2021 年,对于区块链行业来讲,是跌宕震动的一年,即使如许,区块链凭仗其去焦点化、封闭透明的个性,熟行业内外的尽力下,仍博得了优秀的成就。同时,继 DeFi 之后,寰球用户、媒体对于 NFT、元六合的猖狂热潮,将区块链带到了前所未有的高度。这一年究竟产生了甚么?本文将从区块链墟市繁华及规范安全事宜切入,带你一商量竟。
区块链生态安全态势
1
战术、合规、监管
从海内境况看,一方面当局加大对于区块链本领的研发以及利用的器重水准,工信部指出到 2025 年区块链等办法办事才略昭著增强;另一方面,当局连续收紧对于加密钱币的监管。9 月,多部门揭晓了《对于进一步提防以及从事假造钱币买卖炒作告急的告诉》、发改委等部门毗连揭晓了《对于整顿假造钱币“挖矿”震动的告诉》。相干质料再现,2021 年国家层面出台的触及区块链相干实质的战术文件,实质揭开高校科研、人材培植、本领利用规范、学识产权、数字农业、航运交通、疫情防控、收集安全、社会救济、数字文明家产等方面。
从海外境况看,列国当局仍对于加密钱币延续存眷,对于加密钱币的监管渐渐完满、战术也渐渐摊开。寰球反洗钱机构金融步履稀奇处事组揭晓加密钱币最新监管指南;韩国首尔将打造众人办事“元六合平台”;美国德州假造钱币法案已正式失效;比特币正式成为萨尔瓦多法订货币;乌克兰议会经过假造物业法案等。
也许看出,寰球各当局对于区块链的器重水准进一步选拔,区块链算作“新基建”的主要组成全体,在被越来越多的主流机构拥抱。
2
本领、利用、经济
我国“区块链+家产”异样稳步繁华,各种落地利用项目不停出现。世界首个区块链学识产权损坏处事站揭牌创制;广东省散发世界首张众人数据物业证据。权威公司也参加赛道:华为秘密“安全芯片及处置方式”专利、腾讯云区块链揭晓三款产物、百度新增“区块链系统进级方式、安设、设施及保存介质”专利;中国迁徙通信毗连会元六合家产委员会正式创制;中国区块链专利申请量寰球第一,占比约 63%;商务部示意驱策区块链等新本领规范化利用等。
2021 年,区块链下层本领也完结了枢纽攻破。以太坊瞻望将正在 2022 年 Q2 合并,V 神等人提出 EIP-4488 旨正在升高以太坊二层扩容束缚规划的 Gas;以太坊 Layer2 扩容规划 Arbitrum 将推出基于 WASM 的新版本 Nitro;8 月 5 日以太坊告竣伦敦进级。
3
安全事宜
区块链本领便是一把双刃剑,其去焦点化、匿名性、弗成改动等个性正在匆匆进家产前进的同时,引发的区块链安全课题也昭著推广,加密钱币不法五花八门,洗钱、诈骗、偷盗、贩毒、挖矿不法等案件频发。
据慢雾科技区块链被黑档案数据没有全面统计,停止发文前,2021 年区块链生态被秘密的区块链安全事宜共 231 起,亏空超 98 亿美元。
个中各生态 DApp、DeFi 等安全事宜 170 起,买卖所安全事宜 15 起,公链安全事宜 8 起,钱包安全事宜 3 起,其他类别安全事宜 35 起。
自 2018 年以后,总体亏空走势依然上升的。
上面带专家往返顾规范事宜,同时对于每类事宜附上慢雾概念。虽然本文枚举的仅是冰山一角,但拥有很大的代表性。
安全事宜与概念
1
公链
BSV 遭 51% 打击
8 月 4 日,BSV 疑似遭遇到 51% 打击,近 100 个区块产生重组。
ETC 主网蒙受分叉
9 月 4 日,Ethereum Classic (ETC)发推称,因以太坊客户端 Geth 马脚导致 ETC 主网蒙受分叉。
Solana 的主网 Beta 版遭推辞办事打击
9 月 14 日,公链 Solana 的主网 Beta 版自北京时光 19:52 结束呈现没有牢靠环境,9 月 21 日,Solana 官方揭晓收集拒绝发端总结:Solana 收集离线 17 个小时,没有资金亏空,收集正在 24 小时内恢复了全数功能。收集停止的缘由是推辞办事打击。UTC 时光 12:00,Grape Protocol 正在 Raydium 上煽动 IDO,呆板人天生的买卖使收集拥堵。这些买卖形成了内存溢出,导致许多验证节点溃逃,唆使收集变慢并最终休止。
