2021年区块链安全生态回顾全球损失超过98亿美元

2021年对区块链行业来说，是崎岖不平的一年。 尽管如此，区块链凭借其去中心化、开放透明的特性，在行业内外的努力下取得了良好的成绩。 同时，继DeFi之后全球用户、媒体对NFT、元宇宙的狂热热潮，将区块链带到了前所未有的高度。 这一年发生了什么？ 本文从区块链市场发展和典型安全事件切入，带你一探究竟。

区块链生态安全态势

政策、合规、监管

从国内环境看，一方面政府加大了对区块链技术研发和应用的重视度，工信部预计到2025年区块链等设施服务能力显著另一方面，政府继续监管加密货币。 9月，多部门联合发布了《关于进一步防范和处置虚拟货币交易炒作风险的通知》、发改委等部门联合发布了《关于整治虚拟货币“挖矿”活动的通知》。 相关资料显示2021年国家层面发布的区块链相关内容政策文件，涵盖高校科研、人才培养、技术应用标准、知识产权、数字农业、航运交通、抗疫、网络安全、社会救助、数字文化产业等方面

从海外环境看，各国政府仍然对加密货币保持关注，对加密货币的监管逐渐完善，政策也逐渐放开。 世界反洗钱机构金融行动特别工作组发布加密货币最新监管指南首尔将打造公共服务“元宇宙平台”； 德克萨斯虚拟货币法正式生效。比特币成为萨尔瓦多的法定货币。乌克兰议会通过了虚拟资产法等。

可以看出，随着世界各国政府对区块链重视程度的提升，区块链作为“新基础设施”的重要组成部分，被越来越多的主流机构所认同。

技术、应用与经济

我国“区块链产业”同样稳步发展、各类落地应用项目层出不穷。 全国首个区块链知识产权保护站揭牌成立； 广东省将颁发全国首个公共数据资产证书。 大公司也加入赛道：华为公开“安全芯片和处理方式”专利，腾讯云区块链发布三款产品，百度新增“区块链系统升级方法、设备、设备和存储媒体”专利； 中国移动通信联合会元宇宙产业委员会正式成立； 中国区块链专利申请量全球第一约63%； 商务部表示将推进区块链等新技术的标准化应用等。

2021年，区块链基础技术也实现了重要突破。 以太坊将于2022年Q2合并，v神等人提出了EIP-4488以降低以太网二层扩展解决方案为目的的Gas； 以太网第2层扩展程序Arbitrum将推出基于WASM的新版本的Nitro。 8月5日以太坊完成了伦敦的升级。

安全事件

区块链技术是一把双刃剑，其去中心化、匿名性、不可篡改性等特性在促进产业进步的同时，也引发了区块链安全洗钱、诈骗、盗窃、贩毒、采矿犯罪等案件频发。

据对慢雾技术区块链被黑文件数据的不完全统计，截至发稿前，2021年已披露区块链生态的区块链安全事件231起，涉及98亿美元

(来源： hacked.slowmist.io )

其中，各生态DApp、DeFi等安全事件170起，交易所安全事件其他类型的安全事件有35起。

2018年以来，整体亏损趋势上升。

在此，在回顾典型事件的同时，对每种事件附上慢雾的观点。 本文列举的只是冰山的一角但是，有很大的代表性。

安全事件和观点

公共链

BSV受到51%攻击

8月4日

ETC主网络发生了分支

9月4日，Ethereum Classic (ETC表示由于以太网客户端的Geth漏洞，ETC主网络发生了分支

Solana的主网测试版遭到拒绝服务攻击

9月14日，公链Solana的主网测试版从北京时间19:52开始出现不稳定的状况，9月21日，Solana官方公布了网络中断的初步概要： Solana网络离线17小时，没有资金损失，网络在24小时内恢复了所有功能。 网络停滞的原因是拒绝服务攻击。 UTC时间12:00Grape Protocol在Raydium上启动IDO，机器人生成的交易会导致网络堵塞。 这些事务会导致内存溢出，导致许多验证节点崩溃，导致网络变慢并最终关闭。

慢雾观点

雄链安全漏洞损失较小，但对整个链生态影响较大。 所以，公链上线前一定要接受专业的安全审计。 建议公共链团队与可靠职业的安全团队深入合作，引入因地制宜的安全建议将引起安全问题的可能性降到最低限度，保障整个公共链的安全。

交易所

Cryptopia再次被黑客攻击

2月20日，新西兰交易所Cryptopia再次遭到黑客攻击，调查显示，黑客访问了自2019年1月黑客攻击以来一直处于休眠状态的钱包。 这个钱包属于Stakenet由Cryptopia的清算人Grant Thornton控制。 根据调查结果，休眠的钱包约有196万美元的Xtake，这是Stakenet的本地令牌。

