2020年攻击事件汇总 | 900亿不翼而飞，2021年我们如何远离黑客？

“如果那个东西看起来像鸭子，走路也像鸭子，我们就说它是鸭子。”

某位政客的这句话被很多人举了起来。

和我们每个人一样，很多时候我们向外界发布的信息都会通过外界的评价反馈和影响我们自己。 这个道理不仅适用于某个特定的领域，相反，它可以在万事万物中找到踪迹。

区块链已经发展了很长时间，但对于很多人来说，它仍然是一个暗藏骗局、逃跑和黑客的法外之地。

人们的认知很难受到其他信息的影响。 当然，这要归功于对区块链项目的攻击越来越猛烈。 在层出不穷的黑客事件中16usdt等于多少人民币，只有提高区块链的安全标准，建立安全健康的区块链生态系统，才能扭转人们对区块链的焦虑和抵制情绪。 同理，当整个区块链不再被负面消息纠缠时，这只“鸭子”也会变成利好消息。

据统计，2020年传统领域网站和软件安全率达到97.5%，损失最多的资产仅接近5万元。

在区块链领域，智能合约及相关节点的安全率仅为89%，损失往往在600万至6000万人民币之间。 这是一笔天价资产，几辆大卡车都装不下。 区块链领域的资产损失可能是传统网络资产损失的千倍以上。 为此，CertiK安全专家盘点了2020年23个典型的区块链项目，分析了它们被攻击的原因和黑客使用的攻击手段，作为行业安全事故预警的参考。 在分析的23个区块链项目中，有8起因执行逻辑错误引发的攻击事件，5起价格预言机操纵事件，4起项目方欺诈事件，3起重入攻击事件，3起闪贷攻击事件。 2个案例和1个钱包攻击案例。 这些安全事件项目如下所列：

表1：2020年重大区块链事故项目清单

图1：2020年区块链重大事故项目损失图

表1和图1为2020年重大区块链事故项目损失情况。

图 2：攻击类型损失图表

2020年重大攻击事件细目

1个

封面协议

2020年12月28日晚，CertiK安全验证团队发现了Cover Protocol无限增发代币的漏洞攻击。 攻击者多次质押和取回项目智能合约，触发铸币操作，无限增发Cover代币，导致Cover代币价格暴跌。 最终亏损总额约2850万元。

2个

Warp Finance 2020年12月17日，攻击者利用Warp Finance项目使用的预言机计算出质押LP代币资产的错误价格，从Warp Finance项目中获利约1462个ETH代币，总价值约615万人民币。 此外，攻击者还铸造了价值约3990万元人民币的DAI-ETH LP份额，约650万元人民币的利润流入了uniswap和sushiswap的LP。 此次攻击，Warp金融损失约5000万元人民币。

3个

Compounder.Finance 2020年12月1日下午3点，CertiK安全技术团队通过天网发现，在Compounder.Finance项目的智能合约中发生多笔大量代币交易。 在仔细核实这些交易是内部操作后，项目方将大量代币转入自己的账户。 据统计，最终共丢失价值约7610万元人民币的代币。

4个

SushiSwap 2020年11月30日，Sushiswap项目被发现遭到恶意流动性提供者的攻击。 攻击者利用该项目Sushi Maker合约的漏洞进行攻击，最终获利约10万元人民币。

5个

Compound 2020 年 11 月 26 日，Compound 项目发生价格预言机代币价格错误。 其使用的Coinbase价格预言机经历了DAI价格的大幅波动，导致资产约5.825亿元被清算。

6个

Pickle Finance 2020年11月22日凌晨2点37分，CertiK安全验证团队发现Pickle Finance项目被天网攻击。 攻击者利用合约中不检查外部Jar合约是否合法的漏洞。 最终，该项目共损失约1975万个Dai代币，价值约1.28亿元。

7

Origin Protocol 2020 年 11 月 17 日，Original Protocol 项目 OUSD 遭到闪电贷和重入攻击相结合的攻击。 攻击者利用合约中mintMultiple()函数的重入漏洞，增加闪贷借入的资金作为杠杆，扩大攻击收益。 该项目最终亏损约4500万元。

