2020 链上安全报告：DeFi 攻击 60 逾起，损失超 2.5 亿美元

魔幻的 2020 年在牛市的陪伴下落下了帷幕，然而这一年中链上安全事件却频频发生。律动 BlockBeats 将 2020 年中发生的链上安全事件进行了总结。《2020 链上安全报告》主要分为四部分：2020 影响币圈行业的大事件、以太坊安全事件、合约保险以及 DeFi 合约外的其他攻击。

点击阅读原文即可获取《2020 链上安全报告》全文。

2020 影响币圈行业的大事件

2020 年新冠疫情对于全球经济造成了极大的影响，美股一个月内经历了三次熔断，与此同时加密资产市场也受到了牵连。3 月 12 日加密资产全体暴跌无一幸免，比特币日内跌幅达 50%，加密资产市场总市值近乎腰斩。随后各国央行选择以最简单粗暴的方式来应对此次重创：疯狂 QE 放水。这种刺激手段虽然是货币政策中最行之有效的，然而其副作用也是显而易见的。

如果说次贷危机所引发的金融海啸造就了比特币，那么疫情所导致的大量印钞让更多人认识到比特币是一种稀缺资产且可对冲法币贬值的风险。合规买入、托管以及各类加密资产基建和衍生品的成熟从各个角度为加密资产需求者提供了完美的解决方案，诸多机构也就顺理成章地选择了比特币以及其他龙头加密资产作为资产配置的一部分。

若散户未能享受到机构牛市所带来的红利，那么流动性挖矿的热潮大家一定都没缺席。那些曾经只将币存放在中心化交易所的用户为了成为 DeFi「农民」将资产转入「狐狸头」中，将非生产性资产通过去中心化交易所换成了种地的「锄头」。疯狂的挖矿让以太坊链上资产市值飞上云端，但同时，这也成为了黑客嘴边的肥肉。

图源：OKLink

以太坊的安全事件

在流动性挖矿的带领下，沉寂已久的 DeFi 在 2020 年下半年成为焦点。用户将资产存入合约，为协议提供流动性，从而获得协议的费用分成和治理代币奖励。

由于协议内存放着各类有价资产，这让 DeFi 协议成为了被攻击重灾区。黑客们通过各种手段向合约发起攻击，据 PeckShield 派盾统计 2020 年 DeFi 安全事件达到 60 起，损失逾 2.5 亿美元，占统计的黑客攻击造成总损失的 12.5%，远超 2019 年数据。

发生在 DeFi 合约中最常见的三种攻击分别为预言机操纵攻击 (闪电贷)、重入攻击以及代码漏洞。

预言机操纵 (闪电贷、套利) 攻击

在现今 DeFi 大热的背景下，预言机攻击极为普遍，因为大多数 DeFi 协议都需要通过喂价预言机来提供价格信息。一般来说，喂价预言机分为链上和链下两种，链上预言机通过抓取去中心化交易所价格来获取信息，而链下预言机则从中心化交易所获得价格。

这两种喂价预言机方式各有优劣，从链上获取价格可以通过协议完全去信任化，但存在被操纵攻击风险。链下预言机虽不存在被闪电贷攻击风险，但其价格源需依赖于中心化交易所提供，存在中心化风险，且链下数据在链上反映较慢。

在链上，用户可以通过闪电贷工具瞬间完成大额借款、兑换和大额存入等一系列操作，这使得攻击者可以自行创造套利机会，从而操控去中心化交易所价格来扰乱其他使用该价格的 DeFi 应用，最终完成套利攻击，典型案例有 bZx，Cheese Bank，Harvest 以及 Valley 等喂价预言机攻击事件。

重入攻击

重入攻击是一种危害性极高的攻击手段，可以轻松榨干合约内所有资产。著名的 the DAO 被盗事件就是攻击者运用重入攻击导致以太坊硬分叉，损失了价值 5000 万美元的以太坊。

智能合约不仅可以相互调用，也可以在内部调用。一般情况下，这不会产生任何问题，但当调用使得合约状态不一致时，例如取款金额大于合约内金额时，或当某合约还未将余额设为零前就发起转账，此时攻击者可滥用提现功能提取合约中所有余额。今年经典的重入攻击案例有：Akropolis，dForce 以及 Origin。

合约（代码）漏洞