Liquid钱包被攻击

8月19日，日本加密交易平台Liquid称钱包被攻击。 慢雾AML团队利用旗下的MistTrack反洗钱跟踪系统分析统计、Liquid合计损失约9，135万美元(按案发当日价格计算，被盗币种超过BTC、ETH、ERC20令牌、TRX、TRC20令牌、XRP等70多种，币种之多、金额之高令人震惊。

慢热观点

交易所的安全问题已成为交易所和用户关注的首要问题，是决定交易所存亡的关键。 特别是今年第四季度各种交易所接连遭到攻击，损失非常惨重。

交易所频繁被攻击，理由是(1)交易所聚集大量资金，是黑客瞄准的对象)交易所往往防御脆弱，容易出现安全漏洞，容易被黑客从薄弱点切入3 )用户缺乏足够的安全意识

针对交易所，各大交易所建议健全内部管理和技术机制，引入安全审计机制、零信任机制、冷热资产安全解决方案等加强数字资产安全保障。 同时，积极迎接导演。 对于用户，必须加强安全意识任何时候都不能把私钥泄露给任何人。 同时，认识官方平台，避免钓鱼事件的发生。

钱包

女士钱包发生了多次泄漏事件

6月18日，比特币钱包提供商Ledger表示，最近发生了一系列利用伪造Ledger硬件钱包骗取用户资产的新诈骗，一年前一些信息被泄露的用户收到了要求更换硬件钱包的包裹，这个包裹包括伪造的官方信件和被篡改的Ledger硬件钱包。 Ledger表示，信中“需要更换现有的硬件钱包来保护资金”是诈骗，附属的Ledger Nano也是假货中选择所需的族。 如果用户按照信中的说明输入种子单词，则会窃取用户的加密资产。

多个Chivo钱包被盗

Chivo钱包是萨尔瓦多政府为推进比特币法案于9月7日发布的国家级数字钱包因此，萨尔瓦多承诺，下载并认证的Chivo钱包用户将获得30美元的比特币奖励。 据此，萨尔瓦多官方钱包的用户数一个月内超过了200万人。 但是，10月9日至10月14日，萨尔瓦多人权组织Cristosal收到了755份关于萨尔瓦多人报告Chivo钱包身份被盗的通知。

慢雾观点

今年与钱包本身相关的案件数量减少了，但下载假钱包APP被盗的案件数量非常多。 根据慢雾11月的报告，假钱包APP已经有数以万计的人被盗，损失达13亿美元。 只有树立安全意识，掌握正确的方法，才能真正保护你的资产。 首先，要看清官方网站，不要点击官方以外的链接； 其次，做好钱包的备份，妥善保管私钥的助记符，最后，总是有一颗怀疑的心，没有免费的午餐。

DApp、DeFi、NFT、交叉链

[1]eth生态

SushiSwap再次受到攻击

1。 这次攻击与SushiSwap的首次攻击相似，通过操作交易配对的兑换价格来获利。 此次攻击利用了DIGG自身没有WETH交易对，但攻击者创建了该交易对，并操纵了初始交易价格手续费兑换过程中出现较大滑坡，攻击者可以通过使用少量DIGG和WETH提供初始流动性获得巨额利润。

SIL被盗追回1215万美元

3月19日、DeFi聚合理财服务SIL.Finance合同中存在高危漏洞。 后SIL.Finance宣布，此次事件缘于智能合约权限的漏洞，该漏洞随后引发了通用抢先交易机器人为获利而提交一系列交易。 在发现智能合约因存在高危漏洞而无法提现后，经过慢雾等多人36小时的努力，成功追回1215万美元。

[2]BSC生态

Compound漏洞与建议

9月30日，去中心化贷款协定Compound通过推特确认，在执行62日的建议后，该协定的流动性开采发生了COMP令牌分发异常Compound Labs和社区成员正在进行调查。 据Compound称，存款和借款资金目前看不到风险。 Compound的创始人Robert Leshner说问题是，根据62日的提案，由于弄错了COMP令牌分发的速率初始设定，看起来分发了过多的COMP令牌。 10月4日，当Compound试图修复漏洞时另一个6880万美元的COMP令牌(共202472张COMP ) )通过drip )函数的调用打入了已经存在漏洞的流动性开采令牌分发合同中。

Cream Finance受到攻击

10月27日，DeFi贷款协会Cream Finance受到攻击，损失约1.3亿美元。 被盗资金主要是Cream LP令牌和其他ERC-20令牌。 据说这是历史上第三次DeFi黑客攻击。 另外，Cream Finance迄今为止多次受到电击信贷攻击2月失去了3750万美元，8月失去了1900万美元。