慢雾概念
公链安全马脚虽形成亏空较小,但对于整体链生态的作用辽阔。因而公链正在上线前特定要颠末专科的安全审计。提议公链团队与可托且行状的安全团队施行深切单干,摆设因地制宜的安全提议,将引起安全课题的大概性降到最低,进而保险整体公链的安全。
2
买卖所
Cryptopia 再次遭黑客入侵
2 月 20 日,新西至交易所 Cryptopia 再次遭黑客入侵,考察再现,黑客拜候了一个钱包,该钱包自 2019 年 1 月黑客入侵以后不断处于休眠状态。该钱包属于 Stakenet,由 Cryptopia 的整理人 Grant Thornton 掌握。根据考察了局,休眠的钱包持有价值约 196 万美元的 Xtake,这是 Stakenet 的原生代币。
Liquid 热钱包遭打击
8 月 19 日,日本加密买卖平台 Liquid 称其热钱包受到打击。慢雾 AML 团队运用旗下 MistTrack 反洗钱追踪系统分解统计,Liquid 合计亏空约 9,135 万美元(按事发当天代价计),被盗币种触及 BTC、ETH、ERC20 代币、TRX、TRC20 代币、XRP 等超 70 种,币种之多,数额之高,令人叹息。
慢雾概念
买卖所安全课题一经成为买卖所以及用户存眷的主要课题,以至成为确定买卖所生死的枢纽。尤为本年第四季度各类买卖所贯串遭打击,亏空十分沉重。
买卖所频受打击,缘由以下:(1)买卖所凑集大度资金,不断是黑客觊觎的工具;(2)买卖所普遍状况下提防懦弱,轻易孕育安全马脚,轻易被黑客从衰老点切入(3)用户空洞渊博的安全意识;(4)内部作案。
针对于买卖所,提议各大买卖所健壮内部办理与本领体制,经过引入安全审计体制、零信赖体制、冷热物业安全束缚规划等来强化对于数字物业的安全保险。同时,努力迎接监管。针对于用户,特定要强化安全意识,不管一切时分都没有要把私钥泄漏给一切人,同时,认准官方平台,避免钓鱼事宜的产生。
3
钱包
Ledger 钱包屡次产生泄漏事宜
6 月 18 日,比特币硬件钱包供给商 Ledger 指示用户称,短期产生了一系列运用虚拟 Ledger 硬件钱包骗取用户物业的新式圈套,全体一年前信息受到泄漏的用户收到要求用户改换硬件钱包的包裹,该包裹席卷一份虚拟的官方文书及一个被改动过的 Ledger 硬件钱包。Ledger 示意,信中对于「须要改换现有的硬件钱包来损坏你的资金」为圈套,附赠的 Ledger Nano 也是假的,如用户根据信中阐明输入种子单词,用户的加密物业将会被盗。
多个 Chivo 钱包被盗
Chivo 钱包是萨尔瓦多当局为奉行比特币法案而正在 9 月 7 日揭晓的国家级数字钱包,为此,萨尔瓦多许诺,下载并认证的 Chivo 钱包用户将取得 30 美元的比特币惩罚。此举使这个萨尔瓦多官方钱包正在 1 个月内的用户量逾越 200 万人。然而,正在 10 月 9 日至 10 月 14 日时期,萨尔瓦多的***构造 Cristosal 收到了 755 份对于萨尔瓦多人讲述 Chivo 钱包身份被盗的告诉。
慢雾概念
虽然本年与钱包自己相干的事宜数目有所下降,但因下载假钱包 App 被盗的事宜数目却十分混乱。据慢雾11 月份的讲述,假钱包 App 已致上万人被盗,亏空高达十三亿美元。竖立安全意识、掌握正确方式才华真正损坏你的物业。开始,认准官方网站,没有重点击除官方外的链接;其次,做好钱包备份并允洽保存好私钥助记词;最终,时辰维持猜疑之心,全国没有收费的午饭。
4
DApp、DeFi、NFT、跨链
(1)ETH 生态
SushiSwap 再次遭打击
SIL 被盗后追回 1215 万美元
3 月 19 日,DeFi 围拢理财办事 SIL.Finance 合约呈现高危马脚。后 SIL.Finance 发文称,此次事宜是由智能合约权力马脚引起的,该马脚既而触发了一个通用超过买卖呆板人提交一系列买卖以赢利。正在发明智能合约因生存高危马脚而没法提现后,颠末慢雾等多方 36 小时的尽力,一经乐成追回 1215 万美元。
(2)BSC 生态
