慢霧：盤點2021年典型安全事件，回顧區塊鏈生態安全態勢

一級標題

二級標題

一級標題

一級標題

從國內環境看，一方面政府加大對區塊鏈技術的研發和應用的重視程度，工信部指出到2025 年區塊鍊等設施服務能力顯著增強；另一方面，政府繼續收緊對加密貨幣的監管。 9 月，多部門發布了《關於進一步防範和處置虛擬貨幣交易炒作風險的通知》、發改委等部門聯合發布了《關於整治虛擬貨幣“挖礦”活動的通知》。相關材料顯示，2021 年國家層面出台的涉及區塊鏈相關內容的政策文件，內容覆蓋高校科研、人才培育、技術應用標準、知識產權、數字農業、航運交通、疫情防控、網絡安全、社會救助、數字文化產業等方面。

可以看出，二級標題

從國外環境看，各國政府仍對加密貨幣持續關注，對加密貨幣的監管逐步完善、政策也逐步放開。全球反洗錢機構金融行動特別工作組發布加密貨幣最新監管指南；韓國首爾將打造公共服務“元宇宙平台”；美國德州虛擬貨幣法案已正式生效；比特幣正式成為薩爾瓦多法定貨幣；烏克蘭議會通過虛擬資產法案等。

可以看出，技術、應用、經濟2021 年，

2021 年，2021 年，安全事件

安全事件

二級標題

圖片描述

安全事件

區塊鏈技術就是一把雙刃劍，其去中心化、匿名性、不可篡改等特性在促進產業進步的同時，引發的區塊鏈安全問題也顯著增加，加密貨幣犯罪五花八門，洗錢、詐騙、盜竊、販毒、挖礦犯罪等案件頻發。

一級標題

一級標題

公鏈

公鏈

一級標題

公鏈

二級標題

公鏈

BSV 遭51% 攻擊

8 月4 日，BSV 疑似遭受到51% 攻擊，近100 個區塊發生重組。

慢霧觀點

交易所

交易所

Cryptopia 再次遭黑客入侵

交易所

二級標題

交易所

Cryptopia 再次遭黑客入侵

2 月20 日，新西蘭交易所Cryptopia 再次遭黑客入侵，調查顯示，黑客訪問了一個錢包，該錢包自2019 年1 月黑客入侵以來一直處於休眠狀態。該錢包屬於Stakenet，由Cryptopia 的清算人Grant Thornton 控制。根據調查結果，休眠的錢包持有價值約196 萬美元的Xtake，這是Stakenet 的原生代幣。

交易所安全問題已經成為交易所和用戶關注的首要問題，甚至成為決定交易所存亡的關鍵。尤其今年第四季度各種交易所接連遭攻擊，損失十分慘重。

錢包

錢包

交易所頻受攻擊，原因如下：（1）交易所聚集大量資金，一直是黑客覬覦的對象；（2）交易所多數情況下防禦脆弱，容易產生安全漏洞，容易被黑客從薄弱點切入（3 ）用戶缺乏足夠的安全意識；（4）內部作案。

錢包

二級標題

錢包

多個Chivo 錢包被盜

二級標題

Chivo 錢包是薩爾瓦多政府為推行比特幣法案而在9 月7 日發布的國家級數字錢包，為此，薩爾瓦多承諾，下載並認證的Chivo 錢包用戶將獲得30 美元的比特幣獎勵。此舉使這個薩爾瓦多官方錢包在1 個月內的用戶量超過200 萬人。然而，在10 月9 日至10 月14 日期間，薩爾瓦多的人權組織Cristosal 收到了755 份關於薩爾瓦多人報告Chivo 錢包身份被盜的通知。

慢霧觀點

二級標題

二級標題

DApp、DeFi、NFT、跨鏈

（1）ETH 生態

SushiSwap 再次遭攻擊

1 月27 日，SushiSwap 再次遭遇攻擊，損失81 ETH。本次攻擊和SushiSwap第一次攻擊類似，都是通過操控交易對的兌換價格來產生獲利。這次的攻擊利用了DIGG 本身沒有對WETH 交易對，而攻擊者創建了這個交易對並操控了初始的交易價格，導致手續費兌換過程中產生了巨大的滑點，攻擊者使用少量的DIGG 和WETH提供初始流動性即可獲取巨額利潤。

SIL 被盜後追回1215 萬美元

3 月19 日，DeFi 聚合理財服務SIL.Finance 合約出現高危漏洞。後SIL.Finance 發文稱，此次事件是由智能合約權限漏洞引起的，該漏洞繼而觸發了一個通用搶先交易機器人提交一系列交易以獲利。在發現智能合約因存在高危漏洞而無法提現後，經過慢霧等多方36 小時的努力，已經成功追回1215 萬美元。

