复盘2021我们经历的DeFi安全事件，资金损失超6.57亿美元

同前几年市场会因为主要中心化交易所被盗而引发的震颤不同，随着去中心化金融（DeFi）的迅速发展，并成为市场的主要驱动力之一，黑客们的目光开始转移，DeFi盗窃案成了支配加密市场的新恐惧。野蛮生长的市场充斥着大量未经审计的智能合约和克隆代码，而这也成了黑客们获取“不义之财”的秘诀，动辄数百万美元的资金盗取规模，DeFi俨然成了黑客们的提款机。

区块链分析公司CipherTrace在最新的《加密资产犯罪和反洗钱报告》中指出，截至7月底，与DeFi相关的黑客事件已经让用户们损失了3.61亿美元。Coin98数据统计，2021年第三季度共发生11起重大DeFi盗窃事故，其中5起属于跨链桥资产盗窃事故，若刨去7月份被盗事故，8月共发生3起，总资金在2.96亿美元（注：截至发稿，袭击Poly Network协议的黑客已归还3.42亿美元的代币），那么从年初至今，黑客已经从DeFi中至少获取了6.57亿美元的资金。

伴随着DeFi生态的继续壮大，这样的情形仍会发生，显然DeFi黑客攻击已经成了另一片“暗黑森林”，他们的主要手法是什么？而我们，又该如何应对？

黑客因“好玩”创下加密史上最大盗窃案

8月10日，DeFi领域发生了有史以来最大的盗窃案，跨链协议Poly Network遭遇黑客攻击，使用该协议的O3 Swap损失惨重。据链上浏览器显示，30多分钟的时间里，黑客带走了总计6.1亿美元的加密资产，包括3.02亿枚USDT、5.5万枚以太坊、2千枚比特币等若干代币。

这次损失有多惨重？区块链分析公司CipherTrace在最新报告中指出，2020年DeFi全年黑客攻击损失为1.29亿美元，而Poly Network这一场攻击就是去年全年资金损失的4.7倍。

据悉，Poly Network是一种用于与去中心化交易平台（DEX）交易的跨链互操作协议，一度被认为是落地最优，真正做到了异构跨链的协议。成都链安团队经过分析称，此次Poly Network被盗事件，攻击者正是利用EthCrossChainManager合约中存在的逻辑缺陷，通过该合约调用EthCrossChainData合约中putCurEpochConPubKeyBytes函数更改Keeper为自有地址，然后使用该地址对提取代币的交易进行签名，从而将LockProxy合约中的大量代币套取出来。

成都链安称，本次攻击事件的主要原因是合约权限管理逻辑存在问题，任意用户都可以调用verifyHeaderAndExecuteTx函数进行交易的执行，并且在其内部进行call调用时，函数名可由用户控制，恶意用户可以通过精心构造数据异常调用部分函数。同时EthCrossChainManager合约具有修改Keeper的权限，正常情况下是通过changeBookKeeper函数进行修改，但在此次攻击中攻击者是通过精心构造的数据通过verifyHeaderAndExecuteTx函数中的call调用成功修改Keeper地址，而Keeper地址又可以对交易进行签名，Defi诞生以来最大损失的攻击事件因此产生。

由于此次事件涉及的6.1亿美元太过引人注目，事件发生后各大平台都在积极响应，试图阻止黑客利用平台特性将赃款转移，欧科云链也在合规的前提下，与安全团队同步相关攻击者信息，为追踪攻击者争取了宝贵时间。

许是迫于外界压力，许是黑客自己说的“只是为了好玩发动攻击”，黑客开始归还资产，截至发稿，黑客已经归还了价值3.42亿美元的被盗资产。

OKLink数据显示，DeFi从2020年1月1日的6.6亿美元发展至如今的1100余亿美元，1年8个月的时间，增长了近175倍。截至8月12日，当前DeFi的总锁仓量为1,159.0亿美元，与5月19日暴跌前的高点相比，彼时是1135.7亿美元，这意味着经过3个月的时间，DeFi的总锁仓量超越了暴跌前高，创下了新的历史记录。

CoinGecko数据显示，当前DeFi的总市值为1,103.27亿美元，与今年年初219.57亿美元相比，上涨了402%，但与5月12日的历史高点1,496.67亿美元相比，总市值缩水了26%。与此同时，比特币当前的总市值为8,576.61亿美元，距离历史高点11,877.37亿美元，下降了38%，可以看出此轮市场反弹中，DeFi整体水平要优于比特币。

俗话道，资金越大，风险越大，DeFi这样的发展速度和庞大的资金体量，再加上链上项目水平参差不同，自然成了黑客眼中的“香饽饽”。

CipherTrace在报告中指出，截至2021年7月底，与加密资产相关的盗窃、黑客攻击和欺诈事件涉及的资金总额为6.81亿美元， 这与2019年的45亿美元相比，出现了明显下降，可以看出加密市场经过2年发展，在安全系统方面有了明显升级，参与用户的加密教育水平有所提高，对加密骗局的甄别意识显著加强。