Compound 马脚与提案
9 月 30 日,去焦点化假贷协议 Compound 经过推特确认,正在施行 62 号提案后,该协议的震动性挖矿呈现 COMP 代币散发极度状况,Compound Labs 以及社区成员在施行考察 。Compound 示意,取款以及借钱资金今朝未发明生存告急。Compound 开创人 Robert Leshner 示意,呈现的课题看起来是根据 62 号提案施行 COMP 代币散发的速率初始设定堕落,导致过多 COMP 代币被散发。10 月 4 日,就正在 Compound 试图修理马脚时,其它一笔价值 6880 万美元的 COMP 代币(合计 202472 枚 COMP)由于 drip() 函数的挪用而被打入了一经生存马脚的震动性挖矿代币散发合约。
Cream Finance 三遭打击
10 月 27 日,DeFi 假贷协 Cream Finance 遭遇打击,亏空约 1.3 亿美元。被盗的资金主假如 Cream LP 代币以及其他 ERC-20 代币。据悉,这是有史以后第三大 DeFi 黑客打击。其余,Cream Finance 此前曾经屡次遭遇闪电贷打击,2 月份亏空 3750 万美元,8 月份又亏空 1900 万美元。
(3)EOS 生态
flash.sx 智能合约遭重入打击
自 5 月 14 日 11:28 UTC 结束,flash.sx 闪电贷智能合约遭遇到 ”re-entry” 打击马脚,相继有约莫 120 万 EOS 以及 46.2 万 USDT 被盗。据官方动态,EOS Nation 旗下闪电贷被黑客打击后,项目方提议提案直接退换了黑客 EOS 账号权力转回物业。
PIZZA 遭黑客打击
12 月 8 日下昼 8 点,黑客账户 itsspiderman 运用溢出马脚正在 eCurve 捏造增发 tripool 做市证据,正在 PIZZA 质押并借出协议中的绝大全体代币。过后黑客建立 一百三十余万账户并将偷盗物业分别。PIZZA 协议正在本次打击中的亏空约折合 500 万美元。
(4)Polygon 生态
算法牢靠币项目 SafeDollar 遭打击
6 月 28 日,Polygon 上算法牢靠币项目 SafeDollar 疑似受到黑客打击,一份未经阐明的合约犹如抽走了 25 万美元的 USDC 以及 USDT。
PolyYeld Finance 合约遭运用
收益耕作协议 PolyYeld Finance 受到打击,项目合约被运用铸造了 4.9 万亿个 YELD 代币并正在二级墟市施行倾销。
(5)HECO 生态
HSO 卷走 3 万 HT 跑路
3 月 10 日,火币生态链 HECO 上的预言机项目 HSO 施行 IDO 后卷走 3 万 HT 跑路,网站、Telegram 均没法翻开。后正在 HECO 当中代码奉献团队星斗测验室、HECO 本领社区与 HECO 白帽安全联盟等相关各方的努力驱策下,已追回 24823 枚 HT。
XDX Swap 遭打击
7 月 2 日,Heco 链上跨链去焦点化买卖所 DDEX 上 XDX Swap(DDEX)受到打击,打击者赢利 85.17 ETH (约 17.6 万美元)并将其全数跨链至以太坊。DDEX 代码疑似生存后门。正在 DDEX 及星斗测验室、HECO 白帽安全联盟等方面的支柱以及协同下,XDX Swap 络续追回触及此次打击事宜中的大全体资金,总价值逾越 500 万美元。
(6)其他生态
NEAR 生态 Ref.Finance 因合约正确被运用
8 月 15 日,NEAR 生态 Ref.Finance 团队发推称,UTC 时光 8 月 14 日下昼 2 点上下,Ref 团队留神到 REF-NEAR 买卖对于的极度动作,立即发明迩来所摆设合约的修理法式中的一个正确,且该正确已被多个用户运用,以致约 100 万枚 REF 以及 58 万枚 NEAR 受到作用。
Solana 生态 Solend 受到黑客打击
