2020年区块链生态安全态势年度报告.pdf

1 - 1 - 目录Contents第一章 2020年区块链生态安全态势概览1.1 区块链行业整体发展态势1.2 区块链安全挑战依然严峻 1.3 区块链监管进程亟待推进第二章 2020年区块链安全事件全画像2.1 区块链安全解决方案2.2 总体安全态势复盘2.3 安全风险不容忽视第三章 2020年区块链典型安全事件盘点 3.1 交易所方面典型安全事件3.2 DeFi 方面典型安全事件3.3 诈骗跑路/加密骗局方面典型安全事件3.4 勒索软件/挖矿木马方面典型安全事件 - 2 - 3.5 暗网方面典型安全事件3.6 其他方面典型安全事件第四章 安全风险分析及应对策略4.1 网络安全4.2 密码安全 4.3 共识机制安全4.4 智能合约安全4.5 应用生态安全第五章 区块链生态安全发展的对策及建议5.1 加大区块链安全技术的研究和攻关 5.2 推动区块链安全标准和规范建设5.3 促成区块链监管和合规体系搭建参考文献免责声明关于我们 - 3 - 第一章 2020年区块链生态安全态势概览1.1区块链行业整体发展态势2020 年，新冠肺炎疫情突如其来，席卷全球，对原本固已形成的社会秩序和经济秩序造成巨大的冲击。如何在疫情时期提升现行实体经济的运作效率，并进一步促成数字经济发展，区块链凭借其去中心化、开放性、机制透明等天然特性， 在全球经济复苏和产业结构升级中发挥了巨大的优势。从政策环境上来看，各国政府对区块链的重视程度进一步提升。美国方面，2020年 10 月，白宫发布了关键与新兴技术国家战略（National Strategy forCritical and Emerging Technology），首次将区块链核心技术组成部分分布式账本技术提升到国家战略高度；欧盟方面，2020 年 9 月，欧盟委员会发布了一份全新的数字金融一揽子计划，详细涵盖了数字金融战略、虚拟资产立法 建议等方面；我国方面，2020 年 4 月，国家发改委明确将区块链纳入“新基建”范畴，各地方政府纷纷制定区块链行业发展规划及相关政策。根据公开数据统计，2020 年我国国家部委、各地方政府发布与区块链相关的政策、法规、方案文件共计 217 份，显示出我国区块链发展环境得到空前政策助推。从产业赋能上来看，得益于区块链政策环境的态势利好，“区块链+产业”发展进程进入快车道，垂直行业的各类落地应用项目不断涌现。我国方面，在国家政 - 4 - 策、基础技术推动和下游应用领域需求不断增加的促进下，我国“区块链+产业”的市场规模正在不断拓展，涵盖了包括金融、政务、物流、文娱、社交、社会公共服务等多个垂直领域。根据公开数据统计，2020 年我国区块链落地应用项目总计达 194 个，同比增加 102.8%。区块链行业正阔步迈向“区块链+产业”3.0时代。 工信部关于组织开展信息消费试点示范项目申报工作的通知 四部委关于金融支持粤港澳大湾区建设的意见最高人民法院关于互联网法院审理案件若干问题的规定教育部教育信息化 2.0 行动计划，2020 年教育信息化和网络安全工作要点中共中央、国务院关于深化改革加强食品安全工作的意见国务院关于积极推进供应链创新与应用的指导意见图 1：我国部分“区块链+产业”结合政策从年度热点上来看，诸如跨链项目 Polkadot、分布式存储项目 Filecoin、比特币减半、以太坊 2.0、虚拟资产市值暴涨等事件备受瞩目，但 2020 年最具创新 性和热度的领域无疑当属 DeFi（去中心化金融）。根据 DeFi Market Cap 数据显示，2020 年 4 月，DeFi 代币总市值约为 10 亿美元；6 月，总市值约为 60亿美元；8 月，总市值破 100 亿美元；而在 2020 年年末，DeFi 代币总市值为210 亿美元。DeFi 热度由此可见一斑。 - 5 - 图 2：2020 年 4 月-12 月 DeFi 代币总市值1.2区块链安全挑战依然严峻2020 年区块链行业正在加速演进，方兴未已；但伴随着整体发展态势如火如荼的同时，区块链生态所面临的安全挑战依然严峻。根据成都链安【链必安-区块链安全态势感知平台（Beosin-Eagle Eye）】所监测到的数据统计：2020 年， 整个区块链生态造成的经济损失已超 38 万个 BTC，以币价 31600 美元来计算，总计损失约达 121 亿美元。