8个

Cheese Bank 2020年11月16日，DeFi项目Cheese Bank遭到闪贷攻击。 攻击者通过操纵流动性池中的代币数量并使用重置预言机来提高 Uniswap LP 流动性证书的价格进行攻击。 最终项目损失约2100万元人民币，其中USDC价值1300万元人民币。

9

Value DeFi 2020年11月15日，DeFi项目Value Defi遭到闪贷攻击。 攻击者利用项目中的Curve价格预言机，通过闪贷操纵预言机代币的价格计算漏洞进行攻击。 最终，攻击者获利约4800万元人民币的DAI。

10

Axion Network 2020 年 11 月 2 日晚，黑客利用 Axion Staking 合约的 unstake 功能成功铸造了约 800 亿个 AXN 代币。 黑客随后在 Uniswap 交易所用 AXN 代币兑换以太坊，并重复此过程，直到 Uniswap 中 ETH-AXN 交易对的以太币耗尽，AXN 代币价格跌至 0。操作，向项目部署代码时依赖的OpenZeppelin依赖注入恶意代码，最终损失约330万元。

11

Harvest Finance 2020年10月26日，Harvest.Finance项目发生套利攻击，损失超过3380万美元。 据官方报道，经计算攻击者返还给项目方的1300万USDC和110000USDT，总损失超过2亿人民币。 在本次Harvest.Finance的套利攻击中，攻击者通过影响USDC和USDT代币的价格进行套利。

12

Eminence 2020年9月29日，攻击者使用脚本程序通过闪贷借入初始资金，利用Eminence项目中的Bonding Curve模型漏洞反复买卖EMN和eAAVE获取收益。 该项目最终亏损约9800万元。

13

宝石交换

2020年9月26日，DeFi项目GemSwap遭到项目方的后门攻击。 项目方拿出所有流动性凭证，通过调用后门函数emergencyWithdraw()转入自己账户，最终项目损失约850万元人民币。

14

苏打财经 2020年9月21日，CertiK安全研究团队在苏打区块链项目中发现了一个智能合约安全漏洞。 该漏洞允许任何外部调用者通过调用智能合约函数强行清偿受害人的债务，忽略受害人债务中的代币数量，并将清算操作的收益转移到自己的支付地址。 最终项目损失约105万元。

15

基于

2020年8月14日，流动性挖矿项目Based存在初始化错误导致的漏洞。 Base官方在部署其智能合约时，只是通过调用智能合约中的renounceOwnership函数声明所有者，并没有初始化智能合约。 并且外部攻击者在Based官方之前调用initialize函数初始化智能合约。

16

YAM 2020年8月12日，YAM Finance官方宣布他们发现了一个智能合约漏洞，称该漏洞会生成超过初始设定数量的YAM代币，在计算totalSupply时会给出错误的结果，从而导致系统保留太多令牌。 最终项目损失约500万元人民币。

17

NUGS 2020年8月11日，CertiK安全研究团队发现基于以太坊的代币项目NUGS存在安全问题。 其智能合约中存在安全漏洞，导致其代币系统出现大规模通货膨胀。 由于智能合约的安全漏洞无法修复，NUGS项目方正式宣布决定放弃该项目，其中存入的代币无法提取。 这次攻击造成了巨大的损失，直接导致了项目的失败。

18

2020年8月4日，DeFi项目Oypn发生攻击事件。 此次攻击的原因是智能合约oToken中Opyn的行使功能存在漏洞。 当攻击者向智能合约发送一定数量的ETH时，智能合约只检查发送的ETH数量是否与完成期货交易所需的数量一致，而不会动态检查攻击者发送的ETH数量是否符合要求。在每笔交易后，仍等于完成期货交易所需的数量。 也就是说，攻击者可以用一个ETH抵押，赎回两笔交易，最终得到自己发送的两倍数量的ETH，最终项目损失约240万元。

