2020 链上安全报告：DeFi 攻击 60 逾起，损失超 2.5 亿美元(2)

此类攻击通常是由于开发者在编写智能合约时，出现逻辑漏洞或自留后门所导致的。大多合约漏洞出现在未经审计的合约上，较常见的手法是攻击者通过合约漏洞无限铸币随后榨干流动性池内资产，冻结合约内资产，或是合约开发者取走合约资产后跑路。

合约保险

在去中心化的世界中，由于 DeFi 应用迭代速度过快，为了追赶热度许多应用的合约在没有通过第三方审计的情况下就进行了发布。由智能合约漏洞而损失的资产也是不计其数。许多用户可能会抱怨项目方不负责任，但有些项目并没有公开项目信息，由于 FOMO 情绪，用户为了抢先一步参与到项目中，会通过蛛丝马迹寻找尚未公开的项目合约。

例如在 9 月 29 日凌晨，YFI 创始人在其参与开发的新项目的推特上发布了两张项目相关设计图，随后被黑客找到此项目合约地址并利用闪电贷攻击盗取了 1600 万枚 DAI。

合约审计对于高速迭代的 DeFi 产品来说耗费时间过长，保险或许会是更好选择。DeFi 要发展，需要保险这样的基础设施。如果只是靠 DeFi 协议用户自行去购买保险，这是不现实的。一种方案可由协议的交易费用或挖矿收益中抽取一部分，存入项目的金库中，金库中一部分用于购买协议保险。

DeFi 合约外的其他攻击

除了合约攻击外，公链攻击、交易所以及钱包攻击也不占少数。大多数公链攻击的方式为 51% 攻击，自年初开始，多个区块链项目相继遭受 51 % 双花攻击。1 月到 2 月间，BTG 网络多次遭到双花攻击，损失达到 5 万美元以上。7 到 8 月之间，以太经典（Ethereum Classic，ETC）遭受了三次 51% 攻击，损失高达上千万美元，OKEx 一度考虑从交易所中下架 ETC。11 月 8 日，Grin Network 受到 51％ 攻击，由于反应及时，故并未造成损失。

发生 51% 攻击的主要原因在于区块链项目的共识程度不够，矿工转向其他项目，致使维护网络运转的算力下降，给了攻击者可乘之机。例如 ETC、BTG、AE，这些都是几年前的老牌区块链项目，项目热度严重下降，币价表现不佳，由于矿工收益与币价有直接关系，矿工们也就顺势投身收益更高的公链中。

当然，一部分新项目也会成为被攻击对象，虽然币价表现一般，但因其尚未凝聚强大的社区，故而没有足够的共识和算力，攻击成本也相对较低，最终也会是黑客下手的目标。从具体实现方式上看，随着被攻击网络算力下降或其本身的算力不足，攻击者可通过租用算力获得足够的算力进行攻击，并且攻击成本较低，收益一般远高于成本。

图片来源：Crypto51.app

Kucoin 交易所热钱包被盗事件也引起了圈内人的重点关注。本次入侵影响了该交易所的比特币、以太坊和 ERC-20 热钱包，平台损失了近 2.81 亿美元资产。然而 KuCoin 的攻击者貌似十分着急，试图直接将 USDT 打散充入币安和抹茶交易所变现，然而，还没来得及操作相关账户就被两家交易所及时冻结。随后 Bitfinex、Tether 也相继冻结 KuCoin 攻击地址上约 3300 万 USDT，忙活了大半天，这名黑客似乎什么也没有得到。

总结

在魔幻的 2020 年加密市场经历了太多太多，在 312 过后人们重拾信心，DeFi 所点燃的 FOMO 情绪不亚于当年的 IC0，用户的热情无疑让开发者更有动力开发出更有趣、优质、吸引人的链上应用，当然安全性是第一位的。现今传统金融机构已经将目光聚集在加密资产之上，加密金融应用将必定成为关注焦点，若想让加密金融应用完全去中心化，那么首要关注点就必须是安全性。在未来，将必定出现合约保险外的其他衍生品来对冲资产安全风险，日益完善的技术也将从各维度增加攻击成本。相信在加密市场飞速发展的明天，融易资讯网（www.ironge.com.cn），安全事件会越来越少！