魔幻的 2020 年在牛市的陪伴下落下了帷幕,然而這一年中鏈上安全事件卻頻頻發生。動區專欄作者 BlockBeats 將 2020 年中發生的鏈上安全事件進行了總結。《2020鏈上安全報告》主要分為四部分:2020影響幣圈行業的大事件、以太坊安全事件、合約保險以及 DeFi 合約外的其他攻擊。
(前情提要:安全報告|COVER連遭兩次攻擊,DeFi保險協議該如何自保?)
(知識補充:YFI 宇宙|Cream「鐵金庫」Iron Bank 新型借貸平台,誰能坐上鐵王座?)
2020 年新冠疫情對於全球經濟造成了極大的影響,美股一個月內經歷了三次熔斷,與此同時加密資產市場也受到了牽連。3 月 12 日加密資產全體暴跌無一倖免,比特幣日內跌幅達50%,加密資產市場總市值近乎腰斬。
隨後各國央行選擇以最簡單粗暴的方式來應對此次重創:瘋狂 QE 放水。這種刺激手段雖然是貨幣政策中最行之有效的,然而其副作用也是顯而易見的。
如果說次貸危機所引發的金融海嘯造就了比特幣,那麼疫情所導致的大量印鈔讓更多人認識到比特幣是一種稀缺資產且可對沖法幣貶值的風險。
延伸閱讀:比特幣連創新高「首破49,000鎂」!Fed重申無限QE助攻,但黑天鵝尚未遠去
合規買入、託管以及各類加密資產基建和衍生品的成熟從各個角度為加密資產需求者提供了完美的解決方案,諸多機構也就順理成章地選擇了比特幣以及其他龍頭加密資產作為資產配置的一部分。
若散戶未能享受到機構牛市所帶來的紅利,那麼流動性挖礦的熱潮大家一定都沒缺席。那些曾經只將幣存放在中心化交易所的用戶為了成為DeFi「農民」將資產轉入「狐狸頭」中,將非生產性資產通過去中心化交易所換成了種地的「鋤頭」。瘋狂的挖礦讓以太坊鏈上資產市值飛上雲端,但同時,這也成為了駭客嘴邊的肥肉。
延伸閱讀:鏈上數據|一文看懂「以太坊世界的現況、各個趨勢、未來」,Defi Eth2 NFT 正加速擴張
以太坊的安全事件
在流動性挖礦的帶領下,沉寂已久的 DeFi 在 2020 年下半年成為焦點。用戶將資產存入合約,為協議提供流動性,從而獲得協議的費用分成和治理代幣獎勵。
由於協議內存放著各類有價資產,這讓 DeFi 協議成為了被攻擊重災區。駭客們通過各種手段向合約發起攻擊,據 PeckShield 派盾統計 2020 年 DeFi 安全事件達到 60 起,損失逾 2.5 億美元,佔統計的駭客攻擊造成總損失的 12.5%,遠超 2019 年數據。
發生在 DeFi 合約中最常見的三種攻擊分別為預言機操縱攻擊(閃電貸)、重入攻擊以及程式碼漏洞。
預言機操縱(閃電貸、套利))攻擊
在現今 DeFi 大熱的背景下,預言機攻擊極為普遍,因為大多數 DeFi 協議都需要通過餵價預言機來提供價格信息。一般來說,餵價預言機分為鏈上和鏈下兩種,鏈上預言機通過抓取去中心化交易所價格來獲取訊息,而鏈下預言機則從中心化交易所獲得價格。
這兩種餵價預言機方式各有優劣,從鏈上獲取價格可以通過協議完全去信任化,但存在被操縱攻擊風險。鏈下預言機雖不存在被閃電貸攻擊風險,但其價格源需依賴於中心化交易所提供,存在中心化風險,且鏈下數據在鏈上反映較慢。
在鏈上,用戶可以通過閃電貸工具瞬間完成大額借款、兌換和大額存入等一系列操作,這使得攻擊者可以自行創造套利機會,從而操控去中心化交易所價格來擾亂其他使用該價格的 DeFi 應用,最終完成套利攻擊,典型案例有 bZx,Cheese Bank,Harvest 以及 Valley 等餵價預言機攻擊事件。
延伸閱讀:怎麼用 Defi 工具「十幾秒零成本」獲利上千萬?詳細還原 bZx 駭客事件始末
延伸閱讀:10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%
重入攻擊
重入攻擊是一種危害性極高的攻擊手段,可以輕鬆榨乾合約內所有資產。著名的 the DAO 被盜事件就是攻擊者運用重入攻擊導致以太坊硬分叉,損失了價值 5000 萬美元的以太坊。
智能合約不僅可以相互調用,也可以在內部調用。一般情況下,這不會產生任何問題,但當調用使得合約狀態不一致時,例如取款金額大於合約內金額時,或當某合約還未將餘額設為零前就發起轉帳,此時攻擊者可濫用提現功能提取合約中所有餘額。今年經典的重入攻擊案例有:Akropolis,dForce 以及Origin。
