2021年区块链安全生态回顾：共披露231起区块链安全事件

其中，各类生态DApp和DeFi安全事件170起，交易所安全事件15起，公链安全事件8起，钱包安全事件3起，其他类型安全事件35起。

2018年以来，整体亏损趋势仍在上升。

下面就带大家回顾一下典型事件，同时附上慢雾对每一类事件的看法。 本文所列举的虽然只是冰山一角，但却非常具有代表性。

安全事件及观点

1. 公链

BSV被51%攻击

8月4日，BSV疑似遭受51%攻击，近百个区块被重组。

ETC主网遭遇分叉

9 月 4 日，以太坊经典（ETC）发推称，由于以太坊客户端 Geth 存在漏洞，ETC 主网遭遇分叉。

Solana 的主网测试版遭受拒绝服务攻击

9月14日，公链Solana主网Beta版自北京时间19:52开始出现不稳定。 9 月 21 日，Solana 官方发布了网络中断的初步概况：Solana 网络断线 17 小时，无资金损失。 24 小时内恢复了全部功能。 网络停机的原因是拒绝服务攻击。 在世界标准时间 12:00，Grape Protocol 在 Raydium 上启动了 IDO，机器人生成的交易使网络拥塞。 这些交易造成了内存溢出，导致许多验证节点崩溃，迫使网络变慢并最终停止。

慢雾景

公链安全漏洞虽然造成的损失相对较小，但对整个链生态的影响却是巨大的。 因此，公链上线前必须经过专业的安全审计。 建议公链团队与具有公信力的专业安全团队进行深度合作，因地制宜地部署安全建议，将引发安全问题的可能性降到最低，从而保障整个公链的安全。

2.交流

Cryptopia 再次被黑

2 月 20 日，新西兰交易所 Cryptopia 再次遭到黑客攻击，调查显示，黑客访问了一个自 2019 年 1 月被黑客攻击后一直处于休眠状态的钱包。该钱包属于 Stakenet，由 Cryptopia 清算人 Grant Thornton 控制。 根据调查结果，休眠钱包持有价值约 196 万美元的 Stakenet 原生代币 Xtake。

Liquid 热钱包被攻击

8月19日，。 慢雾反洗钱团队使用其MistTrack反洗钱追踪系统对数据进行统计分析。 Liquid共损失约9135万美元（以事发当天价格计算），被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等70多种币种，而且金额之大，令人叹为观止。

慢雾景

交易所安全已经成为交易所和用户首要关注的问题，甚至成为交易所生存的关键。 尤其是今年四季度，各家交易所接二连三被攻击，损失惨重。

交易所频频被攻击的原因如下： (1) 交易所聚集了大量资金，一直是黑客攻击的目标； (2) 大多数情况下，交易所防御薄弱，容易出现安全漏洞，容易被黑客从弱点攻击 (3) 用户缺乏足够的安全意识； (4)内部犯罪。

对于交易所，建议各大交易所完善内部管理和技术机制，通过引入安全审计机制、零信任机制、冷热资产安全解决方案等方式加强数字资产安全。 同时，积极迎接监督。 对于用户来说，要加强安全意识，任何时候都不要将私钥泄露给任何人。 同时认准官方平台，避免钓鱼事件发生。

3. 钱包

Ledger钱包多次泄露

6月18日，比特币硬件钱包提供商Ledger提醒用户，近期出现了一系列利用假Ledger硬件钱包骗取用户资产的新型骗局。 一些信息在一年前被泄露的用户收到了更换硬件钱包的请求。 包裹，其中包括一封假的官方信函和一个被篡改的 Ledger 硬件钱包。 Ledger 表示，这封关于“需要更换现有硬件钱包以保护您的资金”的信件是骗局，所附的 Ledger Nano 也是假的。 如果用户按照信中的指示输入助记词，用户的加密资产将被盗取。

多个 Chivo 钱包被盗

Chivo Wallet是萨尔瓦多政府为实施比特币法案于9月7日发布的国家级数字钱包。 为此，萨尔瓦多承诺，下载并验证 Chivo Wallet 的用户将获得 30 美元的比特币奖励。 此举使萨尔瓦多官方钱包在一个月内吸引了超过 200 万用户。 然而，在 10 月 9 日至 10 月 14 日期间，总部位于萨尔瓦多的人权组织 Cristosal 收到了 755 份萨尔瓦多人报告 Chivo 钱包身份被盗的通知。

