2020年链上安全报告：超过60次WiFi攻击，损失超过2.5亿美元

在牛市的陪伴下，神奇的2020年已经结束。然而，在这一年，连锁安全事件频发。节奏blockbeats总结了2020年的连锁安全事件。”《2020年链上安全报告》主要分为四个部分：2020年影响币圈行业的重大事件、以太坊安全事件、合同保险和DeFi合同外的其他攻击。

2020年影响币圈行业的重大事件；

2020年，COVID-19对全球经济产生了巨大影响。美国股市在一个月内经历了三次熔断，加密资产市场也受到牵连。3月12日，所有加密资产大幅下跌，6019天跌幅达50%。加密资产市场的总市值几乎减半。随后，各国央行选择了最简单、最粗暴的方式来应对这一沉重打击：疯狂的量化宽松放水。虽然这种刺激是最有效的货币政策，但其副作用是明显的。

如果说次贷危机引发的金融海啸造就了比特币，那么由这场流行病引发的大量印钞让更多人意识到比特币是一种稀缺资产，可以对冲法定货币贬值的风险。各种加密资产基础设施和衍生品的合规购买、托管和成熟，从各个方面为加密资产需求者提供了完美的解决方案，很多机构自然会选择比特币等领先的加密资产作为资产配置的一部分。

如果散户无法享受到机构牛市带来的红利，那么大家也不会缺席流动性挖矿的热潮。为了成为DeFi的“农场主”，那些过去只在中心化交易所存钱的用户，通过去中心化交易所把自己的资产变成了“狐狸头”，把自己的非生产性资产变成了耕种的“锄头”。疯狂的挖矿让以太坊链条上的资产市值飞向云端，但同时，也成为黑客嘴边的肥肉。

图片来源：BlockLink

以太坊安全事件；

在流动性挖矿的带动下，沉寂已久的DeFi将成为2020年下半年的焦点。用户将其资产存入合同中，为协议提供流动性，从而获得协议的费用分摊和治理代币奖励。

由于协议内存包含各种有价值的资产，这使得DeFi协议成为最受打击的领域。黑客通过各种手段攻击合同。据peckshield统计，2020年，DeFi安全事件将达60起，损失超过2.5亿美元，占黑客攻击造成的总损失的12.5%，远远超过2019年的数据。

图片来源：peckshield

WiFi合约中最常见的三种攻击是预言机操纵攻击（flash loan）、重入攻击和代码漏洞。

预言机操纵（闪电贷款、套利）攻击；

在当今WiFi普及的背景下，预言机攻击非常普遍，因为大多数WiFi协议都需要通过价格反馈预言机来提供价格信息。一般来说，价格供给预言机有两种：链上预言机和链下预言机。链上预言机通过获取去中心化交换的价格来获取信息，而链下预言机通过中心化交换获取价格。

这两种方式各有优缺点。通过协议，从链中获取价格可以完全不可信，但存在**纵和攻击的风险。虽然不存在被闪电贷款攻击的风险，但链下预测机的价格来源依赖于中心化交换，存在中心化风险，链下数据在链上反映缓慢。

在交易链上，用户可以通过lightning loan工具即时完成大额借款、换汇、大额存款等一系列操作，攻击者可以自行创造套利机会，从而操纵去中心化交易所的价格，利用该价格扰乱其他DeFi应用，**完成套利攻击。典案例包括BZX、cheese bank、harvest和valley等价格预言机攻击。

再入攻击；

再入攻击是一种危害极大的攻击手段，很容易耗尽合同中的所有资产。Dao的****事件是攻击者利用重入攻击造成以太坊的硬分叉，损失了以太坊的5000万美元。

智能合约不仅可以相互调用，还可以从内部调用。一般来说，这不会引起任何问题，但是当调用导致合同状态不一致时，例如当取款金额大于合同中的金额时，或者当合同在余额设置为零之前发起转移时，攻击者可以滥用取款功能提取合同中的所有余额。今年的经典再入攻击包括Akropolis、dforce和origin。