（2）BSC 生態

Compound 漏洞與提案

9 月30 日，去中心化借貸協議Compound 通過推特確認，在執行62 號提案後，該協議的流動性挖礦出現COMP 代幣分發異常情況，Compound Labs 和社區成員正在進行調查。 Compound 表示，存款和借款資金目前未發現存在風險。 Compound 創始人Robert Leshner 表示，出現的問題看起來是根據62 號提案進行COMP 代幣分發的速率初始設定出錯，導致過多COMP 代幣被分發。 10 月4 日，就在Compound 試圖修補漏洞時，另外一筆價值6880 萬美元的COMP 代幣（共計202472 枚COMP）因為drip() 函數的調用而被打入了已經存在漏洞的流動性挖礦代幣分發合約。

Cream Finance 三遭攻擊

10 月27 日，DeFi 借貸協Cream Finance 遭受攻擊，損失約1.3 億美元。被盜的資金主要是Cream LP 代幣和其他ERC-20 代幣。據悉，這是有史以來第三大DeFi 黑客攻擊。此外，Cream Finance 此前曾多次遭受閃電貸攻擊，2 月份損失3750 萬美元，8 月份又損失1900 萬美元。

（3）EOS 生態

flash.sx 智能合約遭重入攻擊

自5 月14 日11:28 UTC 開始，flash.sx 閃電貸智能合約遭受到”re-entry” 攻擊漏洞，相繼有大約120 萬EOS 和46.2 萬USDT 被盜。據官方消息，EOS Nation 旗下閃電貸被黑客攻擊後，項目方發起提案直接更改了黑客EOS 賬號權限轉回資產。

PIZZA 遭黑客攻擊

12 月8 日下午8 點，黑客賬戶itsspiderman 利用溢出漏洞在eCurve 憑空增發tripool 做市憑證，在PIZZA 質押並藉出協議中的絕大部分代幣。事後黑客創建一百三十餘萬賬戶並將盜竊資產分散。 PIZZA 協議在本次攻擊中的損失約折合500 萬美元。

（4）Polygon 生態

算法穩定幣項目SafeDollar 遭攻擊

6 月28 日，Polygon 上算法穩定幣項目SafeDollar 疑似遭到黑客攻擊，一份未經證實的合約似乎抽走了25 萬美元的USDC 和USDT。

PolyYeld Finance 合約遭利用

收益耕作協議PolyYeld Finance 遭到攻擊，項目合約被利用鑄造了4.9 萬億個YELD 代幣並在二級市場進行傾銷。

（5）HECO 生態

HSO 捲走3 萬HT 跑路

3 月10 日，火幣生態鏈HECO 上的預言機項目HSO 進行IDO 後捲走3 萬HT 跑路，網站、Telegram 均無法打開。後在HECO 核心代碼貢獻團隊星辰實驗室、HECO 技術社區與HECO 白帽安全聯盟等有關各方的全力推動下，已追回24823 枚HT。

XDX Swap 遭攻擊

7 月2 日，Heco 鏈上跨鏈去中心化交易所DDEX 上XDX Swap（DDEX）遭到攻擊，攻擊者獲利85.17 ETH （約17.6 萬美元）並將其全部跨鏈至以太坊。 DDEX 代碼疑似存在後門。在DDEX 及星辰實驗室、HECO 白帽安全聯盟等方面的支持和配合下，XDX Swap 陸續追回涉及此次攻擊事件中的大部分資金，總價值超過500 萬美元。

（6）其他生態

NEAR 生態Ref.Finance 因合約錯誤被利用

8 月15 日，NEAR 生態Ref.Finance 團隊發推稱，UTC 時間8 月14 日下午2 點左右，Ref 團隊注意到REF-NEAR 交易對的異常行為，隨即發現最近所部署合約的修補程序中的一個錯誤，且該錯誤已被多個用戶利用，致使約100 萬枚REF 和58 萬枚NEAR 受到影響。

Solana 生態Solend 遭到黑客攻擊

8 月19 日，Solana 生態借貸協議Solend 發推稱，協議於北京時間8 月19 日20:40 遭到黑客攻擊，攻擊者破解了UpdateReserveConfig 函數中對不安全身份的檢查，使得其可以清算所有賬戶。此外，黑客還將藉入資金的APY 設置為了250%。此期間，有5 名用戶的資金被誤清算。 Solend 表示，本次攻擊沒有造成資金被盜的情況，之後將提高漏洞賞金的規模並建立更好的監控和報警系統。