8 月 19 日,Solana 生态假贷协议 Solend 发推称,协议于北京时光 8 月 19 日 20:40 受到黑客打击,打击者破解了 UpdateReserveConfig 函数中对于没有安周身份的反省,使得其也许整理一切账户。其余,黑客还将借入资金的 APY 树立为了 250%。此时期,有 5 名用户的资金被误整理。Solend 示意,本次打击没有形成资金被盗的状况,之后将进步马脚赏金的领域并建立更好的监控以及报警系统。
波卡生态 IDO 平台 Polkatrain 被套利
4 月 5 日,波卡生态 IDO 平台 Polkatrain 产生事故,据慢雾分解,本次呈现课题的合约为 Polkatrain 项想法 POLT_LBP 合约,该合约有一个 swap 函数,并生存一个返佣体制,当用户经过 swap 函数采办 PLOT 代币的时分取得特定量的返佣,该笔返佣会经过合约里的 _update 函数挪用 transferFrom 的大局转发送给用户。因为 _update 函数没有树立一个池子的至多的返佣数目,也未正在返佣的时分判别总返佣钱是否用完了,导致好心的套利者可经过不停挪用 swap 函数施行代币兑换来薅取合约的返佣惩罚。
Avalanche 链上假贷协议 Vee.Finance 被盗
9 月 20 日,Avalanche 链上假贷协议 Vee.Finance 团队留神到屡次极度转账,颠末进一步监控,公有 8804.7 ETH 以及 213.93 BTC 被盗(总价值超 3500 万美元)。牢靠币全体没有受此次打击作用。
Fantom 链上 GrimFinance 遭闪电贷打击
12 月 19 日,Fantom 链上复合收益平台 GrimFinance 蒙受闪电贷打击,亏空已超 3000 万美元。打击者利用 GrimFinance 的保障库政策中名为「beforeDeposit()」的函数施行打击,输入好心 Token 合约。
(7)跨链系统
跨链买卖协议 THORChain 三遭打击
6 月 29 日,THORChain 遭 “充作值” 打击,亏空近 35 万美元;7 月 16 日,THORChain 二次遭 “充作值” 打击,亏空近 800 万美元;7 月 23 日,THORChain 经常遭打击,亏空近 800 万美元。
跨链桥 Chainswap 被盗作用多个平台
7 月 11 日,跨链桥项目 Chainswap 再次受到黑客打击,正在该桥梁摆设智能合约的超 20 个项目代币都蒙受黑客盗取,瞻望总亏空为 400 万美元,多少乎造成 DeFi 史上作用范围最大的一次安全事故。根据 Chainswap考察,因为代币跨链配额代码中的正确,链上调换桥配额由出面节点主动推广,其想法是正在无需人工掌握的状况下尤其去焦点化。不过,因为代码中的逻辑弊端,这导致了经过禁止未参加白名单的有效地方主动推广数目的马脚。此前正在 7 月 2 日,Chainswap 曾经蒙受黑客打击,全体用户代币被积极从与 ChainSwap 交互的钱包中掏出,瞻望总亏空为 80 万美元。
Poly Network6.1 亿美元被盗后被偿还
产生正在 8 月 10 日的Poly Network 打击事宜大概是史上触及金额最大的一统收集安全事宜,逾越 6.1 亿美元的加密物业正在 15 天内被盗并被偿还。整体区块链行业及一切相干方,以及 Poly Network 一统履历了这跌宕震动的历程。今朝一切触及物业一经全数偿还用户,系统功能一经根底恢复至事宜前水平。
(8)NFT
NFT 哄骗扩张
8 月 2 日,一个名为「cryptopunksbot」的骗子正在 CryptoPunk 的 Discord 办事器上揭晓,为 NFT 投资者供给获得 10 个 NFT 头像的机缘。NFT 项目开创人 Stazie 因采用了作假报价的海报,而落空了 16 个 CryptoPunk,价值至多 100 万美元。随即哄骗者以 149 ETH(385,000 美元)的代价销售了 5 个 CryptoPunk。
慢雾概念
