2021年区块链安详年度总结

2021 年对付区块链来说是一个庞大的里程碑,无论是对付用户量照旧对付机构接管水平。链资产比重都远超汗青上的任何其他时期。

与此同时,鼓起了很多多元化的事物如号称终极将来的元宇宙、边玩边赚的 GameFi 以及链链互信的跨链等。而种种传统 Defi Dapp 也加快了步骤迎来了全新的进级,如 Uniswap V3, Aave V3 等新版协议问世。

各种这些,不只为区块链生态带来了活力,同时也带来了全新的安详挑战。此刻请跟从 知道创宇区块链安详尝试室 的视角一起回首2021区块链安详生态以及各月份的典范安详事件。

2021区块链安详生态速览

据 知道创宇区块链尝试室【被黑事件档案库】不完全统计数据,截至本文发稿前,2021 年区块链可供查询的相关安详事件为 312 起,直接损失超 100 亿美元。

比拟往年纪据来说依然是一个令人心悸的走高态势。发达成长的多链系统,链链互信的跨链需求,新链上的花式仿盘,都为这一复杂的数字做出了相应的"孝敬"。

2021年区块链安详年度总结-第1张图片-欧易OKX官网

在安详事件方面我们利用了6个纬度来举办统计,别离是 生意业务所、DeFi、跑路、钱包、公链、其他。个中以DeFi安详尤为突出到达了 141 起。

该原因主要在于区块链底层技能愈加趋向成熟,但合约实现类型还没有充实完备化和体系化,审计还没有被足够的落实。尤其合约具备着直接继续着资金载体和运行逻辑的成果,这使得越来越多黑客将方针瞄向该规模。

另一方面,进攻者操作闪电贷和链上监控愈发成熟。使得进攻面得以被充实袒露,同时各个项目方对付协议的实现也存在着庞大的差别,这些各种,无疑皆助长了该进攻的遍及性和频繁性。

2021年区块链安详年度总结-第2张图片-欧易OKX官网

在资金损失方面则是跑路/骗局尤为严重,损失总计超 64 亿美元。相较于 DeFi 安详事件的多发性来说,跑路/骗局对人们造成的经济损失越发明明。

跑路的方法由于 Owner 权限过大、合约可进级、DAO 比例操控等等难以制止。同时由于区块链的不行追溯性导致该行为风险变得很是的低,甚至有项目方直接在群组果真宣告本身跑路的行径,导致大量用户失去信心。

无论是生意业务所清退骗财骗、链上蜜罐、假钱包、转账垂纶,格式浩瀚的进攻方法也为链安详带来了新的挑战。虽然,这不只仅应该完全依赖安详公司,更多的还应该寄但愿于群体安详意识晋升的落地。

2021年区块链安详年度总结-第3张图片-欧易OKX官网

2021各月份典范安详事件回首

Ⅰ:挑 战 伊 始

要害词:权限节制,手续费

  • 1月27日,SushiSwap 因收取手续费的函数存在权限节制缺陷,被黑客操作操控了 DIGG/WETH 生意业务对的滑点,从而套取了 WBTC/DIGG 生意业务对的手续费。

  • 安详月度风险评估:低

    月度评价:新年伊始,但不该该是新裂痕的开始

    Ⅱ:风 雨 初 现

    要害词:闪电贷,无限授权

  • Yearn Finance 被进攻,黑客操作闪电贷操控 3pool 代币均衡,并通过y Dai保险库放大差别,赢利 280 万美元,而保险库损失 超1100 万美元。

  • 以太坊协议组合东西 Furucombo 智能合约被爆出存在请求授权权限过高问题,黑客可通过向 Furucombo 署理添加进攻合约,从而得到影响用户账户的权限,该裂痕影响超 1400 万美元。

  • 安详月度风险评估:中

    月度评价:同范例裂痕相继发作,需做好安详预警

    Ⅲ:花 式 危 险

    要害词:双花生意业务,错误铸币,权限节制

  • 去中心化生意业务所 DODO 因未对init举办权限节制,导致黑客在举办闪电贷偿还操纵时通过init函数将需要偿还的代币修改为本身提前插手pool的垃圾代币,从而规避校验以次充好,损失超 200 万美元。

  • Paid Network 铸币成果存在裂痕,被操作锻造超 6000 万枚PAID代币。

  • Filecoin 由于节点特性呈现“双花生意业务”裂痕。

  • 安详月度风险评估:高

    月度评价:裂痕范例格式百出,但焦点都是资金安详

    Ⅳ:经 典 重 现

    要害词:重入进攻,协议兼容性

  • Uniswap 上的 imBTC 池遭到黑客进攻,裂痕原因是 Uniswap 与 ERC777 协议呈现兼容性问题,当生意业务发生时,ERC777 中的迭代挪用 tokensToSend 可以被用来实现重入进攻,损失超 30 万美元。

  • 安详月度风险评估:低

    月度评价:经典裂痕以全新方法浮现,说明安详理念并不会停滞,需要时刻进步

    Ⅴ:八 方 风 雨

    要害词:重入进攻,协议斗嘴,滑点,闪电贷

  • 合成资产协议 Spartan Protocol 遭到闪电贷进攻,由于添加/移除活动性存在滑点批改机制的不同导致套利,损失 3050万 美元

  • 机枪池项目 Value DeFi 由于协议组合存在的斗嘴隐患遭到进攻,损失 1000 万美元,2 天后再次遭到进攻,损失 1100 万美元;

  • PancakeBunny 遭到闪电贷进攻,由于 LP 代币价值计较问题导致套利,损失约 4500 万美元;

  • BurgerSwap 遭到闪电贷进攻,由于重入裂痕和架构问题导致套利,损失约 330 万美元;

  • 安详月度风险评估:高