延伸閱讀:Akropolis 攻擊事件解析:駭客重現「經典重入攻擊」擄走203萬 DAI
合約漏洞
此類攻擊通常是由於開發者在編寫智能合約時,出現邏輯漏洞或自留後門所導致的。
大多合約漏洞出現在未經審計的合約上,較常見的手法是攻擊者通過合約漏洞無限鑄幣隨後榨乾流動性池內資產、凍結合約內資產,或是合約開發者取走合約資產後跑路。
合約保險
在去中心化的世界中,由於 DeFi 應用迭代速度過快,為了追趕熱度許多應用的合約在沒有通過第三方審計的情況下就進行了發布。由智能合約漏洞而損失的資產也是不計其數。
許多用戶可能會抱怨項目方不負責任,但有些項目並沒有公開項目資訊,由於 FOMO 情緒,用戶為了搶先一步參與到項目中,會通過蛛絲馬跡尋找尚未公開的項目合約。
例如在 9 月29 日凌晨,YFI 創辦人在其參與開發的新項目的推特上發布了兩張項目相關設計圖,隨後被駭客找到此項目合約地址並利用閃電貸攻擊盜取了1600 萬枚DAI。
合約審計對於高速迭代的 DeFi 產品來說耗費時間過長,保險或許會是更好選擇。DeFi 要發展,需要保險這樣的基礎設施。如果只是靠 DeFi 協議用戶自行去購買保險,這是不現實的。一種方案可由協議的交易費用或挖礦收益中抽取一部分,存入項目的金庫中,金庫中一部分用於購買協議保險。
延伸閱讀:YFI遭駭!聚合挖礦協議Yearn Finance疑似遭「閃電貸」攻擊,損失1,100萬鎂
DeFi 合約外的其他攻擊
除了合約攻擊外,公鏈攻擊、交易所以及錢包攻擊也不佔少數。大多數公鏈攻擊的方式為 51% 攻擊,自年初開始,多個區塊鏈項目相繼遭受 51 % 雙花攻擊。
7 到 8 月之間,以太經典(Ethereum Classic,ETC)遭受了三次 51% 攻擊,損失高達上千萬美元,OKEx 一度考慮從交易所中下架 ETC。11 月8 日,Grin Network 受到 51% 攻擊,由於反應及時,故並未造成損失。
發生 51% 攻擊的主要原因在於區塊鏈項目的共識程度不夠,礦工轉向其他項目,致使維護網路運轉的算力下降,給了攻擊者可乘之機。例如ETC、BTG、AE,這些都是幾年前的老牌區塊鏈項目,項目熱度嚴重下降,幣價表現不佳,由於礦工收益與幣價有直接關係,礦工們也就順勢投身收益更高的公鏈中。
當然,一部分新項目也會成為被攻擊對象,雖然幣價表現一般,但因其尚未凝聚強大的社群,故而沒有足夠的共識和算力,攻擊成本也相對較低,最終也會是駭客下手的目標。從具體實現方式上看,隨著被攻擊網路算力下降或其本身的算力不足,攻擊者可通過租用算力獲得足夠的算力進行攻擊,並且攻擊成本較低,收益一般遠高於成本。
Kucoin 交易所熱錢包被盜事件也引起了圈內人的重點關注。本次入侵影響了該交易所的比特幣、以太坊和 ERC-20 熱錢包,平台損失了近 2.85 億美元資產。
然而 KuCoin 的攻擊者貌似十分著急,試圖直接將 USDT 打散充入幣安和抹茶交易所變現,然而,還沒來得及操作相關帳戶就被兩家交易所及時凍結。隨後 Bitfinex、Tether 也相繼凍結 KuCoin 攻擊地址上約 3,300 萬USDT,忙活了大半天,這名駭客似乎什麼也沒有得到。
延伸閱讀:KuCoin執行長公開信:2.85億駭客事件,用戶損失已100%全數歸還
總結
在魔幻的 2020 年加密市場經歷了太多太多,在 312 過後人們重拾信心,DeFi 所點燃的 FOMO 情緒不亞於當年的 IC0,用戶的熱情無疑讓開發者更有動力開發出更有趣、優質、吸引人的鏈上應用,當然安全性是第一位的。
現今傳統金融機構已經將目光聚集在加密資產之上,加密金融應用將必定成為關注焦點,若想讓加密金融應用完全去中心化,那麼首要關注點就必須是安全性。在未來,將必定出現合約保險外的其他衍生品來對沖資產安全風險,日益完善的技術也將從各維度增加攻擊成本。相信在加密市場飛速發展的明天,安全事件會越來越少!
📍相關報導📍
慢霧回顧|2020年度區塊鏈安全與隱私大事件(DeFi, 交易所, 錢包, 公鏈)
市場回顧| DeFi 的 2020 年,那些爆紅的潛力幣們是如何跑出來的?
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
