BishopFox公司发布了一份2021年DeFi和区块链安全事件的报告。在过去一年里,区块链和DeFi项目数量激增,但数量增长也引发了大量攻击。报告分析了2021年发生的有影响力的区块链和DeFi项目,并发现其中有65起攻击事件,造成了约18亿美元的损失。攻击主要来自智能合约和协议设计逻辑漏洞。攻击向量包括智能合约漏洞、协议和设计漏洞、钱包入侵、Rugpull和垃圾邮件、密钥泄露、前端攻击、套现相关和加密货币相关漏洞。
在智能合约和协议漏洞方面,在攻击事件中,研究人员发现利用的主要是已知的漏洞、fork漏洞和复杂攻击。大多数攻击事件来自有漏洞的代码或有漏洞的项目的fork,导致最终的项目代码存在漏洞。其中有一个例子是2021年5月28日,BurgerSwapDex项目被黑,造成720万美元的损失。攻击者使用了Flashloans和虚假token对,而且BurgerSwap的代码是从UniswapV2Pair的代码fork的,但原先的代码中的x*y≥k检查被删除了。
许多区块链和DeFi项目都没有经过适当的审计,一些审计报告也非常简单,自动化代码扫描中没有添加真实的值,因此会造成项目非常安全的假象。研究人员还发现一些审计问题,例如智能合约没有进行任何审计,智能合约被排除到审计的范围外,以及代码更新未经过审计。由此可见,针对区块链和DeFi项目的攻击事件呈现出日益复杂的趋势,项目方应重视并加强安全措施。