波卡生態IDO 平台Polkatrain 被套利

4 月5 日，波卡生態IDO 平台Polkatrain 發生事故，據慢霧分析，本次出現問題的合約為Polkatrain 項目的POLT_LBP 合約，該合約有一個swap 函數，並存在一個返佣機制，當用戶通過swap函數購買PLOT 代幣的時候獲得一定量的返佣，該筆返佣會通過合約裡的_update 函數調用transferFrom 的形式轉發送給用戶。由於_update 函數沒有設置一個池子的最多的返佣數量，也未在返佣的時候判斷總返佣金是否用完了，導致惡意的套利者可通過不斷調用swap 函數進行代幣兌換來薅取合約的返佣獎勵。

Avalanche 鏈上借貸協議Vee.Finance 被盜

9 月20 日，Avalanche 鏈上借貸協議Vee.Finance 團隊注意到多次異常轉賬，經過進一步監控，共有8804.7 ETH 和213.93 BTC 被盜（總價值超3500 萬美元）。穩定幣部分不受此次攻擊影響。

Fantom 鏈上GrimFinance 遭閃電貸攻擊

12 月19 日，Fantom 鏈上複合收益平台GrimFinance 遭遇閃電貸攻擊，損失已超3000 萬美元。攻擊者使用GrimFinance 的保險庫策略中名為「beforeDeposit()」的函數進行攻擊，輸入惡意Token 合約。

（7）跨鏈系統

跨鏈交易協議THORChain 三遭攻擊

6 月29 日，THORChain 遭“假充值” 攻擊，損失近35 萬美元；7 月16 日，THORChain 二次遭“假充值” 攻擊，損失近800 萬美元；7 月23 日，THORChain 再三遭攻擊，損失近800 萬美元。

（8）NFT

跨鏈橋Chainswap 被盜影響多個平台

7 月11 日，跨鏈橋項目Chainswap 再次遭到黑客攻擊，在該橋樑部署智能合約的超20 個項目代幣都遭遇黑客盜取，預計總損失為400 萬美元，幾乎釀成DeFi 史上影響範圍最大的一次安全事故。根據Chainswap調查，由於代幣跨鏈配額代碼中的錯誤，鏈上交換橋配額由簽名節點自動增加，其目的是在無需人工控制的情況下更加去中心化。但是，由於代碼中的邏輯缺陷，這導致了通過允許未列入白名單的無效地址自動增加數量的漏洞。此前在7 月2 日，Chainswap 也曾遭遇黑客攻擊，部分用戶代幣被主動從與ChainSwap 交互的錢包中取出，預計總損失為80 萬美元。

Poly Network6.1 億美元被盜後被歸還

自DeFi 誕生以來，就伴隨著無數的風險。儘管現在許多DeFi 項目價值一直在爆炸式的翻倍增長，但被黑事件也愈演愈烈。經慢霧統計，DeFi 通常存在以下攻擊方式：（1）閃電貸攻擊；（2）合約漏洞；（3）兼容性或架構問題；（4）私鑰洩露或前端攻擊；（5）內部作案，跑路。

其他類型

其他類型

勒索

其他類型

二級標題

其他類型

勒索

5 月7 日，全美最大油氣輸送管道運營商Colonial Pipeline 遭到勒索軟件定向攻擊而被迫暫停營運，之後支付75 枚比特幣，超過4 百萬美元的贖金，才得以讓營運恢復正常。此次勒索攻擊由於涉及到國家級關鍵基礎設施，故而引起了全球的震動和廣泛關注。針對此事件，美國司法部官員表示，已成功追討回超過200 萬美元的贖金。不過，美國政府官員沒有具體說明「如何取得私鑰、收回贖金」的詳細過程，僅表示這項行動展現了美國將不遺餘力應對勒索攻擊。

10 月15 日，Sophos 發布的報告稱，加密欺詐應用CryptoRom 通過利用“超級簽名服務”及蘋果開發者企業計劃竊取140 萬美元。迄今為止，與該騙局相關的比特幣地址已發送超過139 萬美元，並且可能還有更多地址與該騙局有關。報告稱，大多數受害者是iPhone 用戶。該報告稱，CryptoRom 繞過App Store 的所有安全檢查，並且每天都保持活躍。報告還表示，蘋果“應該就通過臨時分發或通過企業配置系統安裝應用程序警告用戶，這些應用程序未經蘋果審查。”

總結

總結

慢霧觀點總結

一級標題

總結

儘管現在許多以BTC 為代表的加密貨幣的市值一直在翻新高，區塊鏈行業當前發展態勢整體越來越好，但加密貨幣犯罪隨之也更猖獗。