慢雾景

虽然今年与钱包本身相关的事件数量有所下降，但因下载假钱包应用程序而被盗的事件数量却很可观。 据慢雾科技报道，假冒钱包APP已造成数万人被盗，损失高达13亿美元。 只有树立安全意识，掌握正确的方法，才能真正保护好自己的资产。 首先，认准官网，不要点击官方以外的链接； 第二，做好钱包备份，妥善保管好私钥助记词； 最后，永远要持怀疑态度，天下没有免费的午餐。

4. DApp、DeFi、NFT、跨链

（一）ETH生态

SushiSwap 再次被黑

1 月 27 日，损失了 81 个 ETH。 这种攻击类似于SushiSwap，通过操纵交易对的交易所价格来产生利润。 本次攻击利用DIGG本身没有WETH交易对，攻击者创建该交易对并操纵初始交易价格，导致手续费兑换过程出现巨大滑点。 攻击者使用少量DIGG和WETH提供初始流动性，获取巨额利润。

SIL 盗窃后追回 1215 万美元

3月19日，DeFi聚合金融服务SIL.Finance合约出现高危漏洞。 随后，SIL.Finance发文称，该事件是由智能合约权限漏洞引发，进而触发通用抢先交易机器人提交一系列交易获利。 在发现智能合约存在高危漏洞无法提现后，经过慢雾等方36小时的努力，已成功追回1215万美元。

（二）BSC生态

复合漏洞和建议

9 月 30 日，去中心化借贷协议 Compound 通过推特证实，在 62 号提案实施后，该协议的流动性挖矿中出现了 COMP 代币异常分配，Compound Labs 和社区成员正在调查。 Compound表示，目前尚未发现存款和借贷资金存在风险。 Compound 创始人 Robert Leshner 表示，问题似乎是 62 号提案下 COMP 代币分配的初始比率设置不正确，导致分配了过多的 COMP 代币。 10 月 4 日，正当 Compound 试图修补漏洞时，由于 drip() 函数代币分配合约的调用，又向本已脆弱的流动性挖矿注入了价值 6880 万美元的 COMP 代币（共 202,472 个 COMP）。

Cream Finance 遭受三连击

10 月 27 日，损失约为 1.3 亿美元。 被盗资金主要为 Cream LP 代币和其他 ERC-20 代币。 据悉，这是有史以来第三大 DeFi 黑客攻击。 此外，Cream Finance此前曾多次遭受闪贷攻击，2月份亏损3750万美元，8月份又亏损1900万美元。

（三）EOS生态

flash.sx智能合约被重入攻击

自UTC时间5月14日11:28起，flash.sx闪贷智能合约遭遇“重入”攻击漏洞，先后被盗约120万个EOS和46.2万个USDT。 据官方消息，在EOS Nation的闪电贷被黑客攻击后，项目方发起了直接更改黑客EOS账户权限并转回资产的提案。

披萨被黑

12月8日晚8点，黑客账户itsspiderman利用溢出漏洞在eCurve上凭空增发三池做市凭证，并在PIZZA中质押和借出协议中的大部分代币。 之后，黑客创建了超过 130 万个账户并分散了被盗资产。 PIZZA协议在此次攻击中的损失相当于约500万美元。

(4) 多边形生态

算法稳定币项目 SafeDollar 受到攻击

6 月 28 日，Polygon 上的算法稳定币项目 SafeDollar 疑似被黑客入侵，一份未经确认的合约似乎被盗走 25 万美元的 USDC 和 USDT。

PolyYeld 金融合约被利用

收益耕种协议 PolyYeld Finance 遭到攻击，项目合约被用来铸造 4.9 万亿个 YELD 代币并在二级市场上抛售。

（5）HECO生态

HSO卷走30,000 HT跑路

3月10日，火币生态链HECO上的预言机项目HSO在IDO后3万HT跑路，网站和Telegram都打不开。 之后，在HECO核心代码贡献团队Star Lab、HECO技术社区、HECO白帽安全联盟等相关方的全力推动下，已收回24823枚HT。