(3) EOS生态

flash.sx智能合约被再次攻击

月14日，从11:28 UTC开始，flash.sx电击贷智能合约受到“re-entry”攻击的漏洞，约120万EOS和46.2万USDT相继被盗。 官方消息称，在EOS Nation旗下的电击贷被黑客入侵后，项目方开始提出方案，直接更改黑客EOS账户的权限并将其转回资产。

PIZZA被黑客攻击了

12月8日晚上8点黑客账户itsspiderman利用溢出的漏洞向eCurve凭空增发tripool制作市场证书，用PIZZA担保，出借协议中的大部分令牌。 黑客随后创建一百三十多万个账户，分散被盗资产。 这次攻击中PIZZA协定的损失换算成了约500万美元。

[4]Polygon生态

算法稳定货币项目SafeDollar被攻击

6月28日，Polygon上的算法稳定货币项目SafeDollar涉嫌黑客攻击，似乎通过未经证实的合同提取了25万美元的USDC和USDT。

PolyYeld Finance合同利用

收益耕作合同PolyYeld Finance进行攻击，项目合同铸造了4.9万亿个YELD令牌，在二级市场进行了倾销。

[5]HECO生态

HSO缠绕3万HT行驶

3月10日，火币生态链heco上的预言机项目HSO缠绕3万HHT无法打开、站点或Telegram。 随后，在HECO核心码贡献团队星辰实验室、HECO技术社区和HECO白帽安全联盟等相关人员的全力推动下，共回收24823枚。

XDX Swap被攻击

7月2日，Heco链上的链之间的中心化交易所DDEX上的XDX Swap(DDEX被攻击攻击者获得85.17 ETH (约17.6万美元)的利润，将其全部交叉链到以太体上。 怀疑DDEX代码有后门。 在DDEX和星辰实验室、HECO白帽安全联盟等方面的支持与合作下XDX Swap陆续回收了这次攻击事件涉及的大部分资金，总价值超过了500万美元。

(6其他生态

NEAR生态Ref.Finance用于合同错误

8月15日，NEAR生态Ref.Finance团队宣布，在UTC时间8月14日下午2点左右，Ref团队注意到了REF-NEAR交易对的异常行为，找到最近部署的合同补丁中的一个错误，该错误已被多个用户使用，约100万个REF和58万个NEAR受到影响。

Solana生态Solend被黑了

8月19日，Solana生态贷款协定Solend宣布协定于北京时间8月19日20:40日被黑客入侵攻击者解密了UpdateReserveConfig函数中焦虑全身部分的检查，使其能够清算所有账户。 此外，黑客还将借入资金的APY设定为250%。 在此期间，5个用户的资金被错误清算。 Solend表示，这次攻击不会导致资金被盗，之后会提高漏洞奖金的规模，构建更好的监视和警报系统。 [ xy 002 ] [ xy001 ] polka train套期保值

4月5日，波卡生态IDO平台Polkatrain发生了事故。 慢雾分析表明，此次出现问题的合同是Polkatrain项目的POLT_LBP合同，该合同具有swap函数，存在返回机制，当用户通过swap函数购买PLOT令牌时，会得到一定量的返回，该返回将以合同的_update函数调用transferFrom的形式传输给用户。 _update函数没有设置池的最大返回数，也没有判断返回时总的返回佣金是否用完，因此恶意套利者通过调用swap函数进行令牌交换来骗取合同的返回奖金

Avalanche链上贷款合同Vee.Finance被盗

9月20日，Avalanche链上贷款合同Vee.Finance团队多次注意到异常转账，共计8804.7 ETH和213.93 BTC被盗。 (总价值超过3500万美元。 稳定货币的部分不受这次攻击的影响。

Fantom链上的GrimFinance受到电击信用攻击

12月19日，Fantom链上的复合收益平台GrimFinance遭遇电击贷攻击，损失超过3000万美元。 攻击者使用GrimFinance保险存储策略中名为“beforeDeposit ()”的函数进行攻击，然后输入恶意Token合同。

(7交叉链系统

交叉链交易协定THORChain3被攻击

6月29日，thorchain遭到“假充值”攻击，损失近35万美元； 七月十六日、THORChain两次遭到“假充值”攻击，损失近800万美元； 7月23日，THORChain遭到再三攻击，损失近800万美元。

跨链桥Chainswap被盗影响多个平台

7月11日，跨链桥项目Chainswap再次被黑客入侵，智能连接该桥梁总损失为400万美元，预计将导致缉毒史上影响范围最大的安全事故。 根据Chainswap的调查，由于令牌的链间分配编码的错误，链上的交换桥配额通过签名节点自动增加目的是更中心化，而不用人工控制。 但是，由于代码中存在逻辑缺陷，存在通过允许未列入白名单的无效地址来自动增加数量的漏洞。 以前7月2日，Chainswap也遭遇过黑客攻击，部分用户令牌将主动从与ChainSwap互动的钱包中取出，预计总损失80万美元。