值得注意的是，据成都链安（Beosin）安全团队历年数据统计，2018 年区块链生态经济损失超 20 亿美元，2019 年区块链生态经济损失超 60 亿美元；而 2020年区块链生态经济损失，甚至远超于前两年总和，呈“急剧爆发式”增长。 - 6 - 图 3：2010 年-2020 年区块链生态经济损失经济损失方面，2010 年-2020 年呈整体逐步上升趋势。需要关注的是，自 2016年以来，损失金额走势持续大幅走高；2020 年甚至出现了愈演愈烈的增长趋势。区块链生态安全现状令人堪忧，需要从业者清楚地意识到，达摩利斯之剑高悬。区块链行业蓬勃生命力的背后，无时无刻不面临着如影随形的安全风险。 背后原因方面，自 2016 年以来，区块链生态经济损失逐年增多，源于近几年来区块链行业进入到一个高速发展的阶段，伴随着区块链底层技术逐步走向成熟，区块链应用价值愈加获得认可，区块链生态所承载的经济效益逐年提升，随之而来的安全风险也愈发严峻。2020 年新冠肺炎疫情的冲击下，全球经济数字化转型步伐加快，以比特币为代表的虚拟资产普及程度提升且总市值不断突破历史新高，黑客与不法分子的犯罪行为随之更加猖獗。 - 7 - 反映问题方面，其一，整个区块链生态当下仍缺乏普适的安全标准和安全规范，行业乱象难以得到有效遏制；其二，区块底层技术在应用层、合约层、网络层、共识层分别仍然存在着各种不容忽视的安全风险；其三，区块链生态的安全监管进程亟待推进，如何实现高效可行的安全监管，是整个行业需要重点攻坚的难题所在。1.3区块链监管进程亟待推进 区块链安全现状所曝出的多方面安全风险，诸如各大交易所被盗事件频繁发生、智能合约漏洞凸显、利用虚拟资产进行非法犯罪、趋于活跃的暗网地下交易、日益突出的 DeFi 安全问题等等，都从根本上要求推动区块链监管进程建设迫在眉睫。从技术特性上来看，区块链技术本身是一把“双刃剑”，其去中心化、难篡改、匿名等“基因特性”在推动新一轮技术变革和产业创新的同时，也为目前的安全 监管工作带来严峻的挑战。其中，“去中心化”特性造成了监管主体不明确，监管范围模糊等客观问题难以避免；“难篡改”特性一定程度上增加了监管规则制定和执行的困难；“匿名”特性难以追踪，不法分子则很可能将区块链技术作为从事犯罪活动的新型手段。从监管对象上来看，面对不同的监管主体，管理方式和监管手段也存在着显著的差异。其中，业务应用的监管主要针对需求方，目的在于为区块链需求方合规合 - 8 - 法地开展业务创造先行条件；技术的监管主要针对技术提供方，在鼓励技术发展的同时亦需兼顾技术风险的的法律责任；市场主体的监管则主要针对区块链服务的参与主体，旨在达到明确责任主体，推动行业有规可循，稳健发展。从相关法规上来看，区块链监管进程亟待推进业已成为世界各国及从业者的普遍共识。2019 年 6 月，FATF（Financial Action Task Force）对于评估各国是否已采取必要行动来部署虚拟资产的相关监管标准达成一致，其发布的 INR15 规 定各国及 VASP 必须在 2020 年 6 之前，开始执行 FATF 的监管要求。根据公开数据统计，2020 年已有多个国家相继发布了有关虚拟资产方面的政策法规，国际虚拟资产监管趋于合规化。 图 3：2020 年各洲发布有关虚拟资产政策法规占比 数据来源：公开数据统计 2020 年 - 9 - 第二章 2020年区块链安全事件全画像2.1区块链安全解决方案基于 2020 年区块链生态的整体安全态势，如何针对当下区块链生态所面临的技术风险及监管风险两大层面，立足于区块链系统及应用的安全研发、安全运行、安全监管等场景，实现全流程闭环管理，并打造覆盖全生命周期的一站式区块链 安全解决方案，是行而有效的关键措施。总的来说，一站式区块链安全解决方案通过对区块链安全技术的研发及迭代，在积累海量区块链安全攻防实战的基础上，以“安全产品”和“安全服务”的形式为整个区块链生态提供全方位的安全支持，涵盖安全审计、安全检测、态势感知、渗透测试、安全防护、威胁情报、安全咨询、应急响应等方面，为区块链生态的安全发展实现保驾护航。 2.2总体安全态势复盘截至 2020 年 12 月 31 日，成都链安（Beosin）安全团队根据【链必安-区块链安全态势感知平台（Beosin-Eagle Eye）】监测到的数据统计梳理，2020 年区块链生态整体安全态势极为严峻，全球范围内所造成的经济损失已超 121 亿美元，涉案金额远超于前两年总和。2020 年已成为区块链生态安全领域的第一大 - 10 - 灾年。