XDX Swap 受到攻击

7月2日，Heco链上的跨链去中心化交易所DDEX上的XDX Swap（DDEX）遭到攻击。 攻击者获利 85.17 ETH（约合 176,000 美元）并将其全部交叉链到以太坊。 DDEX代码疑似有后门。 在DDEX、Star Labs、HECO白帽安全联盟等的支持与配合下，XDX Swap已陆续追回此次攻击涉及的大部分资金，总价值超过500万美元。

(6) 其他生态

NEAR 生态系统 Ref.Finance 因合约错误而被利用

8月15日，NEAR生态Ref.Finance团队发推称，8月14日世界标准时间下午2点左右，Ref团队注意到REF-NEAR交易对异常行为，随后发现补丁在最近deployed contract 一个已被多个用户利用的漏洞影响了大约 100 万个 REF 和 580,000 个 NEAR。

Solana 生态系统 Solend 被黑

8月19日，Solana生态借贷协议Solend发推称，该协议于北京时间8月19日20时40分被黑。 攻击者破解了 UpdateReserveConfig 函数中的不安全身份检查，允许其清算所有帐户。 此外，黑客将借入资金的 APY 设置为 250%。 期间，有5名用户的资金被不当清算。 索伦德表示，这次攻击没有盗取资金，它将增加漏洞赏金的规模，并建立更好的监控和警报系统。

波卡生态IDO平台Polkatrain被套利

4月5日，Polkadot生态IDO平台Polkatrain发生事故。 据慢雾科技分析，本次出现问题的合约为Polkatrain项目的POLT_LBP合约。 该合约具有掉期功能和返利机制。 当函数购买PLOT代币时，会获得一定的返利，返利会通过合约中调用transferFrom的_update函数转发给用户。 由于_update函数没有设置一个矿池的最大返佣金额，并且在返佣时不判断总返佣是否用完，恶意套利者可以不断调用swap函数兑换代币，提取合约价值. 回扣奖励。

Avalanche 链上借贷协议 Vee.Finance 被黑

9月20日，雪崩链借贷协议Vee.Finance团队发现多笔异常转账。 经进一步监测，共有8804.7 ETH和213.93 BTC被盗（总价值超过3500万美元）。 稳定币部分不受此次攻击的影响。

Fantom 链上的 GrimFinance 被闪贷攻击

12月19日，Fantom链上复合收益平台GrimFinance遭遇闪贷攻击，损失超过3000万美元。 攻击者使用GrimFinance的金库策略中名为“beforeDeposit()”的函数来攻击并进入恶意Token合约。

(7) 跨链系统

跨链交易协议THORChain 3次被攻击

6月29日，亏损近35万美元； 7月16日，THORChain第二次遭遇“虚假充值”攻击，损失近800万美元； 7月23日，亏损近800万美元。

跨链桥Chainswap被盗并影响多个平台

7月11日，跨链桥接项目Chainswap再次被黑。 超过 20 个在桥上部署智能合约的项目代币被黑客入侵。 总损失估计为400万美元，几乎造成了DeFi史上影响范围最大的安全事件。 据Chainswap调查，由于代币跨链配额代码存在bug，链上交易所桥接配额由签名节点自动增加，目的是更加去中心化，无需人工控制。 然而，由于代码中的逻辑缺陷，这导致了一个漏洞，该漏洞通过允许未列入白名单的无效地址自动增加数量。 此前，7月2日，Chainswap也遭到黑客攻击，部分用户代币被主动从与ChainSwap交互的钱包中提取，预计总损失80万美元。

Poly Network 被盗的 6.1 亿美元归还

8 月 10 日，超过 6.1 亿美元的加密资产在 15 天内被盗并归还，这可能是历史上最大的网络安全事件。整个区块链行业和所有相关方都与 Poly Network 一起经历了这场风风雨雨。 目前，涉案资产已全部归还用户，系统功能已基本恢复到事发前水平。

(8) NFTs

NFT 欺诈蔓延

8 月 2 日，一个名为“cryptopunksbot”的骗子在 CryptoPunk 的 Discord 服务器上发帖，为 NFT 投资者提供赢取 10 个 NFT 头像的机会。 NFT 项目创始人 Stazie 因接受虚假报价的海报而损失了 16 个 CryptoPunk，价值至少 100 万美元。 骗子随后以 149 ETH（385,000 美元）的价格出售了 5 个 CryptoPunk。