自 DeFi 出生以后,就陪同着很多的告急。即使而今许多 DeFi 项目价值不断正在爆炸式的翻倍增添,但被黑事宜也愈演愈烈。经慢雾统计,DeFi 常常生存以下打击办法:(1)闪电贷打击;(2)合约马脚;(3)兼容性或架构课题;(4)私钥泄漏或前端打击;(5)内部作案,跑路。
对于项目方来讲,想要尽大概的清除马脚、升高安全告急,就必需做出无效的尽力——正在项目上线以前,对于其施行周全深切的安全审计。同时,提议各 DeFi 项目方经过引入多签体制来加大物业损坏的力度。另一方面,各 DeFi 项目正在施行协议间交互时,须要做好协议之间的兼容性,开垦者正在移植其他协议的代码时,需充分领会移植协议的架构和自身项想法架构妄图,避让资金亏空状况的产生。对于用户来讲,随着区块链范畴的玩法愈发各类化,用户正在施行投资前细密领会项目背景,检察该项目是否有开源、是否颠末审计,正在到场项目时须要进步警觉,留神项目告急。
5
其他类别
欺诈
5 月 7 日,全美最大油气鼓鼓运送管道经营商 Colonial Pipeline 受到欺诈软件定向打击而强制憩息营运,之后支拨 75 枚比特币,逾越 4 百万美元的赎金,才得以让营运恢复一般。此次欺诈打击因为触及到国家级枢纽根底办法,故而引起了寰球的震荡以及精深存眷。针对于此事宜,美国法令部官员示意,已乐成催讨回逾越 200 万美元的赎金。没有过,美国当局官员没有全部阐明「若何博得私钥、收回赎金」的精细历程,仅示意这项步履呈现了美国将没有遗余力应付欺诈打击。
诈骗
8 月 20 日,俄罗斯最大的加密钱币圈套之一的开创人已入狱,罪名是涉嫌从其投资者那边骗取逾越 15 亿美元。Finiko 于 2019 年正在喀山市创制,并假意一家合法的 BTC 投资公司。2020 年 12 月,Finiko 揭晓了其原生加密钱币 FNK。根据本地报道,开创人将从投资者那边拿走 BTC 并惩罚他们 FNK 代币。
钓鱼
10 月 15 日,Sophos 揭晓的讲述称,加密哄骗利用 CryptoRom 经过运用“超级出面办事”及苹果开垦者企业讨论夺取 140 万美元。迄今为止,与该圈套相干的比特币地方已发送逾越 139 万美元,并且大概还有更多地方与该圈套相关。讲述称,大普遍受害者是 iPhone 用户。该讲述称,CryptoRom 绕过 App Store 的一切安全反省,并且每天都维持活泼。讲述还示意,苹果“应该就经过且自散发或经过企业配置系统装置利用法式忠告用户,这些利用法式未经苹果检查。”
慢雾概念
区块链正在大力繁华的历程中,各类打着区块链名号的新式投资圈套,也如雨后春笋般层出没有穷。以欺诈软件为例,美国财政部金融不法司法收集揭晓的一份讲述指出,2021 上半年产生的与欺诈软件相干的买卖,一经到达了 5.9 亿美元。慢雾正在此指示用户,没有要翻开来历没有明的邮件附件,提防鉴识钓鱼网站,始终持有猜疑束缚的立场,无效运用杀毒软件。
归纳
即使而今许多以 BTC 为代表的加密钱币的市值不断正在改进高,区块链行业现在繁华态势大伙越来越好,但加密钱币不法随之也更跋扈獗。从统计数据来看,产生安全事宜次数较多、金额亏空较大的月份主要正在 4 月、6 月以及 8 月;从各生态来看,以太坊上亏空至多,超 13 亿美元,其次是 BSC 生态;从打击范畴来看,受打击较多的是买卖所以及 DeFi。
对于项目方来讲,提议健壮内部办理与本领体制,内部安全人员适时对于安全相干实质查漏补缺。最主要也是最无效的办法——正在项目上线以前,对于其施行周全深切的安全审计,将引起安全课题的大概性降到最低。
对于用户来讲,正确以及理性对付区块链,竖立正确的钱币见解以及投资观念,实在进步告急提防意识。例如正在投资前要留神智能合约有没有开源、平台自己有没有安全审计,最主要的是特定要保存好自身的私钥助记词,没有要泄漏给一切人。
最终,等待区块链新的一年能迸发出更大的能量,呈现更多的落地利用,发觉更大的价值。
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
学识星球
https://t.zsxq.com/Q3zNvvF