2.2.1安全事件高发据不完全统计，放眼整个区块链生态，2020 年所发生的相关典型安全事件数量已超 270 起，相比于 2019 年，增长率达 54%。从数量走向上来看，全年安全事件呈爬坡式上升的趋势。其中，安全事件数量峰点在 9 月。值得关注的是，8 月、9 月、12 月安全事件均突破“30 起”关口，原因在于 8 月、9 月 DeFi 热潮以及 12 月以比特币、以太坊为代表的虚拟资产币价暴涨。 图 4：2020 年各月安全事件数量 - 11 - 2.2.2经济损失严重据不完全统计，2020 年整个区块链生态所造成的经济损失已超 121 亿美元，所暴露出的安全现状及潜藏的安全风险亟需从业者加强重视。从损失走向上来看，全年经济损失整体上呈现波动分布、单点爆发的趋势。值得关注的是，11 月经济损失“爆发式”升高，原因在于 11 月交易所方面涉案金额巨大。 图 5：2020 年各月经济损失金额2.2.3分布类型多样总的来看，2020 年区块链生态所造成的经济损失主要分布在以下几个方面：交 - 12 - 易所方面、DeFi 方面、诈骗跑路/加密骗局方面、勒索软件/挖矿木马方面、暗网方面、其他方面。其中，值得关注的是，勒索软件/挖矿木马方面、其他方面所发生的典型安全事件数量占比较高。 图 6：2020 年典型安全事件数量占比2.3安全风险不容忽视随着 2020 年区块链行业迎来新的发展时期，区块链作为“新基建”的重要组成部分，与实体经济和数字经济加速融合，稳步推进，区块链应用价值得到进一步凸显。与此同时，各类安全风险也伴随着区块链技术的大规模应用不断升级。总 的来说，结合近年来区块链生态安全事件呈现画像，区块链行业主要的安全风险存在于技术层面和监管层面。 数据来源：Beosin-Eagle Eye 2020 年 - 13 - 2.3.1技术层面区块链技术层面所面临的安全风险不仅存在区块链平台特性所带来的相关安全问题，也存在传统网络安全风险。主要包括：区块链底层平台、区块链中间协议层、区块链应用服务层。2.3.1.1区块链底层平台 区块链底层平台作为对上承载各类区块链应用、对下衔接网络底层平台的核心枢纽，为区块链应用落地提供了必需的存储、传输、计算、开发和测试等底层核心能力、资源和服务。因此，区块链底层平台的安全能力是确保区块链安全发展的关键所在。2.3.1.2区块链中间协议层 区块链中间协议层的安全风险，主要存在于智能合约及其共识机制，其主要面临成熟度不高的代码实现带来的安全风险。如利用智能合约逻辑、开发中存在的安全漏洞和后门，或智能合约运行环境中的虚拟机自身安全漏洞，或不完善的访问验证、控制等机制，攻击者可部署恶意智能合约代码以实施逃逸漏洞攻击、逻辑漏洞攻击、堆栈溢出漏洞攻击、资源滥用漏洞攻击等，实现不符合智能合约约定的操作。 - 14 - 2.3.1.3区块链应用服务层区块链应用服务层同样存在诸多安全风险。在应用服务层开发过程中存在的代码漏洞问题，尤其在第三方平台介入的应用场景下，更容易出现越权漏洞风险。钓鱼攻击、中间人攻击、木马劫持等传统网络攻击手段也会对上层区块链应用构成威胁。 区块链底层平台：区块链数据存储、P2P 网络传输、Hash 函数、非对称加密机制等区块链中间协议层：智能合约、激励机制、共识机制等 区块链应用服务层：虚拟资产、司法存证、药品溯源、医疗保险、版权保护等 区块链底层平台：设备安全风险、网络攻击威胁、数据丢失和泄露等区块链中间协议层：智能合约开发漏洞、合约运行安全、共识协议漏洞、业务逻辑设计问 题、恶意节点攻击等区块链应用服务层：私钥丢失、账户窃取、应用软件漏洞、DDoS 攻击、环境漏洞等图 7：区块链行业技术架构及主要安全风险2.3.2监管层面 - 15 - 除区块链技术架构本身所存在的安全风险之外，其诸如去中心化、难篡改、匿名等“基因特性”也为区块链安全监管层面带来了不容忽视的挑战。具体表现为三个方面。一是区块链技术无国界限制，区块链网络节点可存在多个国家，链上产生的异常行为追踪，引发管辖权限困境、责任认定困境等问题。二是区块链的强隐秘性，无疑增加了安全事件和犯罪行为的追踪溯源难度。三是区块链的防篡改性，为有害信息、犯罪行为等形成天然庇护，向行业安全监管提出挑战。 - 16 - 第三章 2020年区块链典型安全事件盘点面对 2020 年区块链生态极为严峻的安全现状，成都链安（Beosin）安全团队通过梳理整年监测到的数据信息，细分为六大方面回顾 2020 年区块链生态各领域所发生的典型安全事件，以此复盘 2020 年区块链生态整体安全态势，以作警钟长鸣。 