2020年数字货币反洗钱报告：defi成为黑客的“蜜罐”，年损失超过2.5亿美元

去中心化金融（Defi）是一个动荡的战国时代。

2020年被称为“DeFi元年”，数以百计的DeFi项目正在世界范围内涌现。这些DeFi项目拥有超过100亿的虚拟货币资产，就像黑客的蜜罐。

根据peckshield发布的《2020年度数字货币反洗钱报告》，2020年10月，DeFi攻击损失3380万美元，是全年损失最大的月份；11月，DeFi攻击数量达到10起，是全年发病频率最高的月份。

2020年DeFi安全事件及损失统计

蜜罐引来黑客洗钱新方法

2020年，黑客将不仅关注交易所、金融钱包等聚集了绝大多数用户虚拟资产的领域，还将关注菜鸟DeFi。

由于大部分产品都是基于智能合约和交互协议构建的，组合玩法越来越多，代码普遍开源，资产完全在链上，行业规模增长潜力巨大，因此成为2020年黑客关注的焦点。

根据《paidun 2020年度数字货币反洗钱报告》，2020年，虚拟货币黑客攻击仍呈爆发趋势，达到170起，较2018年、2019年增长300%；攻击造成的经济损失高达23.3亿美元，较2019年增长660%，较2018年增长7.2%。

虚拟货币黑客攻击的安全事件统计

虚拟货币黑客攻击安全事件造成的经济损失统计

其中，DEFI攻击事件60起，损失超过2.5亿美元。在这60起攻击中，至少有10起是闪贷攻击，包括BZX、balancer、harvest、Akropolis、cheese bank、value DeFi和origin Protocol等多个项目。黑客利用闪贷以极低的成本撬动巨额资金，在多个协议中操纵或套利价格。

至少有五次与WiFi相关的重入攻击。再入攻击是以太坊智能合约最经典的攻击之一。著名的Dao盗窃事件是攻击者利用重入攻击造成以太坊硬分叉，损失价值5000万美元。

一方面，区块链产业的蓬勃发展，不断推动行业联动和自律的完善；另一方面，技术创新衍生出新的洗钱方式，虚拟货币反洗钱也迎来了新的挑战。

9月26日，交易所kucoin被盗走价值2亿多美元的虚拟货币。事发后，库考因联系了多家中心化虚拟货币交易所（cefi）、项目方、安全机构和警方，并采取了一些有效措施追查被盗资产。库科因称，到目前为止，85%的被盗资产已被追回。

安全事件发生后，交易所和cefi（中心化财务）及时损失。虽然部分丢失的资产得到了有效冻结和追回，但在cefi联合冻结后，黑客陆续将被盗资产转给了包括Uniswap、kyber等在内的去中心化交易所（DEX），并逐一进行了大扫除。

此次黑客攻击开创了技术与金融洗钱相结合的先例，给虚拟货币兑换的反洗钱工作带来了新的挑战。

派克谢尔德·派登指出，过去黑客攻击交易所窃取数字货币后，只是通过货币混和等技术将窃取的虚拟资产直接送出交易所，然后通过取款获利。黑客的攻击使用DEX逐一清除，目标是虚拟货币市场放松对新兴领域警惕的地方。

金融创新是一种奇思妙想

今年11月以来，闪电贷款攻击事件频发，一周内发生4起闪电贷款攻击事件。闪贷是一种创新的金融工具，用于高效地提供大量资金，促进价值循环。然而，它经常被攻击者利用，成为黑客下“金蛋”的鸡。

区块链闪贷是一种无抵押贷款的贷款方式，但贷款人必须在同一区块内偿还贷款，否则交易将失败。所以闪电贷款对于贷款平台来说基本上是零成本零风险。而黑客可以利用这种贷款方式，以很小的成本贷出大量资金，然后利用这些资金造成一些虚拟货币的价格波动，然后从中获利。

BZX闪电攻击

以BZX为例，攻击者通过dydx flash loan借出10000 ETH。然后，攻击者以其中5家为例，以500 ETH存款复合物为抵押，出借112支wbtc，第四步卖出；然后攻击者利用BZX的杠杆交易功能做空ETH，大量买入wbtc，从而抬高了Uniswap中wbtc的价格；当Uniswap中的wbtc价格飙升（价格为61.4wETH/wbtc）后，攻击者在第二步出售通过Compound借入的112个wbtc，所有wbtc都在Uniswap中出售并返还给相应的wETH。最后，攻击者偿还了闪电贷款，获利6871.41 ETH。

佩克希尔德佩顿说：“闪电贷款是一项非常有意义的金融创新，是对传统金融的创新。但是，应该在安全的基础上鼓励创新，从而构建DEFI可持续发展的基石。”

针对DeFi存在的安全问题，peckshield建议在新合约上线前，我们应该对智能合约进行全面专业的安全审计，检查各种已知漏洞；另一方面，我们要注意与其他供应商核对产品组合中的业务逻辑漏洞，避免交叉合同逻辑兼容性漏洞；最重要的是设计一定的风险控制断路器机制，引入第三方安全公司的威胁感知情报和数据态势情报服务，以便在第一时间应对安全风险，及时检查和阻止安全攻击。一旦遇袭，要通过联动行业各方力量，建立一套完善的资产跟踪机制。进攻结束后，我们需要检查和填补漏洞，完善防御体系。

温馨提示：

文章标题：2020年数字货币反洗钱报告：defi成为黑客的“蜜罐”，年损失超过2.5亿美元

文章链接：https://www.btchangqing.cn/179464.html

更新时间：2021年06月12日

本站大部分内容均收集于网络，若内容若侵犯到您的权益，请联系我们，我们将第一时间处理。