合同（代码）漏洞；

这种攻击通常是由开发人员编写智能合约时的逻辑漏洞或后门引起的。大多数合同漏洞出现在未经审计的合同中。更常见的方法是，攻击者通过合同漏洞制造无限硬币，然后将流动资金池中的资产晾干，冻结合同中的资产，或者合同开发者拿走合同资产逃跑。

合同保险；

在去中心化的世界里，由于DeFi应用的迭代速度很快，为了赶上流行，很多应用合同都是在没有通过第三方审核的情况下发布的。由于智能合约漏洞，也有无数资产流失。很多用户可能会抱怨项目方不负责任，但有些项目却不公开项目信息。由于fomo的情绪，为了先参与项目，用户会通过线索找到未公开的项目合同。

例如，9月29日一大早，yfi创始人在twitter上发布了两张与他参与的新项目相关的设计图纸。后来，黑客找到了该项目的合同地址，并利用flash loan攻击窃取了1600万Dai。

合同审计对于高速迭代DeFi产品来说太耗时，所以保险可能是一个更好的选择。DeFi的发展需要保险等基础设施。仅仅依靠WiFi协议，用户自己购买保险是不现实的。在一种方案中，协议的一部分交易成本或挖矿收入可提取并存入项目资金库，资金库的一部分可用于购买协议保险。

DeFi合同之外的其他攻击；

除了合约攻击，公链攻击、交易所攻击和钱包攻击也不少见。大多数公链攻击是51%的攻击。年初以来，很多区块链项目遭遇了51%的双花攻击。1-2月，BTG网络多次遭受双花攻击，损失达5万多美元。7月至8月，以太坊经典（etc）遭受了三次51%的攻击，损失高达数千万美元。有一段时间，奥克斯考虑将etc从交易所中删除。11月8日，grin网络遭到51%的攻击。由于反应及时，没有损失。

造成51%攻击的主要原因是区块链项目共识不够，矿工转向其他项目，导致维持网络运行的算力下降，给攻击者提供了机会。例如，BTG和AE都是几年前的老区块链项目。这些项目的受欢迎程度严重下降，货币价格表现不佳。由于矿工的收入与货币价格直接相关，他们将以更高的收入加入公链。

当然，一些新项目也会受到攻击。虽然货币价格一般，但由于尚未聚集强大的群体，没有足够的共识和算力，攻击成本相对较低。最终，它也将成为黑客攻击的目标。从具体实现的角度来看，随着被攻击网络算力的下降或自身算力的不足，攻击者可以通过租用算力获得足够的算力进行攻击，攻击成本较低，收益一般远高于成本。

图片来源：crypto51.app

库币兑换热钱包被盗事件也引起了业内人士的关注。入侵影响了交易所的比特币、以太坊和ERC-20热钱包，平台损失了近2.81亿美元的资产。然而，kucoin的攻击者似乎非常焦虑，试图直接拆分USDT，并将其计入币安和Matcha兑换现金。但是，在他们能够操作相关账户之前，他们被两家交易所及时冻结。后来，bitfinex和tETHer也相继冻结了库科因的攻击地址约3300万美元。在努力工作了一天的大部分时间后，黑客似乎什么也得不到。

摘要；

在magic2020中，加密市场经历了太多。312之后，人们重拾信心。DeFi点燃的fomo情绪不低于ICO。用户的热情无疑让开发者更有动力开发更有趣、更高质量、更具吸引力的连锁应用。当然，安全第一。如今，传统金融机构都将目光投向了加密资产，加密金融的应用必将成为人们关注的焦点。如果你想完全去中心化加密金融的应用，首要的问题必须是安全性。未来将有合约保险以外的衍生工具来对冲资产安全风险，技术的日益完善将从各个层面增加攻击成本。相信在未来加密市场快速发展的时候，安全事件会越来越少！