​Q4因加密安全事故損失超7億美元，項目方和用戶該如何防控風險？

2021 年就要畫下句號，复盤這一年區塊鏈領域發生的安全事件，涉及金額和影響最大的當屬8 月份跨鏈互操作協議Poly Network 遭黑客攻擊，被盜資金超6.1 億美元，這也是DeFi 史上涉及金額最高的一次攻擊事件。

而發生安全事件次數較多、金額較大的月份為5 月（多發生在BSC 上，損失超3 億美元）、8 月（影響較大的除Poly Network 遭黑客攻擊外，總部位於日本的加密貨幣交易所Liquid 熱錢包遭攻擊，損失9135 萬美元）和10 月、11 月、12 月。

二級標題二級標題

回顧九起損失金額較大的加密領域安全事件

12 月5 日，BitMart 創始人兼CEO Sheldon Xia 發推表示，發現了兩個熱錢包相關的大規模安全漏洞，黑客提取價值約1.5 億美元的資產。 6 日，Sheldon Xia 表示這個安全漏洞主要是由於兩個熱錢包被盜私鑰造成。 BitMart 的其他資產是安全的，沒有受到損害。 BitMart 將使用自己的資金來彌補這一事件並補償受影響的用戶。

10 月27 日，DeFi 借貸協議Cream Finance 再次遭受攻擊，損失超過1.3 億美元。被盜的資金主要是Cream LP 代幣和其他ERC-20 代幣。 PeckShield 發現了一筆用於實施這一攻擊行為的大額閃電貸。（Cream Finance 2021 年共5 次遭遇黑客攻擊，總損失金額約2 億美元。）

10 月30 日，去中心化交易協議BXH 在BSC 鏈遭到攻擊，被盜超1.3 億美元。初始黑客獲利地址（BSC: 0x4……d79）將4000 ETH從BSC 鏈轉移到ETH 鏈，接著將300 BTCB 兌換為renBTC 跨鏈到地址（1Jw……Vow）。

12 月3 日，去中心化組織Badger DAO確認遭受攻擊，損失達1.203 億美元，包括約2,100 枚BTC 和151 枚ETH。 BadgerDAO 表示，12 月2 日發生的網絡釣魚事件是由運行在Badger 雲網絡上的應用平台Cloudflare 的“惡意注入片段”引起的。黑客使用在Badger 工程師不知情或未授權的情況下創建的受損API 密鑰定期注入影響其部分客戶的惡意代碼。

11 月26 日，Compound 遭預言機攻擊，9000 萬美元資產遭清算。此次Compound 巨額清算是由於預言機信息源Coinbase Pro 的DAI 價格劇烈波動導致的，操控預言機所依賴的信息源進行短時間的價格操縱以達成誤導鏈上價格是典型的預言機攻擊。

12 月12 日，頂峰AscendEX 的內部安全審計報告發現，部分ERC-20、BSC 和Polygon 代幣被異常轉移出交易所熱錢包，AscendEX 冷錢包不受此次事件影響。安全公司PeckShield Inc.（派盾）發推稱，據估計，頂峰AscendEX 的損失總計達7770 萬美元（其中6000 萬美元位於以太坊上，920 萬美元位於BSC 上，850 萬美元位於Polygon 上）。

11 月30 日，自動做市商協議MonoX 確認遭閃電貸攻擊，攻擊者耗盡Polygon 和Ethereum 上的流動性池，獲利約3100 萬美元。

11 月11 日，USDM 團隊利用Convex 對Curve 發起治理攻擊，損失或超過3000 萬美元。

10 月15 日，被動收益協議Indexed Finance 遭到攻擊，受影響的資金池包括DEFI5 和CC10 。官方在Discord 中表示，本次攻擊造成的損失約1600 萬美元。

事件复盤後的經驗總結

從遭攻擊的項目所屬賽道來看，多為中心化交易所、DEX 等DeFi 協議，原因主要有錢包漏洞、閃電貸攻擊、網絡釣魚事件等。

作為項目方，除加強安全方面（包括技術層面和金融機制）的預算和投入、接受多方審計外，設置風控或災備方案（如建立保險金池、白帽懸賞計劃等），一定程度上也能起到“增信”的作用。

作為用戶，首先最好大致了解一些市場基本參數（如收益率）的平均水平，對吸引力太過驚人的項目多些警惕和復核。如果不具備代碼能力，建議通篇閱讀由頭部安全公司出具的對應項目審計報告，往往都會提示具體的潛在風險點，並在項目方和其審計機構兩處交叉核驗報告的真實性和時效性，在此也分享一個小工具：DeFiYield 出的DeFi 項目審計數據庫，可按項目名、幣名、地址或審計機構搜索查詢審計報告。

推薦閱讀

推薦閱讀

推薦閱讀

Chainlink - 《項目開發者必讀：十大DeFi安全問題解決方案》

成都鏈安 -《解析當DeFi淪為黑客的「提款機」，我們如何保證它的安全性？ 》

Odaily - 《DeFi之暗面——HackFi》

Odaily - 《DeFi之暗面——HackFi》