需要指出的是，与DeFi相关的黑客攻击和欺诈却出现了抬头现象，截至7月底，黑客攻击使得DeFi用户损失了3.61亿美元的资金，占比达到了年初至今黑客攻击总获利金额（4.72亿美元）的76%，而“3.61亿美元”这一数字也是2020年DeFi黑客事件的2.8倍。

另外与DeFi相关的欺诈事件也涉及了1.13亿美元资金，可以看出，加密资产整体的欺诈事件在降低，但DeFi欺诈与去年4,100万美元相比，却翻了近2倍。由此可见，DeFi相关的黑客攻击、盗窃和欺诈事件，势必需要引起关注和重视。

DeFi攻击层出不穷，闪电贷是常见手法之一

2020年夏天，蛰伏多年的DeFi 概念在短短几个月之内迅速爆发，不论是从用户体量还是从吸引的资金体量来看，到目前为止，DeFi都已经发展成为了加密市场内一支不容小觑的新生代力量。新的赛道给广大投资者和创业者带来了新的机会，也不可避免的给别有用心的人提供了投机取巧的可趁之机。

据不完全统计，从去年至今年，DeFi领域至少发生了60余次安全事件，其中，有两种攻击手法最为常用，分别是拉地毯（Rug Pull）和闪电贷攻击。

Rug Pull指的是加密货币开发商撤出支持、DEX流动性池或突然放弃一个项目，毫无征兆地卷走投资者的资金，Rug Pull多发生于DEX，是DeFi领域较为典型的骗局。骗子们会在流动性池中投入大量的资金，并在社交媒体上发布诱人的广告吸引投资者入局，一旦投资者将代币存入这些流动性池中，骗子就会“抽地毯般”地把池子里的代币全部提走。

接下来，我们重点讲下闪电贷。据可查资料显示，闪电贷是指不需要抵押资产，在同一个区块内完成借款、还款的一种贷款方式。有必要说明的是，闪电贷本身只是一种工具，没有好坏之分，但因为闪电贷时不时出现在与DeFi暴雷相关的新闻中，因此在很多不明就里的人眼中，闪电贷似乎成为了恶意攻击者的帮凶，这其实是对闪电贷的误读。

事实上，闪电贷甚至可以称得上是智能合约上的一个伟大创新。由于DeFi存在结构性缺陷，所以在大多数抵押借贷协议里都要求用户超额质押资产，这就意味着资金利用率会变得十分低下。闪电贷的出现，大大降低了资金成本，用户可以在不需要任何抵押借款的情况下，只需付出极小的手续费（如AAVE上的闪电贷手续费仅为 0.09%），就能获得巨额的资金，因此它可以用于套利、交换抵押品和自我清算等。

那么为什么会发生闪电贷攻击呢？其实发起闪电贷的攻击者只是利用了闪电贷的特点，在短时间内借出资金、交易、然后存入并再次借出大量的资金，这样他们就可以人为地在某一个DEX里操纵特定加密资产的价格，进而从中获利。也就是说，单单就攻击者在闪电贷流程里的操作来看，其本身是合规的，但是从结果来看，这一行为损害了智能合约的公平性和其他用户的利益。

2021年年初至今，的确已经发生了多起利用闪电贷发起恶意攻击的事件。比如今年 2 月， 攻击者就针对DeFi借贷协议Alpha Homora 发起闪电贷攻击，导致3,700 万美元被盗。在一个 Alpha Homora V2 池中，攻击者借入和出借了数百万枚稳定币，使其价值膨胀，从中获得巨额利润。随着DeFi的成熟，大量的流动性可能是降低闪电贷攻击风险的主要因素，同时对智能合约的安全审计也会为易受攻击和配置错误的合约筑起第二道防线，此外一些项目还推出了漏洞奖励。

前段时间，市场一度有声音称机构投资者对比特币的兴趣正转移至以太坊和DeFi，有动作较为迅速的项目方，甚至推出了机构DeFi平台，而在大家翘首以盼机构进场，掀起新一轮“DeFi Summer”之际，却爆出了这样重大的事件，此次黑客攻击或许也会让机构投资者重新评估对DeFi投资的信心。但我们也看到，DeFi并不是一成不变的，与去年相比，它们在各个领域都有了很大的突破，伴随着DeFi的蓬勃发展，我们既看到了极具创新意义的新金融发展路径，也见到了众多富有开拓精神的创业者们的不懈努力，当然DeFi的安全也在不断升级。

虽然黑客攻击和网络犯罪无法完全禁止，但每一次的攻击，也是DeFi协议从中反思，提升安全性的机会。诚然，对于普通用户而言，进入DeFi的世界确实有一定的门槛，但好在一切都在发展，任何革新和颠覆都不是一蹴而就，DeFi也是。