3.1交易所方面典型安全事件交易所是距离用户资产最近的地方，用于海量资产的管理存储及撮合交易，因此一直以来也是黑客首当其冲的攻击目标。作为区块链生态极其重要的一环，交易所的安全问题直接决定了整个行业的发展态势。3.1.1安全事件概览 Altsbit交易所遭攻击后关闭2 月 5 日，意大利交易所 Altsbit 存放热钱包私钥的服务器被入侵，导致损失了6.929 个 BTC、23 个 ETH，以及其他数量的虚拟资产，随后交易所宣布于 5 月8 日关闭。 VBITEX 交易所被入侵 - 17 - 2 月 17 日，VBITEX 交易所发布公告称被黑客入侵，导致平台数据被恶意篡改、虚拟资产被盗。 Coinhako交易所遭攻击后限制用户取款新加坡交易所 Coinhako 在遭受攻击后限制用户取款，Coinhako 发言人实施账户限制是防止“未经授权的交易”。 OKEx、Bitfinex相继遭DDoS 攻击OKEx、Bitfinex 等交易所相继遭 DDoS 攻击，纷纷出现宕机等情况，OKEx 宣称遭到至少 600G 流量 DDoS。 Bisq交易所被盗4 月 9 日，虚拟资产交易所 Bisq 被盗，攻击者利用 Bisq 交易协议中的一个缺陷，针对单笔交易来窃取交易资金，造成 7 名受害者共损失 3 个 BTC 和 4000 个 XMR。 币安交易所遭攻击导致合约页面大范围卡顿4 月 29 日，币安交易所遭到攻击并导致合约页面大范围卡顿，甚至打不开页面。 Youbi交易所遭DDoS攻击5 月 6 日，自 Youbi 交易所开启平台币认购后，连续 3 天遭遇大流量 DDoS 攻 击，造成服务器短时间无法访问。 - 18 - Upbit交易所被盗资产发生大规模转移5 月 14 日，Upbit 交易所被盗资产发生大规模转移。黑客团伙将赃款通过多层中间地址层层转移，切分转移后使用大量充币地址将赃款转入多个交易所。 UEX 交易所遭黑客攻击5 月 27 日，UEX 交易所在 20：00 正式开启交易对后，平台遭遇黑客入侵和攻击，用增发的 UEX 对盘面进行不计成本地砸盘。 LMEX 联交所遭黑客入侵5 月 27 日，LMEX 联交所在社群发布关于交易所运营调整通知称：平台遭黑客入侵被盗损失了 15 万个 USDT，致使平台资不抵债。 Cashaa交易所被盗7 月 12 日，英国 Cashaa 表示，黑客从其中一个钱包中窃取了超过 336 个 BTC。 ETERBASE部分热钱包被盗9 月 8 日，欧洲虚拟资产交易所 ETERBASE 遭遇黑客攻击，导致部分热钱包被盗，包括 BTC、ETH 及 ERC-20 代币、XRP、TRX、XTZ 和 ALGO，损失逾 500万美元资产。 Deribit遭遇DDoS攻击 - 19 - 9 月 22 日，加密衍生品交易所 Deribit 发推称凌晨遭遇 DDoS 攻击，使得平台服务器难以访问。 KuCoin交易所遭黑客攻击9 月 26 日，KuCoin 库币交易所遭到黑客攻击，大量 ETH 和 ERC20 代币被转移，其中包括 11486 个 ETH、19788586 个 USDT、525405 个 GLA 等。此后，该黑客跑路资金遭到各个大交易所联合封堵。 Bitbay交易所再次突然宕机10 月 13 日，爱沙尼亚交易所 Bitbay 在 0 时 28 分左右突然宕机，后于 2 时 10分左右恢复。这是该交易所今年第二次突然宕机，3 月份曾出现过一次长达 18小时的宕机。 Liquid交易所数据泄露11 月 13 日，虚拟资产交易所 Liquid 发布通知称，发生了一起数据泄漏安全事 件。 Bitcoin遭到DDoS攻击12 月 19 日，Bitcoin 遭到 DDoS 攻击，导致该网站瘫痪。 Exmo 交易所发生重大安全漏洞12 月 21 日，英国虚拟资产交易所 Exmo 发生重大安全漏洞，导致平台已冻结 - 20 - 所有提款。根据 The Block 研究分析师说法，Exmo 或损失了 1050 万美元的资金。 Livecoin遭到所谓的“精心计划的攻击”12 月 24 日，俄罗斯虚拟资产交易所 Livecoin 遭到了所谓的“精心计划的攻击”。该交易所失去了对所有服务器、后端和节点的控制权，并恳请用户停止存款、交易或与该交易所进行互动。 