT頭像的機會。NFT項目創始人Stazie因接受了虛假報價的海報，而失去了16個CryptoPunk，價值至少100萬美元。隨后欺詐者以149ETH的價格出售了5個CryptoPunk。

慢霧觀點

自DeFi誕生以來，就伴隨著無數的風險。盡管現在許多DeFi項目價值一直在爆炸式的翻倍增長，但被黑事件也愈演愈烈。經慢霧統計，DeFi通常存在以下攻擊方式：閃電貸攻擊；合約漏洞；兼容性或架構問題；私鑰泄露或前端攻擊；內部作案，跑路。

對項目方來說，想要盡可能的消除漏洞、降低安全風險，就必須做出有效的努力——在項目上線之前，對其進行全面深入的安全審計。同時，建議各DeFi項目方通過引入多簽機制來加大資產保護的力度。另一方面，各DeFi項目在進行協議間交互時，需要做好協議之間的兼容性，開發者在移植其他協議的代碼時，需充分了解移植協議的架構以及自己項目的架構設計，防止資金損失情況的發生。對用戶來說，隨著區塊鏈領域的玩法愈發多樣化，用戶在進行投資前認真了解項目背景，查看該項目是否有開源、是否經過審計，在參與項目時需要提高警惕，注意項目風險。

其他類型

勒索

5月7日，全美最大油氣輸送管道運營商ColonialPipeline遭到勒索軟件定向攻擊而被迫暫停營運，之后支付75枚比特幣，超過4百萬美元的贖金，才得以讓營運恢復正常。此次勒索攻擊由于涉及到國家級關鍵基礎設施，故而引起了全球的震動和廣泛關注。針對此事件，美國司法部官員表示，已成功追討回超過200萬美元的贖金。不過，美國政府官員沒有具體說明「如何取得私鑰、收回贖金」的詳細過程，僅表示這項行動展現了美國將不遺余力應對勒索攻擊。

詐騙

8月20日，俄羅斯最大的加密貨幣騙局之一的創始人已入獄，罪名是涉嫌從其投資者那里騙取超過15億美元。Finiko于2019年在喀山市成立，并冒充一家合法的BTC投資公司。2020年12月，Finiko發布了其原生加密貨幣FNK。根據當地報道，創始人將從投資者那里拿走BTC并獎勵他們FNK代幣。

釣魚

10月15日，Sophos發布的報告稱，加密欺詐應用CryptoRom通過利用“超級簽名服務”及蘋果開發者企業計劃竊取140萬美元。迄今為止，與該騙局相關的比特幣地址已發送超過139萬美元，并且可能還有更多地址與該騙局有關。報告稱，大多數受害者是iPhone用戶。該報告稱，CryptoRom繞過AppStore的所有安全檢查，并且每天都保持活躍。報告還表示，蘋果“應該就通過臨時分發或通過企業配置系統安裝應用程序警告用戶，這些應用程序未經蘋果審查。”

慢霧觀點

區塊鏈在大力發展的過程中，各種打著區塊鏈名號的新型投資騙局，也如雨后春筍般層出不窮。以勒索軟件為例，美國財政部金融犯罪執法網絡發布的一份報告指出，2021上半年發生的與勒索軟件相關的交易，已經達到了5.9億美元。慢霧在此提醒用戶，不要打開來歷不明的郵件附件，仔細辨別釣魚網站，始終持有懷疑謹慎的態度，有效利用殺軟件。

總結

盡管現在許多以BTC為代表的加密貨幣的市值一直在翻新高，區塊鏈行業當前發展態勢整體越來越好，但加密貨幣犯罪隨之也更猖獗。從統計數據來看，發生安全事件次數較多、金額損失較大的月份主要在4月、6月和8月；從各生態來看，以太坊上損失最多，超13億美元，其次是BSC生態；從攻擊領域來看，受攻擊較多的是交易所和DeFi。

對項目方來說，建議健全內部管理與技術機制，內部安全人員及時對安全相關內容查漏補缺。最重要也是最有效的方式——在項目上線之前，對其進行全面深入的安全審計，將引起安全問題的可能性降到最低。

對用戶來說，正確和理性看待區塊鏈，樹立正確的貨幣觀念和投資理念，切實提高風險防范意識。比如在投資前要注意智能合約有沒有開源、平臺本身有沒有安全審計，最重要的是一定要保管好自己的私鑰助記詞，不要泄露給任何人。

最后，期待區塊鏈新的一年能迸發出更大的能量，出現更多的落地應用，創造更大的價值。

Tags：USD區塊鏈DAIUSDCxusd幣合約錢包yac幣是區塊鏈嗎TRENDAIusdc幣是什么幣

AVAX