19

第一次Cashaa攻击发生在北京时间7月10日下午6点57分，Cashaa的一个比特币钱包被盗，1.05977049 BTC被转入攻击者账户。 根据 Cashaa 报告中的描述，攻击者控制了受害者的电脑，在 Blockchain.info 上操作受害者的比特币钱包，将 BTC 转入攻击者的账户。 第二次攻击发生在北京时间7月11日早上8点10分，Cashaa的8个比特币钱包，共计335.91312085个比特币，被攻击者通过同样的手段转移到同一个地址。 最终项目损失约2000万元人民币。

20

2020年6月29日凌晨2点03分，攻击者使用从dYdX闪电贷借来的WETH大量购买STA代币，导致STA等代币兑换价格大幅上涨。 然后用最小数量的STA（取值为1e-18）不断回购WETH16usdt等于多少人民币，每次回购后利用Balancer的合约漏洞重新设置内部STA的数量（取值为1e-18），从而稳定STA高价。 攻击者不断利用漏洞，用高价STA将某种代币（WETH、WBTC、LINK、SNX）全部买断，最后用WETH偿还闪电贷，留下大量STA、WETH、WBTC 、LINK、SNX，并通过uniswap将违法所得转入自己的账户。 CertiK在6月29日凌晨2点捕获Balancer攻击后，2020年6月29日20:00和23:23，Balancer项目再次遭到攻击。 攻击者从dYdX闪贷中借入并铸造代币后，通过uniswap闪贷获得cWBTC和cBAT代币，然后在Balancer代币池中大量交易借入的代币，从而触发Compound的空投机制协议。 获取空投的COMP代币，然后利用Balancer存在漏洞的gulp()函数更新代币池数量，取走所有代币，归还闪贷。 攻击者相当于利用了Compound协议的金融模型、闪电贷、Balancer代码漏洞，无中生有创建COMP。 两次攻击直接导致 Balancer 损失约 300 万人民币。

21

Hegic 2020年4月27日，由于Hegic项目代码实现错误，导致合约用户资金被锁定，无法通过任何方式操作。 最终项目损失约18万元人民币。

22

Lendf.Me 2020年4月19日，Lendf.me项目遭受基于ERC777标准缺陷的重入攻击。 最终项目损失约1.62亿元人民币。

23

Uniswap 2020年4月18日，DeFi项目Uniswap遭到攻击。 攻击者利用ERC777可以在同一笔交易中完成代币交换的特性，通过其tokensToSend()函数对Uniswap进行重入攻击。 最终，Uniswap 项目共损失约 150 万元人民币。

总结

从以上统计数据可以看出，这23次重大攻击的总损失高达18亿元人民币左右。 18亿元被价格预言机操纵、重入攻击、执行逻辑错误、闪贷攻击、项目方诈骗、钱包攻击等多种攻击手段窃取，防不胜防。 计算机领域长期以来一直有统计数据。 平均每 1000 行代码中会出现 1-25 个错误。 换句话说，这个概率的范围从千分之一 (0.1%) 到百分之二半 (2.5%)。 想知道这个概率意味着什么？ 点击【】寻找答案！ 得到答案后，您可以在微信公众号底部的对话框中留言。

如需观看本文视频讲解，请在微信视频号右上角搜索【CertiK】

在区块链领域，任何一个小bug都可能给项目方或投资者造成不可挽回的损失。

改变对“鸭子”的偏见和刻板印象，建立一个安全有保障的区块链生态，离不开每个项目和个人对安全的执着和付出。

安全审计对于区块链项目的重要性毋庸置疑，但是经过静态审计的项目并不能保证100%的静态和动态安全。 据CertiK安全专家统计，业界经过审计的智能合约和节点的安全率为92.6%，而经过CertiK采用形式化验证技术审计后的安全率可高达99.6%！ 剩下的0.4%，大部分是因为交互过程中智能合约发生变化，导致静态审计失效。 这时候，一个能够随时监控安全状况，并在事故发生后能够获得理赔的系统，将是所有项目最坚强的后盾和保障。

过往回顾