3.1.2安全建议 交易所应建立完善的安全风控应急预案，以及时响应并处置各类黑客攻击事件的发生。 交易所应建立全面的安全防护机制，加固平台自身安全架构，并适时对平台进行来自第三方安全公司的整体安全测试。 加强对内部员工和用户的安全意识普及，避免出现监守自盗的情况。 3.2 DeFi方面典型安全事件根据 DeFiPulse 数据统计，DeFi 生态在 2020 一年间锁仓价值由年初的 6.6 亿美元上升至年末的 143 亿美元，实现年内累计涨幅近 2000%的飞速增长。由于DeFi 热潮的兴起，该领域也自然成为了 2020 年黑客“大展拳脚”的重点对象。 - 21 - 3.2.1安全事件概览 bZx遭遇两次闪电贷攻击2 月 15 日，DeFi 贷款协议 bZx 遭受攻击，攻击者同时跨多个协议完成了一笔闪电贷杠杆套利交易，导致价值 35 万美元的 ETH 被盗。2 月 18 日，bZx 再次遭受闪电贷攻击，攻击者通过控制预言机价格获利 2388 个 ETH，约 64.4 万美元。 Curve V4 流动性不充足进行超大额的兑换2 月 28 日，一名用户在 Curve V4 流动性不充足的前提下进行了超大额的兑换，虽然团队发现了该事件，并立即进行了补救，但这名用户最终还是损失了 14 万美元的资产。 MakerDAO清算机制异常3 月 12 日，由于以太坊币价暴跌，MakerDAO 的大量抵押债仓跌破清算门槛， 引发了清算程序执行。原本应该参与到清算过程中的清算机器人（Keeperbot）因设置了较低的 gas 值，导致出价受阻，一位清算人在没有竞争者的情况下，以 0DAI 的出价赢得了拍卖。 Synthetix公开合约漏洞Defi 项目 Synthetix 公开了一个合约漏洞，不过该合约尚未启用因此未产生损失。该漏洞存在于 Synthetix 合约的清算接口。在正常情况下用户质押 ETH 而 - 22 - 获得 SETH，在抵押期过后进行资产清算，调用清算接口返还 SETH 获得 ETH；然而该漏洞可导致任意用户都可以直接 Burn 掉其他用户抵押的 SETH 进而获得ETH。 Uniswap的ERC777重入风险4 月 18 日，黑客利用 DeFi 平台 Uniswap 和 ERC777 标准的兼容性问题缺陷，对 Uniswap 实施了重入攻击。黑客在交易 ETH-imBTC 时，利用 ERC777 标准 中进行转账的 tokensToSend 回调函数实现了重入攻击，总获利 34 万美元。 DeFi平台Lendf.Me遭受重入漏洞攻击4 月 19 日，以太坊 DeFi 平台 Lendf.Me 遭受重入漏洞攻击，损失约 2500 万美元。 DeFi项目Hegic 代码出现漏洞 4 月 27 日，DeFi 项目 Hegic 代码出现漏洞导致用户资产被用户永久锁定。在该项目上线几小时后，其代码中的一个错误锁定了该平台智能合约价值 2.8 万美元的用户资金，由于该漏洞将资金锁定在了过期合约中，使其无法被访问。 Bancor新合约出现安全漏洞6 月 18 日，由于新的 Bancor Network 合约上未经验证的 safeTransferFrom ()函数，用户资金即将被耗尽。 - 23 - Balancer流动性池两次遭黑客闪电贷攻击6 月 29 日，知名 DeFi 平台 Balancer 流动性池遭黑客闪电贷攻击，损失 50 万美元。Balancer 上遭遇损失的为 STA 和 STONK 两个代币池，目前这两个代币池的流动性已枯竭。6 月 30 日，黑客再次利用 dYdX 的闪电贷攻击了 Balancer部分流动性矿池中的 COMP 交易对，将池子中未领取的 COMP 奖励抽走，获利 10.8 个 ETH，约合 2408 美元。 VETHer (VETH)遭黑客攻击7 月 1 日，VETH 在去中心化交易所 Uniswap 遭遇黑客攻击。黑客仅使用 0.9个 ETH 就盗走了 919299 个 VETH，价值约为 90 万美元。 Opyn看跌期权被外部参与者恶意利用8 月 5 日，链上期权平台 Opyn 披露其以太坊看跌期权被外部参与者恶意利用。Opyn 指出，除以太坊看跌期权外的所有其他 Opyn 合约均不受此漏洞的影响。 攻击者双重利用 oToken 并窃取了看跌期权卖方的抵押资产。 