Poly Network 6.1亿美元被盗并归还

月10日发生的Poly Network攻击事件可能是有史以来最大的网络安全事件，价值超过6亿1000万美元的加密资产在15天内被盗并归还。 整个区块链行业及所有利益相关者和Poly Network一起经历了这个起伏的过程。 目前，相关资产已全部返还用户，系统功能已基本恢复到事发前水平。

8月2日，一个名为“CryptoPunksbot”的骗子在cryptopunk的Discord服务器上发表，为NFT投资者提供了获得10个NFT头像的机会。 NFT项目的创始人Stazie因为收到虚假报价的海报，失去了16个CryptoPunk，至少价值100万美元。 之后，骗子以149 eth (385，000美元)的价格出售了5个CryptoPunk。

慢摆观点

自DeFi诞生以来，伴随着无数风险。 目前，许多DeFi项目的价值已经爆炸性地翻倍，但黑案也在加剧。 慢雾统计、DeFi通常为(1)电击信用攻击； )2)合同不完备)3)兼容性或体系结构问题)4)私钥泄露或前端攻击)5)内部作案、逃跑。

对项目来说，为了尽可能消除漏洞，降低安全风险，在——项目上线前，必须做出有效的努力进行全面深入的安全审计。 此外，各DeFi项目方还建议通过引入多签名机制加大资产保护力度。 另一方面，每个DeFi项目在进行协议间的交互时，需要有良好的协议间的兼容性，开发者在移植其他协议的代码时，需要充分了解移植协议的框架和自己项目的框架设计，防止资金损失的发生。 对用户来说，随着区块链领域玩法的多样化，用户在进行投资前要仔细了解项目背景，看看该项目是否有开源，是否经过审核，在参与项目时提高警惕，提高项目风险

其他类型

恐吓

5月7日，全美最大的油气输送管道运营商Colonial Pipeline受到恐吓软件的定向攻击被迫中止运营。 此后，支付了75枚比特币和400多万美元的赎金，得以恢复正常运营。 这次的恐吓攻击涉及国家级的重要基础设施，引起了世界性的震动和关注。 针对这一事件，美国司法部官员表示，成功追回了200多万美元的赎金。 但是，美国政府官员没有具体说明“如何获取私钥和追回赎金”的详细过程，这一行动仅表明美国将不遗余力应对恐吓攻击。

诈骗

8月20日俄罗斯最大的加密货币诈骗之一的创业者因涉嫌从投资者那里骗取超过15亿美元而入狱。 Finiko于2019年在喀山市成立，冒充合法的BTC投资公司。 2020年12月Finiko发表了其母语密码货币FNK。 据当地报道，创业者从投资者那里提出BTC，鼓励FNK令牌。

钓鱼

10月15日，Sophos发表的报告显示加密诈骗APP crypto rom计划利用“超级签名服务”和苹果开发者企业计划窃取140万美元。 迄今为止，与诈骗相关的比特币地址已发送超过139万美元，可能有更多与诈骗相关的地址。 据报道，许多受害者都是iPhone用户。 根据这份报告，CryptoRom绕过了App Store的所有安全检查，每天都很活跃。 报告显示、苹果“应该警告用户通过临时分发或者企业构成系统安装APP应用程序。 这些APP应用没有经过苹果的审查。 ”

慢牛观点

在区块链大发展的过程中，以区块链命名的各种新型投资诈骗像雨后春笋般层出不穷。 以勒索软件为例，美国财政部金融犯罪执法网发布的报告显示，2021年上半年发生的勒索软件相关交易达到5.9亿美元。 慢雾在这里警告用户不打开来历不明的邮件附件，仔细甄别钓鱼网站，经常持怀疑谨慎态度，有效利用杀毒软件。

总结

现在，尽管以许多BTC为代表的加密货币的市场价格一直很高，区块链行业目前的发展态势总体越来越好，但加密货币犯罪也更加猖獗。 统计数据显示，安全事件发生次数多、金额损失较大的月份主要为4月、6月、8月； 从各生态来看，以太坊损失最多超过13亿美元，其次是BSC生态； 从攻击领域来看，受到攻击的是交易所和DeFi。 对于

项目方，建议健全内部管理和技术机制，内部安全人员及时核查和补充安全相关内容。 最重要和最有效的方法——在项目在线之前对其进行全面深入的安全审计，最大限度地减少引起安全问题的可能性。

用户正确理性看待区块链，树立正确的货币观念和投资理念切实增强风险防范意识。 比如，投资前智能合约是否有开源，平台本身是否有安全审计，最重要的是保管好自己私钥的助记码，不要泄露给任何人。

最后，期待区块链新的一年产生更大的能量