慢雾景

DeFi自诞生以来，就伴随着无数的风险。 尽管很多 DeFi 项目的价值都在爆发式翻倍，但黑客事件也愈演愈烈。 据慢雾科技统计，DeFi通常有以下几种攻击方式：（1）闪贷攻击； （二）合同漏洞； (3)兼容性或架构问题； (4) 私钥泄露或前端攻击； (5)内部犯罪，跑路。

对于项目方来说，要想尽可能的消除漏洞，降低安全风险，就必须在项目上线前进行全面深入的安全审计。 同时，建议所有DeFi项目方通过引入多重签名机制来增加资产保护。 另一方面，各个DeFi项目在进行协议间交互时，需要做好协议间的兼容工作。 开发者在移植其他协议的代码时usdt被盗的原因，需要充分了解移植协议的架构和自身项目的架构设计，以防止资金出现损失。 对于用户来说，随着区块链领域的玩法越来越多样化，用户在投资前需要仔细了解项目背景，查看项目是否开源，是否经过审计。 用户在参与项目时，需要提高警惕，注意项目风险。

5.其他类型

勒索

5 月 7 日，美国最大的油气管道运营商 Colonial Pipeline 因遭到有针对性的勒索软件攻击而被迫暂停运营。 之后，它支付了 75 个比特币，即超过 400 万美元的赎金，以恢复正常运营。 由于涉及国家级关键基础设施，此次勒索软件攻击事件引起全球震惊和广泛关注。 针对这一事件，美国司法部官员表示，他们已经成功追回了超过200万美元的赎金。 不过，美国政府官员并未具体说明“如何获取私钥并追回赎金”的详细过程。 他们只是说，这次行动表明美国将不遗余力地应对勒索攻击。

欺诈罪

8 月 20 日，俄罗斯最大的加密货币骗局之一的创始人因涉嫌诈骗其投资者超过 15 亿美元而被判入狱。 Finiko 于 2019 年在喀山市成立，伪装成一家合法的 BTC 投资公司。 2020 年 12 月，Finiko 发布了其原生加密货币 FNK。 据当地报道，创始人将从投资者手中拿走 BTC，并用 FNK 代币奖励他们。

钓鱼

10 月 15 日，Sophos 发布报告称，加密欺诈应用 CryptoRom 通过利用“超级签名服务”和 Apple Developer Enterprise Program 窃取了 140 万美元。 迄今为止，与该骗局相关的比特币地址已发送超过 139 万美元，而且可能还有更多地址与该骗局相关联。 报告称，大多数受害者是 iPhone 用户。 根据该报告，CryptoRom 绕过所有 App Store 安全检查并每天保持活跃。 该报告还表示，苹果“应该警告用户安装未经苹果审查的应用程序，无论是通过临时分发还是通过企业配置系统。”

慢雾景

在区块链蓬勃发展的过程中，各种打着区块链名义的新型投资骗局如雨后春笋般涌现。 以勒索软件为例，美国财政部金融犯罪执法网络发布的一份报告指出，2021年上半年，与勒索软件相关的交易额已达5.9亿美元。 慢雾在此提醒用户不要打开来历不明的邮件附件，谨慎识别钓鱼网站，时刻保持警惕和谨慎，有效使用杀毒软件。

总结

尽管以BTC为代表的众多加密货币市值已经翻新usdt被盗的原因，区块链行业整体发展趋势越来越好，但加密货币犯罪也更加猖獗。 从统计数据来看，安全事故较多、损失较大的月份主要集中在4月、6月和8月； 从各个生态来看，以太坊损失最多，超过13亿美元，其次是BSC生态； 从受攻击区域来看，交易所和DeFi受攻击较多。

对于项目方，建议完善内部管理和技术机制，内部安全人员及时检查和填补安全相关内容的空白。 最重要也是最有效的方法是在项目上线前对项目进行全面深入的安全审计，最大限度地降低引发安全问题的可能性。

对于用户而言，需要正确、理性对待区块链，树立正确的货币观念和投资理念，切实提高风险防范意识。 比如在投资前要注意智能合约是否开源，平台本身是否有安全审计。 最重要的是保管好自己的私钥助记词，不要泄露给任何人。

最后，期待区块链在新的一年里爆发出更大的能量，出现更多的落地应用，创造更大的价值。