DeFi项目YAM合约存在漏洞8 月 13 日，知名以太坊 DeFi 项目 YAM 官方表明发现合约中存在漏洞，24 小时内价格暴跌 99%，导致了治理合约被“永久破坏”，价值 75 万美元的 Curve代币被锁定而无法使用。 DeFi项目YFValue在YFV质押池中发现漏洞 - 24 - 8 月 25 日，DeFi 项目 YFValue（YFV）官方称，团队在 YFV 质押池中发现一个漏洞，恶意参与者借此漏洞对质押中的 YFV 计时器单独重置，1.7 亿美元资金存在被锁定风险。 Degen.Money利用双重授权漏洞获取用户资金DeFi 流动性挖矿项目 Degen.Money 利用双重授权漏洞（Double ApprovalExploit）来获取用户资金。 SushiSwap仿盘智能合约均存在漏洞SushiSwap 仿盘 YUNo Finance（YUNO）与 KIMCHI.finance（KIMCHI）智能合约均存在漏洞。智能合约拥有者可以利用漏洞，无限制地增发项目对应的代币数目，继而导致通胀并最终崩溃。 BaconSwap和shroom.finance均存在时间锁定漏洞9 月 3 日，以太坊研发者 Philippe Castonguay 称 DeFi 项目 BaconSwap 和 shroom.finance 均存在时间锁定漏洞，将允许项目所有者在没有时间锁定的情况下无限增发代币。 EOS项目EMD跑路9 月 9 日，EOS 项目 EMD 疑似跑路。项目合约 emeraldmine1 向某账号转移78 万个 USDT、49 万个 EOS 及 5.6 万个 DFS。 - 25 - DeFi流动性挖矿项目“珊瑚”遭攻击9 月 10 日，EOS 生态 DeFi 流动性挖矿项目“珊瑚”的 wRAM 遭到黑客攻击，损失逾 12 万个 EOS。 YFI仿盘rebase机制漏洞获利YFI 仿盘 Soft Yearn 的一名用户因 rebase 机制漏洞用 200 美元获得了 25 万美元的回报。 Soda Finance存在智能合约安全漏洞9 月 21 日，Soda Finance 被爆出存在智能合约安全漏洞。该漏洞允许任意外部调用者通过调用智能合约函数，无视受害用户债务中的代币数目，强行结算受害用户的债务，并将通过结算操作所得的收益转入到自己的收款地址，最终项目损失约 105 万人民币。 GemSwap遭到项目拥有者后门攻击 9 月 26 日，DeFi 项目 GemSwap 遭到项目拥有者的后门攻击。项目拥有者通过调用后门函数 emergencyWithdraw ()将所有的流动性证明取出并转移至自己拥有的账户中，最终项目损失约 850 万人民币。 Eminence（EMN）遭遇闪电贷攻击9 月 29 日，yearn.finance 创始人 Andre Cronje 刚推出的游戏项目 Eminence（EMN）遭遇闪电贷攻击，黑客将 800 万美元的资金返还给了 yearn 部署者合 - 26 - 约。 DeFi Saver交易所漏洞致31万DAI被盗10 月 8 日，去中心化钱包 imToken 表示，用户报告称 31 万个 DAI 被盗，这与DeFi Saver Exchange 漏洞有关。 以太坊项目WLEO合约遭黑客攻击 10 月 11 日，以太坊项目 WLEO 合约遭到黑客攻击，导致价值 4.2 万美元的资金被盗。黑客通过向自己铸造 WLEO，并将其换成 ETH，从去中心化交易所Uniswap 的池中窃取了 ETH。 Harvest.finance遭闪电贷攻击10 月 26 日，DeFi 挖矿项目 Harvest.finance 被使用闪电贷功能实现了巨额套利。Harvest 官方解释称，这次套利攻击起源于一笔巨额闪电贷，并通过多次操 纵 Curve y Pool 的价格，以套取 fUSDT、fUSDC 的价差进而获利。 黑客利用Axion Staking合约的unstake函数设法铸币11 月 2 日，黑客利用 Axion Staking 合约的 unstake 函数设法铸造了约 800亿个 AXN 代币。黑客随后将 AXN 代币在 Uniswap 交易所中兑换以太币，重复此过程，直到 Uniswap 中 ETH-AXN 交易对的以太币被耗尽，同时 AXN 代币价格降至 0。该攻击是内部操作造成的，该内部操作通过在部署代码时，对项目 依赖的 OpenZeppelin 依赖项注入恶意代码，最终损失约 330 万人民币。 - 27 - SharkTron匿名开发者跑路11 月 10 日，基于 Tron 区块链 DeFi 项目、JustSwap 白名单项目 SharkTron的匿名开发者 Daniel Wood 跑路，推特用户报告称损失了 3.66 亿至 4 亿个 TRX，价值约 1000 万美元。 Akropolis合约遭多次连续重入攻击11 月 13 日，黑客利用 Akropolis 项目存在的存储资产校验缺陷，向合约发起 连续多次的重入攻击，致使 Akropolis 合约在没有新资产注入的情况下，凭空增发了大量的 pooltokens，进而再利用这些 pooltokens 从 YCurve 和 sUSD 池子中提取 DAI，最终导致项目合约损失了 203 万个 DAI。 Value DeFi协议遭闪电贷攻击11 月 15 日，Value DeFi 协议遭到了闪电贷攻击。攻击者从 Aave 协议借了 80000个 ETH，执行了一次闪电贷攻击，在 DAI 和 USDC 之间进行套利。攻击者在利 用 740 万美元 DAI 后，向 Value DeFi 退还了 200 万美元，保留了 540 万美元，净损失达 600 万美元。 Cheese Bank遭攻击损失330万美元11 月 16 日，基于以太坊的去中心化自治数字银行平台 Cheese Bank 因黑客攻击遭受了 330 万美元的损失。黑客通过利用基于自动做市商（AMM）的预言机在 dYdX、Uniswap 等平台上进行了一系列恶意借贷操作，共导致价值超 330 - 28 - 万美元的损失。 OUSD遭闪电贷+重入攻击11 月 17 日，DeFi 协议 Origin Protocol 稳定币 OUSD 遭到攻击，攻击者利用dYdX 的闪电贷进行重入攻击，造成价值 770 万美元的 ETH 和 DAI 的损失。 Pickle Finance未经审核的合约漏洞被利用 11 月 22 日，DeFi 项目 Pickle Finance 因被黑客攻击未经审核新创建的智能合约漏洞，损失近 2000 万美元的 DAI。 Compound喂价错误致9000万美元资产遭清算11 月 26 日，Compound9000 万美元资产遭清算。Debank 创始人 hongbo表示，Compound 巨额清算事件其实是因预言机数据源 Coinbase Pro 的 DAI价格剧烈波动而导致，通过操控预言机所依赖的信息源可以实现短时间的价格操 纵，以误导链上价格。 Sushi Swap遭到流动性提供者攻击11 月 30 日，以太坊 AMM 代币兑换协议 Sushi Swap 遭到流动性提供者攻击，损失约 1.5 万美元。 Compounder.Finance项目智能合约发生数笔大量代币交易 12 月 1 日，Compounder.Finance 项目智能合约发生数笔大量代币的交易。经 - 29 - 过仔细验证得知这些交易为内部操作，项目拥有者将大量数额代币转移到自己的账户中。经统计，最终共损失价值约 7610 万人民币的代币。 DeFi保险协议Nexus Mutual创始人个人地址被攻击12 月 14 日，DeFi 保险协议 Nexus Mutual 表示，其创始人 Hugh Karp 的个人地址被一位平台用户攻击，被盗 37 万个 NXM，损失超过 800 万美元。官方表示这是一次具有针对性的攻击，只有 Karp 的地址受到影响，Nexus Mutual 或其他成员没有后续风险。 Warp Finance遭遇闪电贷攻击12 月 18 日，流动性 LP 代币抵押借贷 DeFi 协议 Warp Finance 遭遇闪电贷攻击，约 800 万美元被盗。据称，闪电贷攻击者最多可盗走价值 770 万美元的稳定币，不过 Warp Finance 团队已拟定计划来追回仍在抵押金库中的价值约 550万美元的稳定币。 Cover合约漏洞遭黑客攻击由于奖励合同中的一个漏洞，Cover Protocol 损失了 300 万美元。此外，已有攻击者利用 Cover 合约共增发了约 1 万个 COVER，并且已将其换成了 WBTC和 DAI 等资产。3.2.2安全建议 - 30 - 项目上线前，DeFi 项目方应做好前置预防工作，寻求第三方安全公司进行严格的安全审计，排查已知的各类安全漏洞。 项目上线后，DeFi 项目方应联合第三方安全公司，引入一整套态势感知、威胁情报、安全响应等全生命周期的安全解决方案，完善安全防护机制。 作为用户，在选择项目时，应留意该项目是否经过第三方安全公司的安全审计，是否具备权威的安全审计报告，切不可掉以轻心。 3.3诈骗跑路/加密骗局方面典型安全事件随着区块链价值愈发得到认可，虚拟资产普及程度亦愈发得到扩散，不少投机者及诈骗者开始利用大众对于区块链和虚拟资产的知识盲区炮制骗局，加之波及人数多、遍布区域广、涉案金额高等原因推波助澜，进而导致该领域安全事件高发，经济损失严重。 3.3.1安全事件概览 比特币虚假二维码骗局3 月 29 日，有网站声称免费将用户的比特币地址映射成二维码，便于用户收钱转账；生成的二维码实则为黑客地址，该黑客地址已有超过 0.6 个 BTC 的转入。 雪碧交易所开盘即归零 3 月 12 日，雪碧交易所上线空气币 PETH，开盘即归零。所有受害者皆为前期 - 31 - 私募受害者，额度在 80 个 USDT 到 1000 个 USDT 不等，约为 228 人。初步估计涉及金额约 40 万人民币，有大学生不幸涉及其中。 区块链资金盘硅谷区块鸡疑似跑崩盘路3 月 30 日，硅谷区块鸡是典型的虚拟宠物类资金盘，类似于区块猫，区块狗，低价买入宠物，一段时间后高价卖出。此类加密骗局实则为击鼓传花类资金盘，直到无人接盘，即是项目崩盘的时刻。 EOS生态资金盘跑路4 月 19 日，运营超过一年半的 EOS 生态资金盘项目跑路，其充币地址 w.io 频繁向其他地址转账，露出转移资产套现的意图。链上数据追踪显示，EOS 生态的资金最终汇集到 4 个主要的 EOS 地址，总计超过 2000 万 EOS，涉及金额超3.6 亿元。 Telegram搬砖套利骗局 Telegram 搬砖套利骗局仍在流行。近期多名用户被骗超过 900 个 ETH。尽管无论是 Huobi 方面还是 imtoken 钱包方都曾发表过官方声明，然而此类骗局还是时常有用户上当受骗。 虚假imtoken官方电报群钓鱼账号创建的虚假 imtoken 官方电报群充当官方技术人员的身份，引导搬砖套利。被骗用户在指定网站输入私钥进行所谓的交易回滚操作，遭到二次诈骗， - 32 - 被骗用户资金已经部分流入交易所。 冒充Voice官方账号诱骗用户充值的骗局EOS 主网上存在冒充 Voice 官方账号诱骗用户充值的骗局，目前两个骗局的充币地址月超过 9000 个 EOS。 骗子冒充波场创始人孙宇晨 骗子冒充波场创始人孙宇晨，使用伪造的孙宇晨的视频诱导受害者进行“现场”通话。他们邀请受害者与孙宇晨一起“现场”Skype 通话，企图从毫无戒心的受害者那里窃取钱财。 百慕大交易所涉嫌大量侵吞用户资金6 月 11 日，用户爆料称百慕大交易所涉嫌大量侵吞用户资金，疑似已携款跑路。 Twitter诸多账号被黑客攻击并发布钓鱼信息7 月 16 日，包括比尔盖茨，奥巴马，埃隆马斯克，苹果官方账号等在内的诸多Twitter 账号被黑客攻击并发布比特币钓鱼信息。经查询黑客留在推特上的地址发现，该地址目前已经收到了 12.86 个 BTC。 某YouTube频道遭到黑客攻击8 月 5 日，拥有 26.2 万名订阅用户的 YouTube 频道遭到黑客攻击，频道名称被 改为 NASA News，并开始直播关于 SpaceX CEO 埃隆马斯克赠送比特币的虚 - 33 - 假消息。约两个小时内，非法获利 4000 美元。 Uniswap出现SRM假币8 月 7 日，Uniswap 出现 SRM 假币，已有用户被骗。Serum 发布推特提醒用户提高警惕，在除 FTX 和 BitMax 平台以外的其他交易平台（如 Uniswap 等）出现的 SRM，均为假冒。 Bantiample团队砸盘套现跑路9 月 19 日，币安智能链上的项目 Bantiample 团队已砸盘套现 3000 个 BNB 跑路，团队的主要开发者已经删除 Telegram 账号，项目代币 BMAP 单日跌幅超过 90%。 以太坊挖矿项目LV Finance跑路9 月 20 日，以太坊挖矿项目 LV Finance 疑似跑路，不到一个小时已有 400 万 被转走，该项目通过伪造虚假审计网站并提供虚假审计信息诱骗投资者进行投资，待一段时间后资金池内金额足够大时进行跑路。 SushiSwap仿盘项目GemSwap跑路9 月 26 日，名为 GemSwap 的 SushiSwap 仿盘项目被曝跑路，LP 被卷走。查询发现，该项目在 15 点左右发布推特，自曝其遭受了“whatitdobb”开发者的攻击。据了解，该项目早些时候完成了流动性迁移